El protocolo SAML (Security Assertion Markup Language) es el preferido de muchos proveedores de inicio de sesi\u00f3n \u00fanico (SSO, por sus siglas en ingl\u00e9s) de aplicaciones web y se utiliza para conectar de forma segura a los usuarios con las aplicaciones web con un \u00fanico conjunto de credenciales. SAML utiliza certificados XML (Extensible Markup Language) para afirmar la autenticaci\u00f3n de usuarios entre un proveedor de identidades (IdP<\/a>, por sus siglas en ingl\u00e9s) y un proveedor de servicios (SP, por sus siglas en ingl\u00e9s) o una aplicaci\u00f3n web.<\/p>\n\n\n\n Los usuarios pueden crear una contrase\u00f1a \u00fanica y segura para proteger sus credenciales de IdP sin tener que preocuparse por mantener las contrase\u00f1as de sus aplicaciones web escritas en un documento o en una nota adhesiva pegada a su monitor, o tener que utilizar gestores de contrase\u00f1as para almacenar las credenciales. (Sin embargo, tenga en cuenta que a\u00fan puede beneficiarse de un gestor de contrase\u00f1as SSO).<\/p>\n\n\n\n En resumen, se trata de un inicio de sesi\u00f3n \u00fanico (SSO) basado en la web. Son muchas siglas, pero tendr\u00e1n m\u00e1s sentido una vez que nos sumerjamos en el funcionamiento de SAML.<\/p>\n\n\n\n SAML 2.0 es la versi\u00f3n actual de la norma SAML. Fue una actualizaci\u00f3n sustancial que no era retrocompatible con su predecesora y a\u00f1ad\u00eda funciones que se hab\u00edan incluido en el marco de federaci\u00f3n de identidades de Liberty Alliance, lo que la hac\u00eda mucho m\u00e1s s\u00f3lida y madura. El cierre de sesi\u00f3n \u00fanico (en todos los servicios) result\u00f3 ser una de las mejoras m\u00e1s significativas.<\/p>\n\n\n\n El uso de SAML ofrece numerosas ventajas. La seguridad y la relativa facilidad de gesti\u00f3n de las credenciales son ventajas evidentes: los usuarios finales no tienen que recordar todas las contrase\u00f1as necesarias para acceder a sus distintas aplicaciones web. El proceso de afirmaci\u00f3n utiliza una comunicaci\u00f3n XML segura a trav\u00e9s de SAML directamente entre el SP y el IdP, y las contrase\u00f1as no se almacenan en servidores remotos ni se env\u00edan por cable. En general, los administradores de TI obtienen una gesti\u00f3n centralizada del ciclo de vida del usuario con un control muy granular sobre los recursos a los que pueden acceder los usuarios. Esta caracter\u00edstica es ideal para los sectores regulados que deben tomar medidas estrictas para garantizar la confidencialidad de los datos y los derechos de privacidad.<\/p>\n\n\n\n Por lo general, los administradores de TI experimentan una reducci\u00f3n de las solicitudes de ayuda relacionadas con contrase\u00f1as, adem\u00e1s de una mayor seguridad gracias a SAML y la posibilidad de a\u00f1adir una autenticaci\u00f3n multi-factor (MFA, por sus siglas en ingl\u00e9s) s\u00f3lida y f\u00e1cil de usar, como Push MFA, y protecciones contra la suplantaci\u00f3n de identidad. El SSO tambi\u00e9n reduce los riesgos de la TI en la sombra, que es cuando los usuarios gestionan su propio acceso a las aplicaciones bajo el radar del equipo TI. Los usuarios finales, al tener que preocuparse s\u00f3lo de una contrase\u00f1a, experimentan tambi\u00e9n menos fatiga de contrase\u00f1as con el SSO. <\/p>\n\n\n\n Muchos proveedores de SSO han creado portales web en los que los usuarios finales pueden iniciar sesi\u00f3n una vez y luego hacer clic en un mosaico con la aplicaci\u00f3n a la que necesitan acceder, lo que ofrece otro incentivo para adoptar SAML.