Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El inicio de sesión único (SSO) permite a los usuarios iniciar sesión una vez y llegar a muchas aplicaciones. En este artículo se explica qué es el inicio de sesión único (SSO), por qué ayuda a los ISV y a las organizaciones, las opciones de inicio de sesión único en Microsoft Entra ID y cómo funciona el proceso de inicio de sesión.
Con el inicio de sesión único, los usuarios inician sesión con un conjunto de credenciales. Después, pueden abrir todas las aplicaciones asignadas sin volver a iniciar sesión.
El SSO importa a dos audiencias. Los proveedores de software independientes (ISV) crean aplicaciones para los clientes empresariales. Las organizaciones administran el acceso a las aplicaciones para sus usuarios. Es posible que sea un desarrollador que integre una aplicación con Microsoft Entra ID o un administrador que planee una implementación de SSO. En ambos roles, los aspectos básicos del inicio de sesión único le ayudan a mejorar la seguridad y la experiencia del usuario.
Cuando Microsoft Entra ID es el proveedor de identidades, los usuarios inician sesión una vez con sus credenciales de trabajo. Microsoft Entra ID comprueba cada usuario y confirma su identidad en la aplicación. Las aplicaciones ya no administran nombres de usuario y contraseñas independientes.
¿Por qué usar el inicio de sesión único?
El SSO (inicio de sesión único) ofrece ventajas claras para dos grupos: los ISV y las personas que utilizan y administran aplicaciones.
Para proveedores de aplicaciones ISV
Para los proveedores de software independientes (ISV), el inicio de sesión único facilita la venta y el soporte técnico de una aplicación:
- Preparada para la empresa: SSO hace que tu aplicación sea apta para clientes empresariales.
- Incorporación más rápida: los clientes implementan la aplicación sin administrar credenciales adicionales.
- Ventaja competitiva: los compradores empresariales suelen requerir SSO.
- Administración de usuarios más sencilla: la aplicación se basa en el sistema de identidades del cliente en lugar de en su propia base de datos de usuario.
Para usuarios finales y organizaciones
Para los usuarios y administradores, el inicio de sesión único mejora el acceso diario y la seguridad:
- Mejor experiencia de usuario: los usuarios mantienen menos credenciales e inician sesión con menos frecuencia.
- Seguridad más sólida: el inicio de sesión central limita la exposición de credenciales y aplica directivas coherentes.
- Administración de acceso más fácil: los administradores controlan el acceso desde un proveedor de identidades.
- Menos sobrecarga de soporte técnico: menos restablecimientos de contraseña y tareas de cuenta llegan al departamento de soporte técnico.
Opciones de inicio de sesión único
El método SSO correcto depende de cómo se autentica una aplicación y dónde se ejecuta. Microsoft Entra ID admite varios enfoques.
SSO basado en federación
El inicio de sesión único basado en federación ofrece la integración más completa. Microsoft Entra ID autentica a los usuarios y envía información de identidad a las aplicaciones a través de protocolos estándar.
Lenguaje de marcado de aserción de seguridad (SAML) 2.0: estándar maduro basado en XML que se usa ampliamente en empresas. SAML se adapta a las aplicaciones web tradicionales y los casos que necesitan atributos de usuario detallados.
OpenID Connect (OIDC): un protocolo moderno basado en OAuth 2.0 que usa tokens basados en JSON. OIDC se adapta a las aplicaciones web modernas, las aplicaciones móviles y las API que necesitan autenticación y autorización.
Consideraciones sobre el protocolo:
- Para desarrolladores de ISV: OIDC suele ser más sencillo de compilar con marcos modernos. SAML ofrece una compatibilidad empresarial más amplia.
- Para los administradores: ambos protocolos funcionan con la infraestructura de identidad, aunque SAML podría ajustarse mejor a los sistemas empresariales establecidos.
Inicio de sesión único basado en contraseñas
El inicio de sesión único basado en contraseña funciona con aplicaciones que usan el nombre de usuario y el inicio de sesión con contraseña. Microsoft Entra ID almacena de forma segura las credenciales y las reproduce en la aplicación. Este método ayuda con las aplicaciones que no admiten protocolos de federación, especialmente las aplicaciones locales que usan Application Proxy. Application Proxy publica aplicaciones locales para el acceso remoto seguro.
Inicio de sesión único vinculado
El SSO vinculado ofrece una experiencia coherente mientras migras aplicaciones. Añade enlaces a aplicaciones en portales de usuario, pero no ofrece un inicio de sesión único real. Úselo para migraciones por fases, en las que el inicio de sesión único completo se implementa más adelante.
SSO deshabilitado
Cuando el inicio de sesión único está deshabilitado, los usuarios inician sesión en cada aplicación por separado. Use esta configuración durante las pruebas o para las aplicaciones que no necesiten el inicio de sesión integrado.
Funcionamiento del inicio de sesión único con Microsoft Entra ID
El proceso de SSO tiene tres partes: el usuario, la aplicación y Microsoft Entra ID como proveedor de identidades.
- El usuario solicita acceso: un usuario abre una aplicación.
- Redireccionamiento al inicio de sesión: la aplicación envía al usuario a Microsoft Entra ID.
- Comprobación de identidad: Microsoft Entra ID comprueba las credenciales de trabajo del usuario.
- Acceso concedido: Microsoft Entra ID confirma la identidad del usuario y la aplicación concede acceso.
Este proceso de cuatro pasos se produce automáticamente, por lo que las aplicaciones no administran las credenciales de usuario directamente.
Planificación del despliegue de SSO
Una implementación correcta del inicio de sesión único depende del hospedaje de aplicaciones, las necesidades del usuario y las opciones de integración. Las aplicaciones se pueden ejecutar de forma local, en la nube como servicio (SaaS) o en entornos híbridos. Cada modelo de hospedaje da forma al enfoque de SSO.
- Las aplicaciones en la nube suelen usar protocolos de federación como SAML o OpenID Connect.
- Las aplicaciones locales pueden usar protocolos de federación o SSO basado en contraseña a través de Application Proxy.
- Los escenarios híbridos pueden combinar enfoques, en función de las necesidades de cada aplicación.
Para obtener instrucciones de planeación completas, consulte Planear una implementación de inicio de sesión único para organizaciones y Planear la integración de SSO para aplicaciones ISV para desarrolladores de aplicaciones.
Experiencia del usuario: portal de Aplicaciones
Los usuarios finales acceden a sus aplicaciones habilitadas para SSO a través del portal de Aplicaciones, que proporciona una ubicación centralizada para todas las aplicaciones asignadas. Los usuarios pueden encontrar e iniciar aplicaciones sin recordar varias credenciales. Para más información, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.
Contenido relacionado
Elija el siguiente paso en función de su rol.
Para desarrolladores de aplicaciones de ISV: obtenga información sobre cómo difiere SAML y OpenID Connect, por lo que puede elegir el protocolo adecuado para la aplicación y los clientes.
- SAML frente a OpenID Connect: elija el protocolo adecuado : compare los protocolos y decida.
Para administradores de TI y profesionales de identidades: planee cómo implementar el inicio de sesión único en las aplicaciones de la organización. Revise la cartera de aplicaciones, elija enfoques de integración y establezca una estrategia de lanzamiento.
- Planifique una implementación de inicio de sesión único - Obtenga orientación integral para planificar el SSO de su organización.