Integración SSO automática: cómo funciona de punta a punta

Una única puerta-torniquete de cristal en un lobby corporativo por la que fluye una corriente de profesionales hacia varios corredores luminosos, como metáfora de un solo acceso que abre muchos sistemas.

Integración SSO automática: cómo funciona de punta a punta

Desplegar un programa de concientización a diez mil colaboradores tiene un costo que casi nadie pone sobre la mesa al principio: crear y mantener diez mil cuentas. Cada alta, cada baja, cada cambio de área es un usuario que hay que dar de alta en una plataforma más, con una contraseña más que el colaborador va a olvidar. El inicio de sesión parece un detalle menor hasta que se multiplica por la plantilla de un grupo grande, y ahí deja de ser un detalle.

El SSO resuelve esa fricción, pero suele venderse como una casilla de verificación (“¿tiene SSO? sí”) sin explicar qué pasa realmente entre que el colaborador hace clic y accede al programa. Ese “qué pasa realmente” es lo que decide si la integración SSO se resuelve en una tarde o se convierte en un proyecto de semanas. El DBIR de Verizon ubica año tras año a las credenciales robadas entre los principales vectores de acceso inicial a las organizaciones, así que reducir la cantidad de contraseñas que cada colaborador maneja no es solo comodidad, sino superficie de ataque que se achica.

¿Qué resuelve el SSO (y qué no) en una plataforma de concientización?

El single sign-on (SSO) es el mecanismo por el cual un colaborador accede a la plataforma con las mismas credenciales corporativas que ya usa para el resto de sus herramientas, sin crear ni recordar un usuario y una contraseña propios de la plataforma. La autenticación no la resuelve la plataforma: la delega en el proveedor de identidad (IdP) de la organización, que ya sabe quién es esa persona.

Eso es exactamente lo que resuelve, y conviene ser preciso con el límite. El SSO responde a la pregunta ”¿esta persona es quien dice ser?” en el momento del acceso. No responde a ”¿esta persona debería existir en la plataforma?”. Esa segunda pregunta (el alta, la baja y la actualización de las cuentas) es aprovisionamiento, y es un problema distinto que se resuelve con otra pieza. Confundir los dos es la causa más común de que un despliegue “con SSO” siga teniendo trabajo manual escondido.

¿Cómo funciona el flujo de autenticación SSO de punta a punta?

El estándar que sostiene la mayoría de estas integraciones es SAML 2.0. En SAML hay dos actores: el proveedor de identidad (IdP), que es el sistema corporativo donde vive la identidad del colaborador, y el proveedor de servicio (SP), que en este caso es la plataforma de concientización. El flujo de punta a punta, cuando el colaborador arranca desde la plataforma, es así:

  1. El colaborador entra a la plataforma y esta detecta que no hay una sesión activa.
  2. La plataforma (SP) redirige el navegador al IdP corporativo con una solicitud de autenticación firmada.
  3. El IdP autentica al colaborador con sus reglas propias: contraseña, segundo factor, políticas de acceso condicional, lo que la organización tenga configurado.
  4. Si la autenticación es válida, el IdP devuelve al navegador una aserción SAML firmada, un documento que afirma “esta persona es quien dice ser, y estos son sus atributos”.
  5. La plataforma valida la firma de esa aserción contra el certificado del IdP, lee los atributos y abre la sesión.

El colaborador ve una sola cosa: hace clic y entra. Todo el intercambio de la solicitud, la aserción y la validación de la firma ocurre en milisegundos y sin que tenga que tipear nada. El otro punto de partida posible es el inverso, cuando el colaborador arranca desde el portal corporativo (IdP-initiated) y desde ahí salta a la plataforma ya autenticado, pero la mecánica de la aserción firmada es la misma.

Lo importante para quien evalúa la plataforma es que la confianza no se apoya en una contraseña compartida entre dos sistemas, sino en criptografía: el SP confía en el IdP porque puede verificar su firma, no porque guarde un secreto. Esa es la razón por la que el SSO es más seguro que replicar contraseñas, y es la misma lógica de delegar en el sistema correcto que aplicamos cuando explicamos por qué integramos por API y no por agente.

¿SSO y aprovisionamiento de usuarios son lo mismo?

No, y separarlos es lo que hace que el programa escale sin trabajo manual. El SSO autentica; el aprovisionamiento crea, actualiza y desactiva las cuentas. Un colaborador puede autenticarse por SSO solo si su cuenta ya existe en la plataforma, así que el aprovisionamiento es el paso previo que hay que resolver aparte.

El aprovisionamiento se resuelve de dos maneras sin cargar altas a mano, y no dan lo mismo. La que sostiene el programa en el tiempo es la sincronización desde el directorio: la plataforma se conecta al directorio corporativo, por LDAP o importando desde Microsoft Entra ID o Google, y mantiene el padrón de colaboradores alineado con la fuente de verdad de la organización. Cuando alguien entra o sale de la empresa, el cambio se propaga sin que el responsable del programa tenga que tocar nada.

La otra opción, más simple de arrancar, es importar el padrón manualmente desde un archivo CSV, cuando no se quiere conectar el directorio completo. Sirve para el primer arranque, pero es una foto de un momento y no refleja las altas ni las bajas posteriores. La baja, además, es el caso que más importa desde la seguridad: un colaborador que dejó la empresa pero sigue con cuenta activa es un hueco.

