[09/11/2018] El inicio de sesión único (SSO, por sus siglas en inglés) es una sesión centralizada y un servicio de autenticación de usuarios en el que se puede usar un conjunto de credenciales de inicio de sesión para acceder a varias aplicaciones. La belleza está en su simplicidad; el servicio lo autentica individualmente en una plataforma designada, lo que le permite utilizar una plétora de servicios sin tener que iniciar sesión y salir cada vez.
A los consumidores se les puede ocurrir el inicio de sesión social a través de Google, Facebook o Twitter como plataformas sólidas de SSO, donde cada plataforma permite el acceso a una variedad de servicios de terceros. En el ámbito empresarial, una organización puede usar SSO para permitir a los usuarios iniciar sesión en aplicaciones web propietarias (alojadas en un servidor interno) o sistemas ERP alojados en la nube, por ejemplo.
Implementado correctamente, SSO puede ser ideal para la productividad, la supervisión y administración de TI, y el control de seguridad. Con un token de seguridad (un nombre de usuario y contraseña) puede habilitar y deshabilitar el acceso de los usuarios a múltiples sistemas, plataformas, apps y otros recursos. También reduce el riesgo de contraseñas perdidas, olvidadas o débiles.
Una estrategia de SSO bien pensada y ejecutada puede eliminar los costos de restablecimiento y el tiempo de inactividad relacionados con las contraseñas, mitigar el riesgo de amenazas internas, mejorar la experiencia del usuario y los procesos de autenticación, y poner a la organización firmemente en control del acceso de los usuarios.
¿Por qué utilizar el inicio de sesión único?
El crecimiento de SSO coincide con otras tendencias notables e interrelacionadas, que incluyen el surgimiento de la nube pública, la fatiga de las contraseñas, las nuevas metodologías de desarrollo, la movilidad empresarial, y las aplicaciones nativas de la web y la nube.
En particular, el traslado a las aplicaciones en la nube es una oportunidad y, a la vez, un inconveniente. Según una investigación reciente, en el 2017, las empresas esperaban utilizar un promedio de 17 aplicaciones en la nube para respaldar sus estrategias de TI, operaciones y negocios. Por lo tanto, no es una sorpresa que el 61% de los encuestados piensen que la administración de identidad y acceso (IAM) es más difícil hoy que hace dos años.
Barry Scott, CTO de Centrify EMEA, ve dos razones claras para usar SSO. "La primera [razón] es que mejora la experiencia del usuario al detener la extensión de diferentes nombres de usuario y contraseñas que surgieron a través del increíble aumento de las aplicaciones SaaS basadas en la nube. La segunda razón es la seguridad mejorada. La causa principal de las violaciones son las credenciales comprometidas, y cuantos más nombres de usuario y contraseñas tengamos, peor será la seguridad de nuestras cuentas. Comenzamos a utilizar las mismas contraseñas en todas partes y, a menudo, se vuelven menos complejas, lo que facilita la vulneración de las credenciales".
El Director de Productos de Seguridad de Okta, Joe Diamond, está de acuerdo en que las aplicaciones en la nube presentan nuevos desafíos para los equipos de TI. "Las organizaciones de TI se enfrentan a preguntas tales como cómo crear/gestionar cuentas de usuario, cómo garantizar los derechos correspondientes (no los permisos innecesarios) y el correcto offboarding cuando un empleado deja la empresa.
"Al tener almacenes/silos de identidad en múltiples soluciones, también se vuelve imposible administrar esta proliferación", agrega Diamond. "No porque una organización adopte Office 365, Box y Slack, significa que también quiere tres conjuntos de inicios de sesión y contraseñas para estos servicios. SSO se convierte, de alguna manera, en un requisito previo para las organizaciones que buscan adoptar soluciones en la nube".
Diamond también cita las políticas de traer su propio dispositivo (BYOD, por sus siglas en inglés) y la cultura de "siempre activo" y "trabajar desde cualquier lugar" como impulsores de SSO. "La gente está trabajando desde dispositivos que TI no controla y en redes donde TI no tiene visibilidad", comenta. "Por esto, la autenticación se vuelve un punto de control fundamental independiente de dispositivos y ubicación, que invoca controles de seguridad tales como autenticación continua, autenticación de múltiples factores, controles de acceso conscientes de contexto, analítica de comportamiento del usuario, etc.".
¿Cuáles son los beneficios de SSO?
La mayor ventaja de SSO es, sin duda, la escalabilidad que proporciona. La gestión automatizada de credenciales significa que ya no se requiere que sysadmin se encargue manualmente del acceso de todos los empleados a los servicios. Esto, a su vez, reduce el factor de error humano y libera tiempo de TI para enfocarse en tareas más importantes.
Otros beneficios incluyen el aprovisionamiento rápido para aplicaciones en la nube; si SSO admite el aumento de estándares abiertos como Security Assertion Markup Language (SAML) 2.0, un administrador de SSO puede aprovisionar rápidamente la aplicación y extenderla a los empleados. SSO también puede ofrecer una mayor seguridad (especialmente cuando se combina con autenticación de dos factores [2FA]), aumentos de productividad y menos restablecimientos de contraseñas por parte del servicio de ayuda de TI.
Scott ve los beneficios para el equipo de TI y para los empleados: "El principal beneficio de SSO es la facilidad de uso para los usuarios, que también resulta en una reducción de llamadas al servicio de asistencia para el restablecimiento de contraseñas. Mejora la seguridad, ya que hay menos credenciales de usuario en riesgo, pero existe una necesidad clara de autenticación de múltiples factores (MFA) como backup para las contraseñas en caso de ser robadas o descubiertas".
