Con la explosión de aplicaciones web, las organizaciones han buscado soluciones de inicio de sesión único (SSO) para permitir una integración más eficiente con sus servicios de directorio principales. Aquí, exploraremos la diferencia entre el SSO de SAML y el aprovisionamiento Justo a tiempo (JIT), dos conceptos que afectan la forma en que los usuarios acceden a las aplicaciones web.
¿Qué es SAML SSO?
El protocolo SAML (Lenguaje de marcado de Aserción de seguridad) se creó a principios de la década de 2000 para habilitar la autenticación segura entre proveedores de identidad y proveedores de servicios (es decir, aplicaciones web). SAML es seguro porque pasa certificados basados en XML que son únicos para cada aplicación en lugar de pasar credenciales de usuario.
Con SAML, las organizaciones crearon soluciones de SSO que simplificaron el proceso de inicio de sesión. En lugar de crear nuevos conjuntos de credenciales para cada aplicación web que utilizaran, los usuarios podrían aprovechar sus credenciales de directorio Active Directory/core para acceder tanto a sus máquinas como a sus aplicaciones web a través de un complemento de navegador o portal web.
El inicio de sesión único SAML se produce a través de inicios de sesión iniciados por proveedores de servicios o proveedores de identidad. En los inicios de sesión iniciados por el proveedor de servicios, los usuarios visitan el sitio web de la aplicación directamente y son redirigidos a su proveedor de identidad por un atributo como su nombre de dominio o nombre de usuario. Luego, se inician sesión en la aplicación a través de su proveedor de identidad automáticamente. En los inicios de sesión iniciados por proveedores de identidades, los empleados hacen clic en su portal web de inicio de sesión único para acceder a la aplicación. En cualquier caso, el proveedor de servicios nunca recibe ni rastrea sus credenciales.
Los proveedores de SSO a menudo ofrecen conectores preconstruidos y genéricos para dar a las organizaciones flexibilidad para conectarse a aplicaciones populares y propietarias. Los conectores prediseñados funcionan para aplicaciones populares como Slack, Salesforce, GitHub y miles más, mientras que los conectores genéricos permiten a los administradores completar los campos necesarios para conectarse a aplicaciones que no son tan accesibles. Estas soluciones ahorran tiempo no solo a los usuarios finales (que dedican 36 minutos al mes a actividades de contraseñas, según LastPass), sino también a los administradores de TI que necesitan administrar de forma segura el aprovisionamiento de usuarios y las contraseñas.
¿Qué es el aprovisionamiento Justo a tiempo?
El aprovisionamiento justo a tiempo también utiliza el protocolo SAML, y se refiere a un método de creación de cuentas de aplicaciones.
Con JIT, los administradores de TI ya no necesitan crear cuentas manualmente para cada usuario en cada aplicación que usan. En su lugar, las cuentas de usuario se crean la primera vez que los usuarios intentan iniciar sesión en las aplicaciones, siempre que tengan permisos para ellas.
Por ejemplo, los administradores de TI pueden conceder automáticamente acceso a Salesforce a todos los usuarios del departamento de ventas, y las cuentas de esos usuarios se crean la primera vez que intentan iniciar sesión en Salesforce a través de su portal de inicio de sesión único o mediante un inicio de sesión iniciado por un proveedor de servicios.
Es importante tener en cuenta que el proveedor de servicios (aplicación web) debe admitir JIT para que esta implementación funcione.
Comparar el aprovisionamiento de SSO y JIT de SAML
Tanto el aprovisionamiento de SSO y JIT de SAML desempeñan un papel a la hora de proporcionar una experiencia de inicio de sesión de aplicaciones fluida para los usuarios, y se pueden usar en conjunto.
La implementación de SSO de aplicaciones web tiene un efecto notable en la experiencia del usuario, ya que los usuarios solo tienen que introducir sus credenciales una vez por sesión para acceder a todas las aplicaciones que necesitan para trabajar durante el día.
Aunque la experiencia del usuario no cambia drásticamente cuando una organización utiliza el aprovisionamiento JIT, el proceso hace que la incorporación sea más eficiente y las operaciones de TI más agilizadas. JIT es una herramienta detrás de escena para conseguir que los administradores de TI dediquen más tiempo a otras tareas críticas.
El aprovisionamiento SSO y JIT de SAML también aumenta la seguridad de la organización y evita la expansión de identidades, ya que garantiza que los usuarios solo tengan una identidad segura para sus máquinas, otros recursos administrados por directorios y aplicaciones, en lugar de contraseñas repetidas o similares en todos los servicios, y reduce las tareas de aprovisionamiento manual que tienen que hacer los administradores.
Más información
Si es un administrador de TI que está explorando qué solución de SSO se adaptaría mejor a su entorno, hemos compilado una «Guía de compra de SSO» para informar su búsqueda.