SAML es un método de inicio de sesión único muy utilizado por empresas y organizaciones gubernamentales que elimina la necesidad del usuario de crear varias contraseñas para acceder a diferentes aplicaciones y sistemas. El uso de este protocolo facilita y optimiza el flujo de trabajo diario, sin comprometer la seguridad y la privacidad de las operaciones. 

En esta publicación, vamos a explicar qué es SAML, cómo funciona, cuáles son sus ventajas y cuáles son las diferencias entre él y otras tecnologías de autenticación populares, como OAuth.

¿Qué es SAML?

SAML es el acrónimo de Security Assertion Markup Language (Lenguaje de Marcado de Declaración de Seguridad, en español). Se trata de un protocolo cuya función es permitir que un proveedor de identidad (IdP) envíe las credenciales del usuario a un proveedor de servicios (SP).

Este método fue desarrollado para que los usuarios pudieran hacer un inicio de sesión único (SSO), y a través de él poder acceder a diferentes sistemas. 

Por lo tanto, cuando la persona enciende la máquina e inicia sesión en uno de los sistemas que están insertados en este protocolo, sus credenciales de acceso son enviadas automáticamente por el proveedor de identidad al proveedor de servicios, permitiendo, de esta manera, el acceso del individuo. 

Siempre que este usuario quiera o necesite acceder a otra aplicación o sistema que sea compatible con este método de inicio de sesión, podrá acceder a él sin tener que volver a introducir su nombre de usuario y contraseña.

Definición de Security Assertion Markup Language

El Lenguaje de Marcado de Declaración de Seguridad es un protocolo de seguridad que utiliza XML (Lenguaje de Marcado Extensible, en español), para permitir un medio de comunicación estandarizado entre el proveedor de identidad y el proveedor de servicios.

Evolución y versiones (SAML 1.1 frente a SAML 2.0)

La primera versión del Security Assertion Markup Language, conocida como SAML 1.1, se lanzó en 2002 y se popularizó rápidamente por permitir un inicio de sesión único en diferentes softwares y sistemas.

Sin embargo, la versión original presentaba algunas fallas de seguridad, ofrecía opciones de autenticación limitadas y era poco flexible. Para resolver estos problemas, en 2005 se lanzó el SAML 2.0 trayendo las siguientes mejoras:

• Aumento de la seguridad
• Envío de mensajes totalmente cifrados
• Compatibilidad con nuevas formas de conexión, como HTTP Redirect
• Mejora en la estandarización
• Soporte a varias formas de autenticación
• Más flexibilidad

Componentes principales de SAML

El SAML está compuesto básicamente por un proveedor de identidad y un proveedor de servicios, que actúan de manera conjunta para permitir el inicio de sesión único del usuario. A continuación, revisa cómo funciona cada uno de estos componentes.

Proveedor de Identidad (IdP)

El proveedor de identidad es un sistema responsable de crear, almacenar y gestionar identidades digitales, como las credenciales de inicio de sesión.

Proveedor de Servicio (SP)

El SP es un sitio, sistema o aplicación protegida por contraseña. Cuando el usuario intenta acceder, es necesario que exista la autenticación por parte del IdP.

Aserción SAML: tipos (autenticación, atributo, autorización)

La aserción SAML es un archivo en formato XML que el proveedor de identidad envía al proveedor de servicios con la autorización de acceso del usuario. Existen tres tipos de aserciones:

• Autenticación: comprueban la identidad del usuario, informan el tiempo de inicio de sesión e indican el método de autenticación.
• Atributos: son elementos SAML que contienen las credenciales específicas del usuario.
• Autorización: documento destinado a informar si el usuario está autorizado o no a acceder al sistema.

Cómo funciona SAML en el flujo de autenticación federada

La autenticación federada permite iniciar sesión en diferentes sitios, aplicaciones y sistemas usando las mismas credenciales. Así es como el Security Assertion Markup Language posibilita este mecanismo.

Autenticación inicial del usuario

El proceso comienza cuando el usuario intenta acceder a un sistema compatible con autenticación federada, ingresando sus credenciales para obtener acceso.

Intercambio de aserciones y permisos vía XML

Después de que el usuario introduce su información, el proveedor de servicios solicita al IdP que envíe las credenciales autorizando el acceso. El proveedor de identidad autentica los datos del usuario y envía un documento XML al SP con la autorización.

