[22/07/2019] El inicio de sesión único (SSO, por sus siglas en inglés) centraliza los servicios de autenticación de sesión y de usuario, requiriendo solo un conjunto de credenciales de inicio de sesión para múltiples aplicaciones. Esto mejora la experiencia del usuario, pero también tiene beneficios de administración de TI y seguridad. El SSO reduce el riesgo de pérdida o debilidad de las contraseñas, así como los gastos generales asociados a la gestión del acceso a la cuenta.
Si aún no ha implementado ninguna herramienta de SSO o de gestión de identidades, o está buscando una actualización, este resumen de herramientas de SSO le servirá como un manual para saber adónde quiere llevar las cosas. Dado el panorama actual de amenazas, necesita mejorar su juego de contraseñas tratando de librar a sus usuarios del desagradable hábito de reutilizar sus viejas contraseñas de reserva.
Cinco estrategias básicas de SSO
1. Administrador de contraseñas de empresa: Si tanto el costo como el soporte de TI son problemas, puede empezar con un gestor de contraseñas empresarial como 1Password o Lastpass (ahora propiedad de LogMeIn). Estos productos son ideales para mantener una "bóveda" central de todas sus contraseñas e insertarlas en el proceso de inicio de sesión. Todos ellos funcionan bien en diversas condiciones, como por ejemplo, al iniciar sesión en un navegador o en un teléfono inteligente. Normalmente no son compatibles con los inicios de sesión de autenticación de múltiples factores (MFA), excepto para acceder a su bóveda general. Cifra sobre el pago de alrededor de ocho dólares por usuario por mes.
2. Solución completa de SSO: Esta es una forma ligeramente mejor de usar contraseñas estáticas. Si cuenta con más de 100 empleados y tiene un nivel razonable de soporte de TI, eventualmente se dará cuenta de las limitaciones de estas herramientas de administración de contraseñas, y necesitará una solución SSO completa (el foco de este resumen) que pueda ofrecer políticas de autenticación más flexibles, reglas de acceso, aplicaciones de MFA y autenticación móvil. Curiosamente, la mayoría de los productos de SSO también cuestan alrededor de ocho dólares por usuario por mes, pero requerirán más personal de TI para su implementación.
Hablemos un poco sobre el uso de MFA, porque es una motivación importante detrás de la ruta de SSO. La idea de usar MFA solía ser principalmente para los ultras paranoicos. Ahora MFA es el mínimo para la seguridad empresarial, especialmente considerando el número y la creciente sofisticación de los ataques de phishing. Lamentablemente, la implementación de MFA está lejos de ser universal: una encuesta reciente de Symantec (Adapting to the New Realities of Cloud Threats) reveló que dos tercios de los encuestados aún no implementan ninguna herramienta de MFA para proteger sus infraestructuras de nube. Ciertamente, tener SSO puede ayudar a aliviar el dolor y avanzar hacia una mayor aceptación del MFA.
Además del MFA, hay otra razón para mejorar su juego de autenticación: la necesidad de una autenticación adaptativa o basada en el riesgo. Esto significa cambiar su perspectiva de emitir a sus usuarios un "pase de acceso de todo el día" cuando empiezan a trabajar iniciando sesión en sus computadoras portátiles. Esta idea ha quedado obsoleta y ha sido sustituida por estrategias de autenticación de grano más fino que tienen en cuenta numerosos factores que se ponen en juego de forma más o menos continua. Estas estrategias utilizan técnicas para detectar phishing, toma de posesión de cuentas y otras amenazas que intentan suplantar o robar la identidad de un usuario.
Aunque la mayoría de los proveedores de SSO cuentan con un amplio soporte de MFA, su soporte para la autenticación adaptativa es irregular y está lejos de estar maduro. Mire a los siguientes vendedores aquí: Cisco/Duo, Idaptive, ManageEngine, MicroFocus/NetIQ, Okta, OneLogin, PerfectCloud, Ping Identity y RSA.
3. SSO de código abierto: Otra estrategia -si tiene las habilidades y el personal, pero no tiene fondos- es ir por el camino del código abierto y añadir MFA a sus registros. La herramienta Authy.com MFA parece ser el líder del mercado hoy en día. La aplicación de Authy está disponible en una amplia gama de dispositivos, incluyendo computadoras de escritorio.
4. SSO de su proveedor de cloud computing: La cuarta estrategia es tomar cualquier característica de SSO que venga con su proveedor principal de cloud computing y tratar de extenderla a otras aplicaciones SaaS que soporten. Salesforce y Microsoft Azure son ejemplos de esta ruta. Cada uno tiene un complemento de servicio SSO que es más o menos capaz de proporcionar características básicas de autenticación. Sin embargo, no son tan útiles como una verdadera herramienta de SSO que es neutral para los proveedores. Le recomiendo que se quede con los proveedores especializados de SSO o se mude a una solución de gobierno de identidad.
