Los d\u00edas en los que los empleados se sentaban en sus puestos de trabajo e interactuaban exclusivamente con aplicaciones nativas han pasado, pero no se han olvidado: persiste a\u00fan el legado de las contrase\u00f1as \u00fanicas para servicios\/aplicaciones, lo que agrava las frustraciones tanto de los administradores de TI como de los usuarios.<\/p>\n\n\n\n
Esto es especialmente cierto en el caso de las infraestructuras en la nube, donde la exposici\u00f3n de las credenciales a trav\u00e9s de la red y la posibilidad de una multitud de contrase\u00f1as d\u00e9biles dificulta la productividad de los usuarios y aumenta los riesgos. Existe una soluci\u00f3n mejor: El inicio de sesi\u00f3n \u00fanico (SSO, por sus siglas en ingl\u00e9s)<\/a>.<\/p>\n\n\n\n El SSO es una soluci\u00f3n que muchas grandes organizaciones han adoptado para modernizar la autenticaci\u00f3n y la gesti\u00f3n de identidades, as\u00ed como para lograr una incorporaci\u00f3n y salida de empleados sin fricciones. Al principio se utiliza una contrase\u00f1a \u00fanica y segura, pero luego las cosas empiezan a funcionar de forma muy diferente.<\/p>\n\n\n\n SSO utiliza SAML<\/a>, un mecanismo que comparte identidades entre organizaciones y aplicaciones. SAML no env\u00eda contrase\u00f1as a trav\u00e9s de la web para cada inicio de sesi\u00f3n, sino que utiliza un sistema de tokens seguros<\/a> que reduce los riesgos de seguridad cuando se aplica correctamente. En pocas palabras, un futuro “sin contrase\u00f1as” con est\u00e1ndares de autenticaci\u00f3n modernos como SAML y OAuth es algo que deber\u00eda estar en su hoja de ruta.<\/p>\n\n\n\n Quiz\u00e1 se pregunte por qu\u00e9 la adopci\u00f3n de SSO no es universal. La respuesta es complicada: muchas peque\u00f1as y medianas empresas (PyMEs) se encuentran inmersas en entornos de directorios heredados que utilizan el protocolo de red Kerberos para asegurar la autenticaci\u00f3n en las redes locales.<\/p>\n\n\n\n Funcionaba bien en ese escenario, pero las infraestructuras de TI de hoy en d\u00eda no son todas locales y utilizar contrase\u00f1as para autenticarse en cada servicio es esencialmente resolver un problema con otro. La mentalidad centrada en contrase\u00f1as que Kerberos estableci\u00f3 se ha vuelto perjudicial para la seguridad, y es complejo y arriesgado utilizarlo para despliegues entre dominios (lo que significa que si A conf\u00eda en B y B conf\u00eda en C, A podr\u00eda confiar en C).<\/p>\n\n\n\n Tambi\u00e9n descubrir\u00e1 que este complicado protocolo heredado es dif\u00edcil de arreglar, verificar las garant\u00edas de seguridad y tiene el potencial de delegar permisos sin restricciones. Los resultados m\u00e1s perniciosos de esta deuda t\u00e9cnica son: la dif\u00edcil gesti\u00f3n de contrase\u00f1as, el riesgo de la reutilizaci\u00f3n de contrase\u00f1as y las violaciones de datos que exponen esas credenciales.<\/p>\n\n\n\n Todas estas cosas aumentan los riesgos (no aceptados), haciendo que sea m\u00e1s probable que se produzcan violaciones de datos. El SSO es una forma moderna y sencilla de abordar todos estos problemas, pero su configuraci\u00f3n lleva cierto tiempo.<\/p>\n\n\n\n Sinceramente, “SSO es dif\u00edcil de probar” es otro refr\u00e1n com\u00fan. Usted no codificar\u00eda un sitio web sin ver el producto y realizar pruebas de agitaci\u00f3n antes de entrar en producci\u00f3n. Su marca, reputaci\u00f3n y satisfacci\u00f3n del usuario se ver\u00edan perjudicadas, y no tiene sentido hacerlo. Lo mismo ocurre con el SSO:<\/p>\n\n\n\n Los recursos de prueba no suelen estar a disposici\u00f3n del p\u00fablico o son pruebas de duraci\u00f3n limitada que pueden no coincidir con su cronograma.