Scott agrega que los clientes de Centrify encuentran que SSO hace que la incorporación de las personas a las nuevas aplicaciones de software como servicio (SaaS) sea más rápida y fácil. "Como TI puede proporcionar acceso más fácilmente, hay menos posibilidades de que se desarrolle una 'shadow TI'. Las buenas soluciones de SSO (o identidad como solución [IDaaS]) permiten a los usuarios solicitar acceso a nuevas aplicaciones y que el workflow de aprobación sea muy directo".
Francois Lasnier, vicepresidente senior de Administración de Identidades y Acceso en Gemalto, agrega que, en el pasado, el acceso remoto se ofrecía a través de VPN en la red, lo que significaba que SSO para las apps locales se manejaba dentro del ecosistema de Windows. Eso ha cambiado a través de la adopción de la nube. Afirma que SSO puede "aliviar la presión proporcionando control a los equipos de TI y comodidad para los empleados". Una implementación exitosa de SSO le permite a TI decidir quién puede acceder a qué aplicaciones, cuándo y dónde. Ofrece flexibilidad, lo que permite que una organización otorgue a los empleados acceso a todas las aplicaciones cuando se encuentran en la oficina, pero solo a unas pocas cuando trabajan de forma remota. Mantiene el negocio seguro y hace posible que los empleados trabajen de manera conveniente. En general, SSO, cuando se combina con mecanismos de gestión de riesgos, mejora la seguridad de acceso y mitiga el riesgo de una violación".
Diamond de Okta ofrece este ejemplo de cliente: 20th Century Fox necesitaba encontrar una forma de mejorar su proceso creativo y la distribución a través de miles de empleados, contratistas y socios; todo al mismo tiempo para proteger la propiedad intelectual (IP, por sus siglas en inglés) valorizada en millones. Mediante el uso de la plataforma de identidad de Okta, Diamond dice que Fox pudo implementar una solución para los 22 mil empleados, así como para cientos de socios de negocio, brindando fácil acceso a los equipos que trabajan en diferentes tipos de dispositivos. TI obtuvo visibilidad sobre quién iniciaba sesión y dónde, y el aprovisionamiento de usuarios se simplificó, tanto en equipos internos como externos.
Implementación de inicio de sesión único
¿Cómo es que las organizaciones implementan SSO en un entorno de IAM en constante movimiento, donde la tecnología generalmente compromete la nube pública y la infraestructura en las instalaciones? Scott señala que las organizaciones deberían seguir este proceso:
- Defina una lista de aplicaciones y decida cuáles están dentro del alcance.
- Si las aplicaciones no son compatibles con SSO, evalúe su futuro. Exija SSO a sus proveedores.
- Decida la fuente principal de identidad para los usuarios. (Por lo general, es Microsoft Active Directory, pero podría incluir LDAP, Google Directory u otros).
- Seleccione las aplicaciones y políticas necesarias para la solución de SSO.
- Determine quién necesita acceso a qué aplicaciones.
- Idealmente, basándose en agrupaciones de usuarios en lugar de individuos específicos, otorgue acceso a las aplicaciones. Esto debería permitir que los procesos de gestión de grupos existentes determinen el acceso a las aplicaciones en el futuro.
- Active las aplicaciones según lo permitan el plan del proyecto y el control de cambios.
Lasnier de Gemalto señala que "Las organizaciones deben considerar sus esquemas de autenticación actuales. Para algunas, esto podría significar múltiples esquemas diferentes, generalmente por departamento o caso de uso. Sin embargo, todo esto es irrelevante si las soluciones que implementan las empresas no pueden soportar todas las aplicaciones que utilizan, o el costo de implementación es demasiado alto. Acabar con las soluciones existentes podría ser muy costoso, así que las empresas deben buscar combinarlas en una única solución de gestión, lo que les permitiría ampliar la oportunidad de casos de uso mientras se mueven de forma segura a la nube".
Al mismo tiempo, Diamond de Okta recomienda tener precaución con las aplicaciones heredadas. "La clave es proporcionar flexibilidad sin comprometer nada. Para muchos, la fuente de la verdad seguirá siendo Active Directory (AD), pero no se equivoquen: las aplicaciones heredadas están en todas partes. También debe ser capaz de soportar RADIUS y LDAP, por ejemplo, para cumplir casos de uso fundamentales, que la mayoría de las empresas tendrán".
Sería un error sugerir que SSO es una solución milagrosa. Los desafíos que trae la implementación de SSO incluyen costo, control, estandarización (SAML vs OAuth) y vulnerabilidad. Por ejemplo, a principios de este año, un error de validación con el protocolo abierto de SAML podía permitir que un atacante inicie sesión en un sitio o servicio como si fuera la víctima a la que apuntaba. Según los investigadores, una vulnerabilidad de OAuth por separado puede provocar que un atacante inicie sesión en la cuenta de la aplicación móvil de una víctima y tome el control de la misma.
Scott también ve problemas de compatibilidad: aplicaciones que no soportan SSO. "Los usuarios deben exigir a sus proveedores de aplicaciones que tengan una verdadera capacidad de SSO a través de SAML, Kerberos, etc., y no simplemente tengan que introducir otro nombre de usuario/contraseña para ser cuidados". Además, MFA y SSO deberían juntarse.
Él está seguro de que SSO tiene un futuro brillante. "Al adoptar un enfoque de 'confianza cero' para la seguridad, incrementará la adopción de SSO para permitir a los usuarios trabajar de la misma manera donde sea que estén y en cualquier dispositivo", asegura Scott. "Veremos que más proveedores de aplicaciones incluirán SSO en ellas, y habrá una mayor adopción de MFA debido a la posible exposición de tener un solo conjunto de credenciales."
Doug Drinkwater, CSO (EE.UU.)