5. Solución de gobierno de identidades: Estos productos incluyen OneSpan, Saviynt, HID, CA y Sailpoint, entre otros más de una docena de proveedores. También tienen un montón de funciones para que pueda insertar más control sobre la gestión dentro y fuera del embarque, gestionar la federación de identidades y la orquestación de aplicaciones, y tener una integración más estrecha con las aplicaciones de nube. Por supuesto, pagará más por estas características adicionales, pero estas son las herramientas que eventualmente querrá usar si quiere el paquete completo de identidad. No he revisado estos productos aquí.
Muchos de los proveedores de SSO que cubro aquí se han trasladado al espacio de gobierno de identidad, ya sea adquiriendo otras compañías (RSA, Duo y Ping Identity son ejemplos notables), o añadiendo nuevos productos a su línea de SSO (Okta, OneLogin e Idaptive).
Tendencias de la SSO
Todo se trata de las aplicaciones. Lo que hace que SSO funcione es la posibilidad de acceder automáticamente a tantas aplicaciones como sea posible. Aunque esto parece obvio, los proveedores de SSO han aumentado drásticamente su soporte de aplicaciones en los últimos años. Okta y OneLogin ahora soportan miles en su catálogo. Idaptive y NetIQ tienen una característica para hacer que la configuración de aplicaciones que no están en sus catálogos sea mucho más fácil, también.
Las aplicaciones de autenticación de teléfonos inteligentes han proliferado. Gracias a las debilidades de SMS MFA, un método de autenticación más seguro es utilizar una de estas aplicaciones que genera una contraseña única en su teléfono. El número de estas aplicaciones sigue creciendo, siendo Google Authenticator and Duo el mayor soporte entre los proveedores de cloud y SaaS. También hay aplicaciones de Authy, OneSpan, HID Approve, Microsoft, SafeNetMobilePass y Sophos, junto con las aplicaciones del administrador de contraseñas y los propios proveedores de SSO.
La siguiente tabla muestra algunos proveedores típicos de SaaS e IaaS y los métodos MFA y aplicaciones de smartphones que soportan. Si está pensando en admitir más de una aplicación, puede consultar esta reseña de las aplicaciones MFA más populares en Google Play.
El MFA adaptativo se implementa de diferentes maneras. La mayoría de las herramientas de SSO soportan MFA. La cuestión es cuán bueno es ese soporte, especialmente para el uso de aplicaciones específicas para smartphones MFA. La mayoría de las herramientas comienzan con una aplicación de autenticación en su smartphone que necesita configurar con las páginas principales de administración de portales web de SSO.Todos los proveedores de SSO soportan esto con las excepciones de ManageEngine y PerfectCloud.
FIDO sigue siendo un mercado en proceso de maduración. Con Google y Microsoft ahora soportando claves de hardware de autenticación FIDO para sus inicios de sesión en G Suite y Windows, se podría pensar que FIDO sería más prevalente de lo que realmente es. Algunos proveedores admiten algunas versiones de estas claves para la autenticación y se mencionan en las revisiones, pero están lejos de ser universales.
Las herramientas de gestión de dispositivos móviles están en remisión. Hace unos años, parecía que los proveedores de SSO se estaban moviendo hacia las características de administración de dispositivos móviles, con Centrify (ahora Idaptive) a la cabeza. Ahora parece como si a menos clientes les importara este problema, y en su lugar están usando las aplicaciones de autenticación de teléfonos inteligentes móviles como su principal baluarte contra los compromisos de cuenta. Idaptive y Duo son los dos líderes aquí.
Principales herramientas de SSO
Dúo/Cisco SSO: Dúo es relativamente nuevo en el espacio SSO, pero ha tomado rápidamente una posición de liderazgo, como lo demuestra la adquisición el año pasado por parte de Cisco. Tiene todas las funciones y está basado en una aplicación para teléfonos inteligentes con autenticación móvil que es equivalente a las aplicaciones de gestión móvil de muchos competidores. Soporta una rica colección de métodos de autenticación adaptativa e incluso trabaja con las herramientas SSO de la competencia (incluyendo Okta, Ping y OneLogin). La aplicación de autenticación de smartphones de Duo es también uno de los mecanismos MFA más populares para una amplia variedad de productos SaaS.