<\/p>\n\n\n\n Antes de empezar: la importancia del SSO como requisito b\u00e1sico de seguridad no siempre es evidente a primera vista. La inmensa mayor\u00eda de los ciberataques<\/a> son “drive-bys” en los que los atacantes se aprovechan de una higiene inform\u00e1tica deficiente, como contrase\u00f1as d\u00e9biles.<\/p>\n\n\n\n Las complicadas Amenazas Persistentes Avanzadas (APT, por sus siglas en ingl\u00e9s) no suelen ser lo que expone a los datos y usuarios de una empresa; lo es la falta de proactividad y de adopci\u00f3n de soluciones modernas. A esto hay que a\u00f1adir la dificultad de gestionar credenciales y permisos de usuario dispares, lo que provoca dolores de cabeza a los administradores de TI s\u00f3lo de pensarlo. La filtraci\u00f3n de Colonial Pipeline es un ejemplo de ello y fue consecuencia de una contrase\u00f1a y una cuenta err\u00f3neas<\/a> a las que el departamento de TI hab\u00eda perdido la pista.<\/p>\n\n\n\n Los IdP<\/a> y los recursos de pruebas f\u00e1cilmente accesibles le permiten “hacerlo ahora”, en lugar de posponer un proyecto de alta prioridad. Una matriz de prioridades estandarizada le ayudar\u00e1 a argumentar internamente, bas\u00e1ndose en un sistema que clasifica todos sus proyectos con un entendimiento mutuo entre los supervisores de TI y de nivel C, teniendo en cuenta el presupuesto y la urgencia.<\/p>\n\n\n\n Un uso juicioso de todas las capacidades de su IdP, como el SSO, contribuir\u00e1 en gran medida a salvaguardar su organizaci\u00f3n. La adopci\u00f3n de SSO debe ser una prioridad dentro de su evaluaci\u00f3n de cualquier plataforma para el directorio y la autenticaci\u00f3n, lo cual es posible mediante la utilizaci\u00f3n del SAML Test Service Provider (SP) gratuito.<\/p>\n\n\n\n Permite evaluar completamente la soluci\u00f3n SSO antes de realizar una compra, lo que favorece su experiencia, as\u00ed como la confidencialidad, integridad y disponibilidad de los activos de TI que son vitales para su empresa. Una brecha cuesta mucho m\u00e1s que un SSO. Utilizar el SP de prueba es f\u00e1cil, y se describe en detalle a continuaci\u00f3n.<\/p>\n\n\n\n Ahora, a trabajar en las pruebas.<\/em><\/p>\n\n\n\n Las herramientas de prueba tambi\u00e9n ayudan, y un servicio gratuito llamado SAML Test Service Provider<\/a> est\u00e1 disponible de forma gratuita para acelerar sus esfuerzos de SSO. Muchos IdP no se muestran dispuestos a proporcionar un entorno de pruebas, as\u00ed que sea diligente a la hora de elegir el suyo. Tambi\u00e9n es importante tener en cuenta el soporte de SSO al seleccionar un proveedor de servicios. Los SP pueden convertirse en un obst\u00e1culo para la adopci\u00f3n de SSO cuando los precios se aprovechan de su deseo de mejores pr\u00e1cticas de seguridad.<\/p>\n\n\n\n El SSO es una necesidad cr\u00edtica para las organizaciones con m\u00e1s de 5 miembros, no un lujo, pero capacidades como la compatibilidad con SAML suelen estar vinculadas a niveles de servicio superiores dentro de las aplicaciones web (tambi\u00e9n denominados anteriormente proveedores de servicios).<\/p>\n\n\n\n A esto se le conoce informalmente como \u201cimpuesto SSO<\/a>\u201d, y hace que los proyectos resulten m\u00e1s dif\u00edciles de justificar cuando los costos se multiplican.Utilice un proveedor de servicios que ofrezca SSO<\/a> como una caracter\u00edstica b\u00e1sica del producto; de lo contrario, esta capacidad vital puede estar fuera del alcance del presupuesto de su organizaci\u00f3n.