<\/p>\n\n\n\n El mencionado portal SSO es un buen ejemplo de c\u00f3mo SAML puede impulsar las sinergias inform\u00e1ticas en las peque\u00f1as y medianas empresas (PyMEs). Este proceso suele denominarse “flujo SAML”, cuando los usuarios hacen clic en el icono de una aplicaci\u00f3n y la autenticaci\u00f3n se produce entre bastidores. <\/p>\n\n\n\n Otro caso de uso aprovecha los atributos del usuario para determinar a qu\u00e9 parte de una aplicaci\u00f3n debe tener acceso. Por ejemplo, un auxiliar contable no deber\u00eda tener el mismo nivel de acceso que un director financiero. Refuerza el concepto de seguridad de la separaci\u00f3n de funciones y ayuda a garantizar el cumplimiento de los m\u00ednimos privilegios, esencial para un s\u00f3lido modelo de seguridad de Confianza Cero (Zero Trust). <\/p>\n\n\n\n JumpCloud aprovecha de forma \u00fanica el control de acceso basado en atributos (ABAC, por sus siglas en ingl\u00e9s) para proporcionar una comprobaci\u00f3n cruzada instant\u00e1nea de los usuarios dentro de un grupo a las aplicaciones y recursos que necesitan, e incluye sugerencias para modificar la pertenencia a grupos. Esto difiere de los m\u00e9todos tradicionales de control de acceso basados en roles y anidados, que no fueron dise\u00f1ados originalmente para infraestructuras de TI basadas en SaaS.<\/p>\n\n\n\n Los desarrolladores tambi\u00e9n pueden utilizar SAML como soluci\u00f3n para proteger los servicios web backend mediante una funci\u00f3n denominada protecci\u00f3n de mensajes SAML. SAML es extremadamente flexible y personalizable.<\/p>\n\n\n\n El proceso de SAML es, en esencia, una serie de intercambios entre el usuario, un proveedor de servicios (que aloja la aplicaci\u00f3n web a la que el usuario quiere acceder) y un proveedor de identidad (que es el medio por el que el usuario puede autenticarse). Cuando un usuario quiere acceder a una aplicaci\u00f3n web, primero visita el servicio a trav\u00e9s de un “agente”, que casi siempre es un navegador web est\u00e1ndar como Chrome, Firefox, Safari o Edge. A continuaci\u00f3n, el agente intenta solicitar acceso al SP iniciando sesi\u00f3n en la aplicaci\u00f3n web. <\/p>\n\n\n\n El intercambio de informaci\u00f3n de identidad sobre autenticaci\u00f3n y autorizaci\u00f3n es posible gracias a que los componentes principales de SAML funcionan como un sistema. En esta secci\u00f3n se describe cada componente y su funci\u00f3n en el marco de mensajes\/respuestas de SAML, que permite federar identidades e informaci\u00f3n de usuario entre dominios. En primer lugar, vamos a examinar una visualizaci\u00f3n de los pasos b\u00e1sicos de una transacci\u00f3n a trav\u00e9s del protocolo SAML. Este ejemplo ilustra lo que sucede bajo las cubiertas cuando un usuario introduce sus credenciales de la empresa en un servicio que su organizaci\u00f3n utiliza.<\/p>\n\n\n\n Los enlaces son la infraestructura que hace que los mensajes SAML se transfieran a trav\u00e9s de protocolos de red comunes. Por ejemplo, un enlace HTTPS POST define c\u00f3mo transportar las respuestas de un SP a las solicitudes de un agente de usuario (navegadores web).<\/p>\n\n\n\n \u00bfC\u00f3mo establecen la mayor\u00eda de los usuarios conexiones seguras con los servicios web? HTTPS es un ejemplo de uno de los protocolos, junto con SOAP, especificados en el est\u00e1ndar SAML. Los certificados digitales (certificado X.509) se utilizan en el lado del IdP y del SP para las comunicaciones seguras.<\/p>\n\n\n\n Los perfiles son el pegamento que une los protocolos, enlaces y aserciones de SAML para cada caso de uso. JumpCloud simplifica este concepto poniendo a disposici\u00f3n de los usuarios una biblioteca de cientos de “conectores” para evitarles el trabajo pesado. <\/p>\n\n\n\n La siguiente secci\u00f3n detalla c\u00f3mo funcionan las aserciones, que son paquetes XML que contienen informaci\u00f3n organizativa sobre el usuario, el m\u00e9todo de autenticaci\u00f3n, as\u00ed como pol\u00edticas que especifican el acceso a los recursos y registros de transacciones.