Tiene precios transparentes con un desglose completo de funciones y cuatro niveles: gratuito para un máximo de 10 usuarios y, a continuación, los planes comienzan a partir de tres dólares por usuario por mes y van hasta nueve dólares por usuario por mes. Los dos niveles superiores incluyen herramientas de autenticación adaptativa y de aplicación de políticas. El nivel superior asegura tanto las aplicaciones internas como las SaaS.
Idaptive Single Sign-On: Estoy impresionado con este producto. A principios de este año, Centrify escindió su unidad de negocios de identidad como Idaptive. Centrify continúa vendiendo sus herramientas de gestión de acceso privilegiado. Idaptive tiene dos versiones: la estándar y Adaptive SSO, que añade autenticaciones contextuales con un costo adicional. El soporte de MFA también viene en dos paquetes, a dos dólares por usuario por mes para el estándar, y cuatro dólares por usuario por mes para la versión adaptable que agrega contexto de dispositivo y usuario y características de reporte en tiempo real. Los métodos de MFA incluyen una amplia gama como el correo electrónico, las claves FIDO U2F, Google Authenticator y sus propias aplicaciones de autenticación, y SMS.
Los productos SSO soportan miles de aplicaciones y tienen una característica llamada Infinite Apps que descubre su configuración de SAML. Soportan una amplia gama de protocolos incluyendo SAML, WS-Fed y OAuth. El tablero de instrumentos Idaptive ha sido completamente reorganizado, pero en su mayoría ofrece la misma funcionalidad que el antiguo Centrify. Idaptive también tiene una línea completa de herramientas de gestión de identidad y aprovisionamiento, junto con una sólida oferta de gestión de dispositivos móviles. La compañía tiene una página de precios transparentes aquí, y ofrece una prueba gratuita.
ManageEngine/Zoho Identity Manager Plus: ManageEngine tiene más de una docena de aplicaciones en nube diferentes, y su herramienta SSO se llama Identity Manager Plus. Si es un gran consumidor de sus servicios (incluyendo la suite Zoho), entonces este es un buen punto de partida para sus necesidades de SSO. Si no, entonces buscaría en otra parte. La herramienta complementa otras herramientas relacionadas con ManageEngine AD. Tiene 400 aplicaciones en su catálogo y también soporta configuraciones SAML personalizadas.
Si desea soporte para MFA o dispositivos móviles, debe utilizar la herramienta ADSelfService Plus, que incluye numerosos métodos como aplicaciones de autenticación de Google, Duo y Microsoft, junto con soporte para tokens RSA SecurID. El software Identity Manager Plus admite una amplia variedad de proveedores de identidades, incluidos AD, Okta, OneLogin, Ping Identity y otros proveedores basados en SAML. Hay una demostración en línea y tiene una versión de prueba gratuita como muchos de sus otros productos.
MicroFocus/NetIQ Access Manager: MicroFocus es ahora el guardián de la llama NetIQ. Su solución abarca tres productos distintos: Access Manager, su principal herramienta SSO; un producto MFA; y un producto de gestión de dispositivos móviles llamado Zenworks Configuration Management. Cada uno tiene un plan de precios separado, que comienza en 49 dólares por usuario por mes (en el nivel de 500 usuarios) más un cargo único de 47 dólares por instalación. MFA comienza en 92 dólares por usuario por mes (también en el nivel de 500 usuarios). Su catálogo de aplicaciones contiene más de 500 entradas, pero al igual que Idaptive también ofrece una sencilla integración de aplicaciones en la rutina de integración. NetIQ soporta una amplia variedad de protocolos de conexión, incluyendo FIDO, SAML, OAuth, Open ID Connect y WS-Fed.
Okta Single Sign-On: Okta es desde hace mucho tiempo líder en SSO y vende dos versiones diferentes de su herramienta insignia: una versión básica y una versión adaptable que puede utilizarse para detectar la ubicación, los dispositivos y los parámetros de red para evitar ataques de falsificación. Ahora tiene una colección completa de productos complementarios, además de las ofertas de SSO que se mueven hacia un mayor espacio de integración y gobierno de identidad. Estos incluyen su servicio de gestión del ciclo de vida (que se encarga de la sincronización de Active Directory [AD] para Office 365, la integración de directorios con AD o LDAP y el aprovisionamiento automático), un directorio en la nube (que cuesta dos dólares por usuario y mes), un servicio que admite implementaciones híbridas en la nube o en las instalaciones, y la federación de llamadas entrantes (que comienza en ocho mil dólares al año).
Tablero principal de estado del sistema de Okta, donde se pueden ver los detalles sobre el tiempo de actividad general de los servicios y el historial del mes pasado.