<\/p>\n\n\n\n Otro punto problem\u00e1tico com\u00fan al que se enfrentar\u00e1 el proveedor de servicios de pruebas es la preparaci\u00f3n: SAML convierte la migraci\u00f3n en una propuesta de “todo o nada”. Todos los usuarios deben autenticarse a trav\u00e9s de SSO desde el principio, por lo que probar su implementaci\u00f3n con suficiente antelaci\u00f3n dar\u00e1 sus frutos con un recurso de formaci\u00f3n f\u00e1cilmente disponible, lo que permitir\u00e1 a los usuarios obtener un nivel b\u00e1sico de comodidad y competencia con el proceso de inicio de sesi\u00f3n en el portal antes del cambio.<\/p>\n\n\n\n Existen dos formas de realizar las pruebas:SSO iniciado por IdP y SSO iniciado por SP. JumpCloud es el IdP en este ejemplo en combinaci\u00f3n con el proveedor de pruebas gratuito.<\/p>\n\n\n\n El paso inicial <\/strong>para utilizar el proveedor de servicios de prueba es a trav\u00e9s del m\u00e9todo iniciado por el IdP. Puede obtener metadatos SAML del SP de prueba, que est\u00e1n disponibles aqu\u00ed<\/a>. Los metadatos son informaci\u00f3n que describe el servicio para que su IdP pueda consumirlo.<\/p>\n\n\n\n Su IdP dispondr\u00e1 de una interfaz para crear un conector SAML<\/a> gen\u00e9rico (nota: los IdP suelen disponer de una biblioteca<\/a> de conectores prefabricados listos para los servicios m\u00e1s utilizados). Este paso integrar\u00e1 su IdP con la herramienta de pruebas SAML con una configuraci\u00f3n predeterminada.<\/p>\n\n\n\n Aqu\u00ed<\/a> se describe la posibilidad de personalizar su aspecto. Sin embargo, no es necesario personalizar nada para realizar pruebas funcionales b\u00e1sicas con la herramienta gratuita. He aqu\u00ed algunos recursos que desmitificar\u00e1n el inicio de este proceso:<\/p>\n\n\n\n El paso de metadatos es un prerrequisito para el SSO iniciado por SP. Seguir\u00e1 un procedimiento similar para el SSO iniciado por SP descargando <\/strong>(o cortando y pegando) los metadatos del IdP <\/strong>en la herramienta de pruebas. El resultado ser\u00e1 la creaci\u00f3n de una URL \u00fanica <\/strong>que utilizar\u00e1 para iniciar sesi\u00f3n durante las pruebas.<\/p>\n\n\n\n La URL se asigna de nuevo al IdP, que hace el trabajo pesado para toda la gesti\u00f3n de identidades y autenticaci\u00f3n. Las instrucciones hacen hincapi\u00e9 en guardar en favoritos esa URL y en que al acceder a ella se enviar\u00e1 una SAML AuthNRequest a su IdP, que no es m\u00e1s que un mensaje enviado desde el SP solicitando autenticar la sesi\u00f3n de un usuario determinado.<\/p>\n\n\n\n El proceso de importaci\u00f3n de metadatos del IdP debe repetirse dentro de la herramienta si lo pierde, por lo que se le aconseja tenerlo a la mano durante toda la duraci\u00f3n de la prueba (no se preocupe, hay instrucciones detalladas en la p\u00e1gina web del servicio de pruebas). Lo m\u00e1s importante es contar con un IdP que le permita experimentar a su propio ritmo.<\/em><\/p>\n\n\n\n El sitio de pruebas incluye informaci\u00f3n adicional, pero tambi\u00e9n cuenta con un “AuthNRequest Wizard” <\/strong>una vez que un usuario se autentica con \u00e9xito que se muestra en la parte superior de la p\u00e1gina. Puede utilizarlo para determinar un m\u00e9todo espec\u00edfico de autenticaci\u00f3n desde el IdP (AuthenticationContextClassRef) o marcar que la autenticaci\u00f3n inicial ha tenido lugar para que el IdP pueda entonces seleccionar un factor m\u00e1s fuerte para aumentar su seguridad.<\/p>\n\n\n\n Es muy recomendable utilizar la MFA (autenticaci\u00f3n multi-factor)<\/a>, pero siempre hay que tener en cuenta el lado humano de la implementaci\u00f3n y el uso cotidiano. Diferentes formas de autenticaci\u00f3n son m\u00e1s f\u00e1ciles y otras son m\u00e1s dif\u00edciles de dominar para el usuario. Las notificaciones push suelen describirse como las m\u00e1s f\u00e1ciles de usar.