Single Sign-On (SSO) usando SAML

Como las credenciales del usuario ya fueron autorizadas mediante el protocolo SAML, cuando intente acceder a otro sistema compatible con autenticación federada podrá ingresar sin necesidad de volver a iniciar sesión.

Ventajas de usar SAML

El SAML presenta varias ventajas para las organizaciones que lo implementan y también para los usuarios que lo utilizan en su día a día. Descubre ahora cuáles son los principales beneficios.

Centralización de credenciales / gestión de identidad

La centralización y gestión de credenciales no tienen como único objetivo conceder acceso a determinados sistemas; estos mecanismos también son fundamentales para ejecutar un control de acceso preciso y aumentar la ciberseguridad.

Con SAML estos procesos se simplifican y se unifican en un solo lugar, facilitando así la gestión de credenciales y ofreciendo una protección adicional a las identidades, garantizando un control de acceso más efectivo.

Experiencia del usuario

Crear y memorizar contraseñas para diferentes sitios web y aplicaciones es muy complicado. Por eso, poder utilizar una única credencial para varios sistemas facilita mucho el trabajo de quienes necesitan acceder a diferentes aplicaciones en un mismo día.

Además, este sistema también puede contribuir a aumentar la productividad del usuario, ya que no tendrá que interrumpir su trabajo para recordar una contraseña y solicitar el acceso a un sistema determinado.

Mayor conformidad

Una de las grandes ventajas de mantener las credenciales de autenticación centralizadas es que facilita el proceso de auditorías de LGPD, HIPAA e ISO 27001.

Más seguridad

Con la implementación de la autenticación federada, el usuario no necesita crear contraseñas diferentes para cada tipo de aplicación, lo que evita la creación y proliferación de una infinidad de contraseñas débiles y reduce el riesgo de phishing.

Además, como SAML utiliza cifrado, todos los datos de los usuarios se envían de forma segura y no corren el riesgo de ser interceptados por intrusos

Interoperabilidad

La interoperabilidad es una capacidad que permite que diferentes sistemas, incluidas aplicaciones de distintas organizaciones, funcionen conjuntamente. Con SAML es posible conectar estos sistemas sin depender de configuraciones complejas y, además, permitir que los usuarios accedan a todas estas aplicaciones con una sola credencial.

SAML vs otras tecnologías de autenticación

Además del Security Assertion Markup Language existen otras tecnologías de autenticación en el mercado. Conoce ahora algunas de las principales y descubre qué las diferencia de SAML

SAML vs OAuth 

SAML y OAuth tienen el mismo objetivo de facilitar el acceso a sitios y aplicaciones. Sin embargo, utilizan protocolos y mecanismos diferentes. Mientras el primero transmite información en XML, el segundo utiliza JWT o JavaScript Object Notation.

Otra diferencia es que OAuth permite que las personas inicien sesión usando sus cuentas de terceros, como Google, Facebook y GitHub, sin que sus credenciales deban ser compartidas con nuevas aplicaciones.

OpenID Connect

OpenID Connect (OIDC) es otra opción de protocolo de autenticación diseñado para ser fácil de implementar y utilizar. Utiliza datos en formato JWT y flujos HTTPS. Este sistema envía un token de autenticación siempre que se solicita un nuevo inicio de sesión, pudiendo estar cifrado o no.

Cuándo usar SAML vs cuándo optar por otras opciones

Si necesitas mantener las credenciales y registros de acceso en un lugar centralizado, SAML puede ser la mejor alternativa. Sin embargo, quienes buscan una tecnología más eficiente para autenticar identidades, especialmente en aplicaciones móviles o aplicaciones web de página única, pueden beneficiarse bastante de OIDC.

OAuth puede ser una buena opción para quienes necesitan proporcionar autorizaciones y autenticaciones para garantizar el acceso en aplicaciones instaladas en dispositivos móviles. Sin embargo, este protocolo no ofrece una centralización de datos tan eficiente como SAML.