Okta tiene dos versiones de su aplicación MFA para que coincida con sus dos versiones de SSO. El primero es el AMF básico y el segundo es la versión adaptativa. Cada producto tiene dos cuotas de componentes separadas. El primero es el cargo de acceso, que es de ocho mil dólares por año (o 16 mil dólares por año para el producto adaptativo). Entonces hay cargos por usuario de tres a cinco dólares por mes. Hay una prueba gratuita de 30 días del software de adaptación de MFA. Tiene una página de precios transparente para todos sus productos.
OneLogin Single Sign-On: OneLogin ha sido un proveedor de SSO durante mucho tiempo, y ahora ofrece una suite completa de productos de administración de identidades. Su servicio SSO viene en tres niveles diferentes: Starter (dos dólares por usuario por mes) soporta una sola instancia de AD; Enterprise (cuatro dólares por usuario por mes) agrega MFA, múltiples proveedores de identidad e integraciones con SIEMs y VPNs; y la versión ilimitada (ocho dólares por usuario por mes), que agrega aprovisionamiento de usuarios e integraciones adicionales. Todos sus productos están disponibles para una prueba gratuita de 30 días. Como ejemplo de la profundidad del producto, el catálogo de aplicaciones de OneLogin contiene 2.700 aplicaciones para completar fácilmente la contraseña y más de 1.500 aplicaciones SAML.
Los parámetros de configuración SAML de OneLogin, donde se especifica una aplicación, el protocolo de autenticación utilizado y las rutas URL para conectarse a los recursos.
OneLogin también ofrece un producto de autenticación adaptable que se basa en su propia herramienta de autenticación de software móvil Protect, y es compatible con una gran variedad de aplicaciones de autenticación, como Google Authenticator y Duo. Una herramienta de acceso unificado sirve de puente entre las aplicaciones locales y en la nube, y una herramienta de aprovisionamiento de usuarios en tiempo real para una mayor rapidez en el on- y off-boarding.
PerfectCloud SmartSignIn: Esta sigue siendo una solución muy básica de SSO. Hay una versión gratuita para un solo usuario para administrar hasta cuatro aplicaciones. PerfectCloud fue uno de los primeros en añadir una segunda frase de contraseña de factor a sus inicios de sesión, pero se ha quedado atrás a la hora de no soportar ninguna de las aplicaciones de autenticación de móviles. Esta frase de contraseña está encriptada en el dispositivo y no la almacenan, por lo que es una característica distintiva. El producto comienza desde seis dólares por usuario y mes para la versión SMB. Esto no incluye funciones adicionales como la integración con AD, el acceso y la gestión de grupos y las reglas de directivas.
Ping Identity PingOne: Ping es otro reproductor de SSO de larga data y uno de los primeros en ofrecer aprovisionamiento de identidad federada con su producto Ping Federate. Necesitará esto para implementar otras aplicaciones MFA además de su propia aplicación para smartphones.
Ping fija los precios de su aplicación básica de SSO de forma diferente dependiendo de si se vende directamente o a través de uno de sus muchos socios de canal. El precio básico incluye tanto MFA como SSO por tres dólares por usuario y mes, lo cual es muy competitivo considerando las características que se incluyen. También hay una prueba gratuita de 30 días.
Su catálogo tiene 1.650 aplicaciones que vienen preconfiguradas. PingOne soporta una amplia variedad de aplicaciones MFA (de sí mismo y de sus competidores como RSA, Symantec, Duo y Gemalto) y métodos, incluyendo FaceID de Apple, autenticación de huellas dactilares y de voz, junto con varios métodos de autenticación FIDO y otros tokens de hardware. Ping también trabaja con una serie de herramientas de gestión móvil, incluyendo MobileIron, Airwatch e InTune y otros proveedores de identidad, incluyendo AD, Azure AD, Google y Open ID Connect y SAML.
RSA SecurID Access Suite: RSA ha sido líder en el mercado de la autenticación desde que acuñó por primera vez su token de llavero SecurID, y ahora ofrece una variedad de herramientas en el mercado de gobierno de identidad completo, gracias a una combinación de adquisiciones e integraciones a lo largo de los años. Tiene una sólida oferta de SSO, pero obviamente quiere que implemente su solución completa de gobierno de identidad. El producto SecureID Access se vende a través de revendedores y los precios varían.
Detalles de acceso de RSA, donde se establecen perfiles de riesgo que determinan la frecuencia con la que se debe autenticar un comportamiento en particular.
RSA tiene un precio de 1.830 dólares al mes por un paquete de 500 usuarios que incluye licencias de usuario, autenticación MFA, soporte biométrico y FIDO. El producto tiene tres niveles de precios globales diferentes: el básico es la versión solo SSO. Encontrará características de identidad adicionales tanto en la versión para empresas como en la versión premium.
David Strom, CSO (EE.UU.)