<\/p>\n\n\n\n Elija un color, cualquier color<\/p>\n\n\n\n Querr\u00e1 un portal que los usuarios reconozcan inmediatamente y en el que conf\u00eden con la marca y el esquema de color adecuados. La herramienta de prueba tiene una funci\u00f3n llamada “RelayState” que personaliza la apariencia de la p\u00e1gina protegida; establece el atributo a un color compatible en el lado del IdP (NameID) o desencadena un cambio de color sin modificar la configuraci\u00f3n a\u00f1adiendo la URL \u00fanica del sitio de prueba — por ejemplo, “https:\/\/sptest.iamshowcase.com\/protected?color=blue”.<\/p>\n\n\n\n NameID, una declaraci\u00f3n de atributo SAML, es donde se establecen otras personalizaciones, como un mensaje de bienvenida. Puede encontrar informaci\u00f3n adicional sobre atributos aqu\u00ed<\/a> (descarga de PDF). El sitio de pruebas proporciona el siguiente ejemplo espec\u00edfico de la herramienta:<\/p>\n\n\n\n “Hola <nombre> <apellido>”<\/p>\n\n\n\n Para rellenar <nombre> y\/o <apellido>, intentar\u00e1 encontrar un atributo llamado “givenname” o “firstname” para <nombre> y “sn”, “lastname”, “surname” o “name” para <apellido>. Todo esto ignora totalmente las may\u00fasculas o min\u00fasculas del nombre del atributo, por lo que givenName, Givenname, givenname, GiVeNnAmE son todos lo mismo (si crees que GiVeNnAmE es una buena idea… \u00a1te saludamos!).<\/p>\n\n\n\n Tenga en cuenta que la herramienta de prueba es s\u00f3lo para fines de demostraci\u00f3n y que algunas caracter\u00edsticas avanzadas de seguridad <\/strong>no son compatibles en este momento, incluyendo AuthNRequests firmadas<\/a> y aserciones SAML <\/a>cifradas, que son los datos que se comunican entre el SP y el IdP sobre el estado de autorizaci\u00f3n del usuario (lo que significa que usted es un usuario leg\u00edtimo). Los detalles sobre atributos y declaraciones de atributos se encuentran en la herramienta de pruebas.<\/p>\n\n\n\n Tambi\u00e9n es posible que desee registrar todas las autenticaciones SAML por motivos de cumplimiento si pertenece a un sector regulado <\/strong>o si sus analistas de seguridad y administradores de TI realizan un seguimiento del acceso a los recursos. Los reg\u00edmenes de cumplimiento espec\u00edficos exigen el registro del acceso de puntos finales designados, como: Cumplimiento de PCI DSS para entornos de datos de titulares de tarjetas (CDE); HIPAA e informaci\u00f3n de salud personal (PHI); y la amplia visi\u00f3n de GDPR de los datos almacenados para residentes en la UE.<\/p>\n\n\n\n El proveedor de servicios de prueba de SAML elimina los obst\u00e1culos para adoptar SSO, junto con un IdP que ofrece un entorno sandbox (de prueba) que se ajusta a los plazos de su proyecto. Es aconsejable considerar si un SP (aplicaci\u00f3n web) proporciona soporte nativo y gratuito de SAML SSO antes de seleccionar ese proveedor. El riesgo y el gasto de no hacer SSO es menos aceptable como:<\/p>\n\n\n\n\u00bfQu\u00e9 es el inicio de sesi\u00f3n \u00fanico (SSO)?<\/strong><\/h2>\n\n\n\n
\n
No espere: el SSO debe ser una prioridad.<\/strong><\/h2>\n\n\n\n
El proveedor de servicios de pruebas SAML y la selecci\u00f3n de proveedores<\/strong><\/h2>\n\n\n\n
\n
Primeros pasos con SAML Test Service Provider<\/strong><\/h2>\n\n\n\n
SSO iniciado por IdP<\/strong><\/h3>\n\n\n\n
SAML y metadatos IdP:<\/strong><\/h4>\n\n\n\n
\n
SSO iniciado por SP<\/strong><\/h3>\n\n\n\n
Utilice los metadatos de su IdP<\/strong><\/h4>\n\n\n\n
URL de prueba<\/strong><\/h4>\n\n\n\n
Formas de autenticar SSO<\/strong><\/h2>\n\n\n\n
Atributos y personalizaciones del SSO<\/strong><\/h2>\n\n\n\n
Mensajes de bienvenida del SSO y otras personalizaciones<\/strong><\/h3>\n\n\n\n
Integridad del usuario<\/strong><\/h3>\n\n\n\n
Cumplimiento y conservaci\u00f3n de datos para SSO<\/strong><\/h2>\n\n\n\n
Conclusi\u00f3n<\/strong><\/h2>\n\n\n\n