Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para configurar el inicio de sesión único (SSO) con Microsoft Entra ID, elija entre dos protocolos: Lenguaje de marcado de aserción de seguridad (SAML) 2.0 y OpenID Connect (OIDC). En este artículo se explica cómo difieren los dos protocolos, cuándo usar cada uno y cómo elegir para la aplicación.
¿Por qué es importante su elección de protocolo?
La elección de protocolo da forma a la aplicación, la dificultad que supone la integración y la forma en que se adapta a los entornos de los clientes. Microsoft Entra ID es totalmente compatible con ambos protocolos, pero cada protocolo se adapta a diferentes necesidades.
La opción afecta a dos roles:
- Desarrolladores de aplicaciones de proveedores independientes de software (ISV): impulsa el esfuerzo de desarrollo, el soporte del framework y la facilidad con la que se pueden satisfacer los diversos requisitos de los clientes.
- Administradores de TI: afecta a la forma en que una aplicación se ajusta a las directivas de seguridad y infraestructura de identidad.
¿Qué es SAML 2.0?
SAML 2.0 es un protocolo de federación maduro basado en XML. Las empresas lo han utilizado ampliamente durante más de una década. SAML comparte de forma segura los datos de inicio de sesión y acceso entre proveedores de identidades y aplicaciones.
SAML usa mensajes y aserciones XML para transportar datos de inicio de sesión. Mapea detalladamente los atributos de usuario. También admite necesidades empresariales complejas, como aserciones XML firmadas y instrucciones de atributo detalladas.
¿Qué es OpenID Connect (OIDC)?
OpenID Connect (OIDC) es un protocolo de inicio de sesión moderno integrado en OAuth 2.0. Usa tokens JSON denominados JSON Web Tokens (JWT) y API REST. OIDC inicia la sesión de los usuarios y OAuth 2.0 controla el acceso.
OIDC es más sencillo y fácil de usar para desarrolladores. Se adapta a los diseños de aplicaciones modernos, incluidas las aplicaciones de página única, las aplicaciones móviles y los microservicios.
Comparación de SAML y OIDC
En la tabla siguiente se compara SAML 2.0 y OpenID Connect en los factores que más importan para la integración de SSO.
| Aspecto | SAML 2.0 | OpenID Connect |
|---|---|---|
| Formato de mensaje | Basado en XML | Basado en JSON |
| Tipo de token | Aserciones XML | Tokens JWT |
| Adopción empresarial | Ampliamente establecido | Crecimiento rápido |
| Experiencia del desarrollador | Complejo, requiere control XML | Más sencillo y basado en REST |
| Complejidad del desarrollo | Se requiere un procesamiento XML superior | Nivel inferior, basado en REST/JSON |
| Marcos modernos | Compatibilidad nativa limitada | Excelente soporte técnico |
| Compatibilidad con dispositivos móviles o SPA | Difícil | Compatibilidad nativa |
| Alineación de validación | Patrones buenos y establecidos | Excelentes estándares modernos |
| Idoneidad para SaaS de multitenencia | Adecuado aunque complejo | Nativo, óptimo |
| Esfuerzo de incorporación de clientes | Configuración manual más compleja | Detección más sencilla y automatizada |
| Mantenimiento a largo plazo | Mayor sobrecarga | Menor mantenimiento |
| Control de atributos | Declaraciones enriquecidas de atributos XML | Declaraciones JSON |
| Características de seguridad | Firmas XML, controles complejos | firmas de JWT, alcances de OAuth |
Resumen de la decisión
Ambos protocolos son seguros, y Microsoft Entra ID admite plenamente ambos. La tabla anterior las compara por aspecto, por lo que la usa para conocer las diferencias detalladas. En este resumen se resalta por qué un ISV elige cada protocolo: OIDC se adapta a nuevos saaS nativos de la nube y a los clientes con identidad moderna, mientras que SAML es una opción controlada por requisitos para clientes empresariales, cumplimiento o mandatos de adquisición, o proveedores de identidades heredados que solo admiten SAML. Admita ambos protocolos cuando la base de clientes abarque ambos mundos.
Elija OpenID Connect (OIDC) si:
- Creación de nuevas aplicaciones SaaS o nativas de la nube
- Creación de aplicaciones de página única (SPA) o aplicaciones móviles
- ¿Quiere velocidad de desarrollo e integración moderna?
- Atender a los clientes con sistemas de identidad modernos
- Planifique una distribución escalable para varios inquilinos
Elija SAML si:
- Tener clientes empresariales que requieran SAML
- Trabajar con proveedores de identidades heredados que carecen de OIDC
- Debe cumplir normativas de cumplimiento o de contratación que exijan SAML
- Ya tiene una implementación de SAML en funcionamiento
Admita ambos protocolos si:
- Servicio de entornos de cliente mixtos que necesitan ambos
- ¿Desea la compatibilidad más amplia entre organizaciones?
Si no está seguro, use OIDC de forma predeterminada para los nuevos desarrollos SaaS. OIDC se adapta a aplicaciones modernas, Microsoft Entra validación y tendencias empresariales actuales.
Contenido relacionado
¿Listo para implementar el protocolo?
- Para SAML, consulte la guía del protocolo SAML de inicio de sesión único para obtener más información.
- Para más información sobre OpenID Connect, consulte la documentación de la plataforma de identidades de Microsoft y el protocolo OpenID Connect.
- Para empezar rápidamente, pruebe el inicio rápido Agregar el inicio de sesión con Microsoft a una aplicación web.