¿Qué es SAML?

Obtén información sobre cómo el protocolo estándar del sector, el lenguaje de marcado de aserción de seguridad (SAML), refuerza las medidas de seguridad y mejora las experiencias de inicio de sesión.

Definición de SAML

SAML es la tecnología subyacente que permite a los usuarios iniciar una sesión una vez utilizando un conjunto de credenciales y acceder a varias aplicaciones. Los proveedores de identidades como Azure Active Directory (Azure AD) verifican los usuarios cuando inician una sesión y utilizan SAML para pasar esos datos de autenticación al proveedor de servicios que ejecuta el sitio, el servicio o la aplicación a los que los usuarios desean acceder.

¿Para qué se utiliza SAML?

SAML permite aumentar la seguridad de las empresas y simplificar el proceso de inicio de sesión para los empleados, los partners y los clientes. Las organizaciones lo utilizan para habilitar el inicio de sesión único, que permite a los usuarios utilizar un nombre de usuario y una contraseña para acceder a varios sitios, servicios y aplicaciones. Disminuir el número de contraseñas que las personas deben memorizar no solo es útil para ellas, sino que también reduce el riesgo de que se robe una de las contraseñas. Las organizaciones también pueden definir estándares de seguridad para las autenticaciones en sus aplicaciones habilitadas para SAML. Por ejemplo, pueden requerir la autenticación multifactor para que las personas puedan acceder a la red local y a aplicaciones como Salesforce, Concur y Adobe. 

 

SAML ayuda a las organizaciones a abordar los siguientes casos de uso:

 

Unificar la administración de identidad y acceso:

Al administrar la autenticación y la autorización en un solo sistema, los equipos de TI pueden reducir significativamente el tiempo dedicado al aprovisionamiento de usuarios y los derechos de identidad.

 

Hacer posible la Confianza cero:

Una estrategia de seguridad de Confianza cero requiere que las organizaciones verifiquen cada solicitud de acceso y limiten el acceso a información confidencial solo a aquellas personas que lo necesiten. Los equipos técnicos pueden utilizar SAML para definir directivas, por ejemplo, la autenticación multifactor y el acceso condicional, en todas sus aplicaciones. También pueden habilitar medidas de seguridad más estrictas como, por ejemplo, imponer un restablecimiento de contraseña, cuando el riesgo de un usuario aumenta debido a su comportamiento, el dispositivo o la ubicación.

 

Enriquecer la experiencia para los empleados:

Además de simplificar el acceso para los trabajadores, los equipos de TI también pueden marcar las páginas de inicio de sesión para crear una experiencia coherente en todas las aplicaciones. Los empleados también pueden ahorrar tiempo con experiencias de autoservicio que les permitan restablecer fácilmente sus contraseñas.

¿Qué es un proveedor de SAML?

Un proveedor de SAML es un sistema que comparte datos de autorización y autenticación de identidades con otros proveedores. Hay dos tipos de proveedores de SAML:

  • Los proveedor de identidades autentican y autorizan usuarios. Proporcionan la página de inicio de sesión donde los usuarios introducen sus credenciales. También imponen directivas de seguridad como, por ejemplo, solicitar una autenticación multifactor o un restablecimiento de contraseña. Una vez autorizado el usuario, los proveedores de identidades pasan los datos a los proveedores de servicios. 
  • Los proveedores de servicios son las aplicaciones y los sitios web a los que desean acceder los usuarios. En lugar de solicitar a los usuarios que inicien una sesión en sus aplicaciones individualmente, los proveedores de servicios configuran sus soluciones para confiar en la autorización SAML y se basan en los proveedores de identidades para verificar las identidades y autorizar el acceso. 

¿Cómo funciona la autenticación de SAML?

En la autenticación de SAML, los proveedores de servicios y los proveedores de identidades comparten datos de usuarios e inicio de sesión para confirmar que se autentique cada persona que solicite acceso. Normalmente, se siguen estos pasos:

  1. Un empleado empieza a trabajar iniciando una sesión en la página de inicio de sesión proporcionada por el proveedor de identidades.
  2. El proveedor de identidades valida que el empleado es quien dice ser confirmando una combinación de detalles de autenticación como, por ejemplo, el nombre de usuario, la contraseña, un PIN, el dispositivo o datos biométricos.
  3. El empleado inicia una aplicación del proveedor de servicios como, por ejemplo, Microsoft Word o Workday. 
  4. El proveedor de servicios se comunica con el proveedor de identidades para confirmar que el empleado está autorizado para acceder a la aplicación.
  5. El proveedor de identidades devuelve la autorización y la autenticación.
  6. El empleado accede a la aplicación sin necesidad de iniciar una sesión una segunda vez.
     

¿Qué es la aserción de SAML?

La aserción de SAML es el documento XML que contiene datos que confirman al proveedor de servicios que se ha autenticado a la persona que está iniciando sesión.

 

Hay tres tipos:

  • La aserción de autenticación identifica el usuario e incluye la hora en la que la persona ha iniciado sesión y el tipo de autenticación que ha utilizado, por ejemplo, una contraseña o una autenticación multifactor.
  • La aserción de atribución pasa el token SAML al proveedor. Esta aserción incluye datos específicos sobre el usuario.
  • Una aserción de decisión de autorización indica al proveedor de servicios si se ha autenticado al usuario o si se le ha denegado el acceso debido a un problema con sus credenciales o porque no tiene permisos para ese servicio. 