<\/p>\n\n\n\n El SP ha sido configurado administrativamente para diferir su autenticaci\u00f3n a una fuente espec\u00edfica de autenticaci\u00f3n – el IdP o base de datos de usuarios, si se quiere. El inicio de sesi\u00f3n se redirige entonces de forma segura a trav\u00e9s de Internet (y a trav\u00e9s del navegador) para solicitar una autenticaci\u00f3n al proveedor de identidad para verificar la identidad del usuario. <\/p>\n\n\n\n Desde la perspectiva del usuario, esto act\u00faa como una redirecci\u00f3n a otro sitio web que contiene una sencilla interfaz de usuario con un campo de nombre de usuario y uno de contrase\u00f1a. A continuaci\u00f3n, el usuario introduce sus credenciales de IdP, que a su vez las verifica con sus propios registros. <\/p>\n\n\n\n Tras una verificaci\u00f3n satisfactoria, el IdP generar\u00e1 un certificado basado en XML, denominado aserci\u00f3n. Esto significa que el IdP genera un “permiso de pasillo” figurado, afirmando que conoce al usuario y que \u00e9ste puede acceder a la aplicaci\u00f3n solicitada. Este certificado se devuelve al navegador del usuario y luego al proveedor de servicios, que redirige la p\u00e1gina de nuevo al servicio para que pueda ingerir el “permiso de pasillo” y permitir la entrada del usuario. Tenga en cuenta que, en algunos flujos m\u00e1s sofisticados, el IdP devuelve m\u00e1s datos, incluidos atributos, pertenencia a grupos, etc., para ayudar al proveedor de servicios a asignar con precisi\u00f3n los derechos de autorizaci\u00f3n, as\u00ed como proporcionar datos adicionales que el SP pueda necesitar para prestar un mejor servicio al usuario.<\/p>\n\n\n\n El intercambio de informaci\u00f3n se produce entre el IdP y el SP. Como se ha demostrado anteriormente, los proveedores utilizan SAML para transmitir credenciales entre un proveedor de identidad, que contiene las credenciales para verificar a un usuario, y un proveedor de servicios, que es el recurso que requiere autenticaci\u00f3n. El proceso puede ser iniciado por cualquiera de las partes, pero el IdP es el responsable de asegurar y gestionar las identidades de usuario y los grupos de directorio. Las cuentas almacenadas en un IdP se convierten finalmente en usuarios verificados en un servicio a trav\u00e9s de la federaci\u00f3n de identidades SAML.<\/p>\n\n\n\n SAML puede utilizarse en combinaci\u00f3n con otros est\u00e1ndares de autenticaci\u00f3n en funci\u00f3n del caso de uso. Por ejemplo, una PyME del sector sanitario utilizar\u00eda SAML para el acceso seguro al portal de aplicaciones, pero una aplicaci\u00f3n m\u00f3vil se beneficiar\u00eda de la eficacia de OIDC. La siguiente secci\u00f3n ofrece un breve resumen sobre qu\u00e9 m\u00e9todo de SSO resulta ser el m\u00e1s \u00f3ptimo para cada caso.<\/p>\n\n\n\n OAuth tiende a estar m\u00e1s centrado en la aplicaci\u00f3n que SAML, que se utiliza principalmente para el SSO web. OAuth ser\u00eda la opci\u00f3n preferida en un caso en el que una aplicaci\u00f3n deba acceder a las funciones de hardware de los dispositivos, como una webcam o una c\u00e1mara.<\/p>\n\n\n\n OIDC es cada vez m\u00e1s popular, sobre todo entre los desarrolladores m\u00f3viles. Proporciona comunicaciones escalables y eficientes, pero no tiene la misma capacidad para autorizar a los usuarios con los servicios para los que se ha creado SAML. OAuth es su base, con una capa de identidad adicional destinada a la identidad descentralizada. Se trata tanto de una postura filos\u00f3fica como tecnol\u00f3gica. <\/p>\n\n\n\n Haga clic aqu\u00ed para ver una comparaci\u00f3n detallada de SAML frente a OpenID<\/a>.<\/p>\n\n\n\n Estos dos est\u00e1ndares van de la mano, con un directorio LDAP que sirve como funci\u00f3n de gesti\u00f3n de usuarios para un IdP. La combinaci\u00f3n de estos protocolos de autenticaci\u00f3n permite conectarse a una variedad a\u00fan mayor de servicios, de forma segura, para ayudarle a cumplir sus objetivos empresariales. <\/p>\n\n\n\n Haga clic aqu\u00ed para ver una comparaci\u00f3n detallada entre SAML y LDAP<\/a>.<\/p>\n\n\n\n JumpCloud Directory Platform permite a los administradores de TI gestionar a sus usuarios y su acceso a sistemas, aplicaciones, redes, infraestructura, servidores de archivos y mucho m\u00e1s con un \u00fanico conjunto de credenciales. Como IdP en la cloud, JumpCloud ha reimaginado la asociaci\u00f3n que existe entre Active Directory y SSO para la era moderna, proporcionando pr\u00e1cticamente todas las mismas capacidades y muchas otras, todo desde una \u00fanica consola de administraci\u00f3n en la cloud.