Por eso el aprovisionamiento basado en el directorio, donde la baja del colaborador en el sistema corporativo arrastra su estado en la plataforma, es el que cierra ese hueco de raíz. Es el mismo principio de una única fuente de verdad para el padrón que está detrás de cómo funciona la sincronización de directorio con Microsoft Entra ID (antes Azure AD).

¿Qué hace que una integración SSO sea “automática” y no un proyecto de semanas?

La diferencia entre una integración de una tarde y una de varias semanas no está en el estándar (SAML es el mismo para todos) sino en cuánto del armado depende de intercambiar archivos de configuración a mano. Una integración automática reduce ese armado a tres cosas resueltas de forma prolija:

  1. Intercambio de metadata en lugar de configuración manual. El IdP y la plataforma se describen mutuamente con un archivo de metadata estándar (URLs, certificados, identificadores). Cargar esa metadata de un lado a otro reemplaza a copiar y pegar campos sueltos, que es donde aparecen los errores difíciles de diagnosticar.
  2. Mapeo de atributos explícito. La aserción del IdP trae atributos (nombre, correo, área, quizás el país de la filial) y la plataforma tiene que saber a qué campo va cada uno. Definir ese mapeo una vez, con criterio, es lo que evita tener que retocarlo cada vez que entra un colaborador nuevo.
  3. Un IdP por tenant cuando hay varias organizaciones. En un grupo con filiales, cada una puede tener su propio proveedor de identidad. Una arquitectura multi-tenant permite que cada filial conecte su IdP sin pisar a las demás, algo que ya se vuelve necesario cuando se sostiene un programa multi-idioma con HQ en España y filiales en LATAM.

Cuando estas tres cosas están resueltas, sumar el SSO deja de ser un hito de proyecto y pasa a ser un paso de configuración. El colaborador nunca ve nada de esto, que es exactamente el objetivo.

¿Cómo encaja el SSO en la arquitectura de SMARTFENSE?

SMARTFENSE resuelve la autenticación delegándola en el proveedor de identidad de cada organización. La plataforma soporta autenticación universal por SAML 2.0, lo que le permite integrarse con cualquier IdP que hable el estándar, y además importa y autentica colaboradores directamente desde Microsoft Entra ID y Google, y admite autenticación desde Auth0. El aprovisionamiento se cubre por el otro carril: sincronización de usuarios por directorio LDAP e importación desde esos mismos proveedores, de modo que el padrón de colaboradores se mantiene alineado con la fuente de verdad de la organización.

Para los casos que necesitan ir más allá de lo que resuelve la configuración (automatizar altas y bajas con lógica propia, o conectar el padrón a otro sistema interno), la plataforma expone una API REST documentada con OAuth 2.0 y JSON para gestión de usuarios y resultados. La lista completa de estas integraciones de identidad y directorio está en la página de integraciones de la plataforma, y cómo se administran los colaboradores una vez dentro se ve en usuarios y grupos inteligentes.

El resultado, visto desde la operación del programa, es que el equipo responsable no administra contraseñas ni carga altas a mano: la identidad la resuelve el sistema que ya la tenía, y la plataforma se ocupa de lo suyo, que es medir y cambiar el comportamiento de las personas.

Preguntas frecuentes

¿SSO significa que SMARTFENSE guarda las contraseñas de mis colaboradores?
No. Con SSO la plataforma nunca ve ni almacena la contraseña corporativa. La autenticación ocurre en el proveedor de identidad de la organización, que devuelve una aserción firmada; la plataforma solo verifica esa firma para abrir la sesión.

¿Puedo usar SSO sin sincronizar todo mi directorio?
Sí. La autenticación por SSO y el aprovisionamiento de cuentas son piezas independientes. Se puede autenticar por SAML y cargar el padrón importándolo desde un archivo CSV, o sincronizar el directorio por LDAP para mantener altas y bajas alineadas. Son decisiones separadas.

¿Qué pasa cuando un colaborador deja la empresa?
Si el aprovisionamiento está basado en el directorio, la baja del colaborador en el sistema corporativo se propaga a la plataforma y su acceso se cierra sin intervención manual. Este es el punto que más conviene resolver por sincronización y no por altas al vuelo.

¿Sirve el SSO para un grupo con varias filiales?
Sí. Una arquitectura multi-tenant permite que cada filial conecte su propio proveedor de identidad de forma independiente, manteniendo el programa unificado a nivel de grupo pero con la autenticación de cada organización resuelta por separado.

¿Cuánto tarda una integración SSO?
Depende de si el armado se apoya en intercambio de metadata y mapeo de atributos definido una vez, o en configuración manual campo por campo. Con lo primero, sumar el SSO es un paso de configuración; con lo segundo, se alarga por los errores difíciles de diagnosticar.

Si estás evaluando llevar tu programa de concientización a toda la organización sin sumar una contraseña más ni cargar altas a mano, la plataforma de SMARTFENSE resuelve la autenticación y el aprovisionamiento apoyándose en la identidad que tu organización ya administra.

Mauro Sánchez

CTO de SMARTFENSE, lidera los equipos de ingeniería y desarrollo. Especialista en materia de ciberseguridad e infraestructura, siendo el encargado de definir y concretar las integraciones y alianzas tecnológicas estratégicas de SMARTFENSE con diferentes soluciones. Más de 20 años avalan su experiencia en la toma de decisión e implementación de medidas de seguridad y tecnología.

Deja un comentario