Buenas prácticas y desafíos en la implementación de SAML

El Security Assertion Markup Language es una tecnología eficaz que facilita mucho el día a día de los usuarios. Sin embargo, para que funcione correctamente y no haya fallos de seguridad, es necesario conocer los principales retos de implementación y también las buenas prácticas de uso de la herramienta.

Seguridad de la aserción y certificados

Es imprescindible que los certificados estén siempre actualizados. De lo contrario, pueden ocurrir fallas en el proceso de autenticación.

Sincronización de tiempo entre IdP y SP

Para que SAML funcione como se espera, es necesario configurar un reloj del sistema preciso tanto para el protocolo de identificación como para el de servicio. Esto se debe a que el SP verifica la marca de tiempo (timestamp) de la aserción recibida para comprobar si ya ha expirado.

Por lo tanto, cuando estos relojes están desincronizados, el proveedor de servicios puede recibir una aserción con la hora incorrecta por un error del sistema y, como consecuencia, negar el acceso.

Configuración de fallback en caso de fallo de autenticación

Aunque SAML es eficiente en la mayoría de los casos, pueden ocurrir fallas en el proceso de autenticación. Por ello, es esencial que las organizaciones que utilizan esta tecnología cuenten con una configuración de fallback, que no es más que un plan de contingencia para garantizar el acceso al sistema cuando el método principal de autenticación no funciona.

Casos de uso prácticos de SAML

Ahora que ya sabes qué es SAML y cómo funciona, conoce a continuación algunos casos prácticos de uso de este protocolo. Así tendrás más base para decidir si esta es la mejor opción para centralizar las credenciales de acceso y facilitar el inicio de sesión en los sistemas de tu empresa.

Ejemplos de sistemas que pueden ser accesados de esta forma:

• Todas las aplicaciones SaaS utilizadas por la empresa con un solo inicio de sesión (como CRM, ERP, Salesforce y Microsoft Office)
• Sistemas de infraestructura de TI
• Sistemas educativos
• Sistemas gubernamentales
• Servicios basados en la nube

Ejemplos en proveedores populares

Para implementar SAML en tu empresa será necesario elegir un proveedor de autenticación. Algunos de los más populares y que ofrecen un servicio de calidad son:

• OneLogin
• Microsoft Entra ID (antes Azure AD)
• Okta

Cómo implementar SAML en tu entorno

El proceso de implementación de SAML implica elegir un proveedor de identidad, como Microsoft Entra ID, y configurar tanto el IdP como el SP. Aprende ahora cómo hacerlo.

Configuración del IdP y del SP

Si ya has elegido un proveedor de identidad, así es como debes configurarlo:

En el IdP:

1. Accede a la consola de administración del IdP
2. Crea una aplicación para representar tu sistema
3. Define los parámetros de SAML, como URLs de identificación y atributos del usuario
4. Descarga el certificado de autenticación

En el SP, será necesario:

1. Acceder a la sección de inicio de sesión único del proveedor de servicios
2. Insertar las URLs de inicio y cierre de sesión del IdP
3. Descargar el certificado obtenido del IdP
4. Insertar las credenciales del proveedor de autenticación

Los proveedores de autenticación suelen ofrecer a los usuarios una guía completa sobre cómo configurar e implementar este protocolo en un sistema.

Validación, pruebas y monitoreo continuo

Antes de comenzar a usar oficialmente el inicio de sesión único, es importante realizar pruebas para verificar si este método de acceso está funcionando correctamente. De esta manera será posible hacer ajustes, si es necesario, antes de liberar el protocolo para todos los colaboradores.

Conclusión

El inicio de sesión único a través de SAML es una excelente manera de centralizar y gestionar las credenciales de acceso a los sistemas de una empresa o entidad pública, así como facilitar el proceso de inicio de sesión y reducir el número de contraseñas débiles. Por lo tanto, considere implementar este protocolo en su negocio para aumentar la eficiencia y la ciberseguridad. 

Para más contenido sobre aplicaciones que pueden facilitar el día a día en los entornos corporativos, continúa en el blog de HostGator y revisa más artículos sobre este tema:

• Error 401: ¿Qué es y cómo corregirlo?
• Aprende lo que son los estados de los dominios internacionales
• Todo lo que necesitas saber sobre el registro de dominios
• ¿Qué es HTTPS?
• Autenticación de Dos Factores en WordPress: Guía Completa