<\/p>\n\n\n\n JumpCloud aprovecha SAML, junto con LDAP, RADIUS, y m\u00e1s, para proporcionar una experiencia True SSO, lo que significa que las organizaciones de TI pueden utilizar una soluci\u00f3n integral en lugar de una serie de otras. M\u00e1s all\u00e1 de eso, los administradores de TI tambi\u00e9n pueden utilizar JumpCloud para implementar pol\u00edticas de seguridad de Confianza Cero, como la autenticaci\u00f3n multi-factor (MFA), el acceso condicional, la complejidad de la contrase\u00f1a, y m\u00e1s, en toda su organizaci\u00f3n a escala. <\/p>\n\n\n\n True Single Sign-On\u2122 se extiende m\u00e1s all\u00e1 de simplemente SAML, utilizando una serie de otros protocolos y m\u00e9todos de autenticaci\u00f3n para extender un conjunto de credenciales de usuario a pr\u00e1cticamente todos los recursos. Afortunadamente, el servicio de directorio en la cloud de nueva generaci\u00f3n de JumpCloud proporciona una experiencia True SSO para las organizaciones de TI modernas.<\/p>\n\n\n\n Este art\u00edculo describe c\u00f3mo empezar con SAML SSO<\/a> usando JumpCloud. El m\u00e9todo m\u00e1s sencillo es buscar en nuestra creciente biblioteca de conectores, pero tambi\u00e9n es posible escribir el suyo propio.<\/p>\n\n\n\n Para conectar una aplicaci\u00f3n a JumpCloud:<\/p>\n\n\n\n Consejo: Si no hay un conector para una aplicaci\u00f3n que desea conectar a JumpCloud, puede utilizar el conector SAML 2.0<\/a> para conectar esa aplicaci\u00f3n con JumpCloud. <\/p>\n\n\n\n JumpCloud utiliza el protocolo SAML 2.0 como m\u00e9todo para afirmar identidades con proveedores de servicios de aplicaciones. JumpCloud se considera el proveedor de identidad, y la aplicaci\u00f3n se considera el proveedor de servicios.<\/p>\n\n\n\n El proveedor de servicios suele proporcionar par\u00e1metros de configuraci\u00f3n SAML para configurar el SSO desde un IdP compatible como JumpCloud. <\/p>\n\n\n\n La siguiente imagen muestra las instrucciones de Salesforce<\/a> para configurar Marketing Cloud para SAML SSO.<\/p>\n\n\n\n Para iniciar sesi\u00f3n en una aplicaci\u00f3n basada en web mediante autenticaci\u00f3n SAML iniciada por un IdP: <\/p>\n\n\n\n Para iniciar sesi\u00f3n en una aplicaci\u00f3n basada en web utilizando autenticaci\u00f3n SAML iniciada por SP:<\/p>\n\n\n\n Puede experimentar True SSO con SAML, LDAP, RADIUS y m\u00e1s usted mismo, con JumpCloud<\/a>. <\/p>\n\n\n\n\u00bfQu\u00e9 es SAML 2.0?<\/strong><\/h3>\n\n\n\n
Ventajas de SAML<\/strong><\/h2>\n\n\n\n
Ejemplos de SAML en acci\u00f3n<\/strong><\/h2>\n\n\n\n
![\"JumpCloud](\"https:\/\/jumpcloud.com\/\/wp-content\/uploads\/sites\/3\/2023\/04\/jumpcloud-applications.jpg\")
\u00bfC\u00f3mo funciona SAML?<\/h2>\n\n\n\n
Componentes de SAML<\/strong><\/h3>\n\n\n\n
![\"Componentes](\"https:\/\/jumpcloud.com\/\/wp-content\/uploads\/sites\/3\/2023\/04\/componentes-de-saml.jpg\")
<\/figure>\n\n\n\nFijaciones<\/strong><\/h4>\n\n\n\n
Protocolos<\/strong><\/h4>\n\n\n\n
Perfiles<\/strong><\/h4>\n\n\n\n
\u00bfQu\u00e9 es la aserci\u00f3n SAML?<\/strong><\/h3>\n\n\n\n
IdP y SP con SAML<\/strong><\/h3>\n\n\n\n
Otras opciones de autenticaci\u00f3n<\/strong><\/h2>\n\n\n\n
SAML frente a OAuth<\/strong><\/h3>\n\n\n\n
SAML frente a OpenID Connect (OIDC)<\/strong><\/h3>\n\n\n\n
SAML frente a LDAP<\/strong><\/h3>\n\n\n\n
Uso de SAML con JumpCloud<\/strong><\/h2>\n\n\n\n
C\u00f3mo configurar SAML<\/strong><\/h3>\n\n\n\n
\n
![\"\"](\"https:\/\/jumpcloud.com\/\/wp-content\/uploads\/sites\/3\/2023\/04\/saml-sso-jumpcloud.png\")
<\/figure>\n\n\n\nC\u00f3mo gestionar la autenticaci\u00f3n SAML<\/strong><\/h3>\n\n\n\n
![\"\"](\"https:\/\/jumpcloud.com\/\/wp-content\/uploads\/sites\/3\/2023\/04\/instrucciones-de-salesforce.jpg\")
<\/figure>\n\n\n\nC\u00f3mo gestionar la aserci\u00f3n SAML<\/strong><\/h3>\n\n\n\n
\n
\n
\n
\n
\n
Comience con JumpCloud<\/strong><\/h2>\n\n\n\n