SAML frente a OAuth

Tanto SAML como OAuth facilitan el acceso a los usuarios a varios servicios sin necesidad de iniciar una sesión en cada uno de ellos por separado, aunque los protocolos utilizan procesos y tecnologías diferentes. SAML utiliza XML para que los usuarios puedan acceder a varios servicios con las mismas credenciales, mientras que OAuth pasa datos de autorización utilizando JWT o la notación de objetos JavaScript.


En OAuth, los usuarios eligen iniciar una sesión en un servicio utilizando una autorización de terceros, por ejemplo, sus cuentas de Google o Facebook, en lugar de crear un nuevo nombre de usuario o contraseña para el servicio. La autorización se pasa protegiendo la contraseña del usuario.

El rol de SAML para las empresas

SAML ayuda a las empresas a habilitar la productividad y la seguridad en sus áreas de trabajo híbridas. Como cada vez más personas trabajan de forma remota, es fundamental proporcionarles herramientas para que puedan acceder fácilmente a los recursos de la empresa desde cualquier lugar, pero sin los controles de seguridad adecuados, el acceso fácil aumenta los riesgos de una vulneración. Con SAML, las organizaciones pueden simplificar el proceso de inicio de sesión para los empleados, a la vez que aplican directivas seguras como la autenticación multifactor y el acceso condicional en las aplicaciones que utilizan sus empleados.


Para empezar, las organizaciones deben invertir en una solución de proveedor de identidades como Azure AD. Azure AD protege los usuarios y los datos con seguridad integrada y unifica la administración de identidades en una única solución. El autoservicio y el inicio de sesión único aumentan la productividad de los empleados de manera fácil y cómoda. Asimismo, Azure AD se suministra con una integración SAML predefinida con miles de aplicaciones como, por ejemplo, Zoom, DocuSign, SAP Concur, Workday y Amazon Web Services (AWS).

Más información sobre Seguridad de Microsoft

Preguntas más frecuentes

|

SAML incluye los siguientes componentes:

  • Los proveedor de servicio de identidad autentican y autorizan usuarios. Proporcionan la página de inicio de sesión donde los usuarios introducen sus credenciales e imponen directivas de seguridad, por ejemplo, solicitar una autenticación multifactor o un restablecimiento de contraseña. Una vez autorizado el usuario, los proveedores de identidades pasan los datos a los proveedores de servicios.
  • Los proveedores de servicios son las aplicaciones y los sitios web a los que desean acceder los usuarios. En lugar de solicitar a los usuarios que inicien una sesión en sus aplicaciones individualmente, los proveedores de servicios configuran sus soluciones para confiar en la autorización SAML y se basan en los proveedores de identidades para verificar las identidades y autorizar el acceso.
  • Los metadatos describen cómo intercambiarán las aserciones los proveedores de identidades y los proveedores de servicios, incluidos los puntos de conexión y la tecnología.
  • La aserción son los datos de autenticación que confirman al proveedor de servicios que se ha autenticado a la persona que está iniciando sesión.
  • Los certificados de firma establecen la confianza entre el proveedor de identidades y el proveedor de servicios y confirman que la aserción no se ha manipulado en el viaje entre los dos proveedores.
  • El reloj del sistema confirma que el proveedor de servicios y el proveedor de identidades tienen la misma hora para protegerse contra ataques de reproducción.

SAML ofrece las siguientes ventajas a las organizaciones, los empleados y los partners:

  • Experiencia del usuario mejorada. SAML permite a las organizaciones crear una experiencia de inicio de sesión único para que los empleados y los partners inicien una sesión una vez y obtengan acceso a todas sus aplicaciones. De esta forma, el trabajo es más fácil y cómodo, ya que hay que memorizar menos contraseñas y los empleados no tienen que iniciar sesión cada vez que cambien de herramienta.
  • Seguridad mejorada. Tener menos contraseñas reduce el riesgo de poner en peligro las cuentas. Asimismo, los equipos de seguridad utilizan SAML para aplicar una directiva de seguridad sólida en todas sus aplicaciones. Por ejemplo, pueden solicitar una autenticación multifactor para iniciar una sesión, o bien aplicar directivas de acceso condicional que limiten a qué aplicaciones y datos pueden acceder los usuarios.
  • Administración unificada. Al utilizar SAML, los equipos técnicos administran en una sola solución las identidades y las directivas de seguridad, en lugar de utilizar consolas de administración diferentes para cada aplicación. Esto simplifica significativamente el aprovisionamiento de usuarios.

SAML es una tecnología XML de estándar abierto que permite a los proveedores de identidades como Azure Active Directory (Azure AD) pasar datos de autenticación a un proveedor de servicios, por ejemplo, una aplicación de software como servicio.

 

El inicio de sesión único tiene lugar cuando un usuario inicia una sesión una vez y obtiene acceso a varios sitios web y aplicaciones web diferentes. SAML habilita el inicio de sesión único, pero es posible implementar el inicio de sesión único con otras tecnologías.

El protocolo ligero de acceso a directorios (LDAP) es un protocolo de administración de identidades que se utiliza para la autenticación y la autorización de identidades de usuario. Muchos proveedores de servicios admiten LDAP, por lo que puede ser una buena solución para el inicio de sesión único; no obstante, como es una tecnología antigua, no funciona tan bien con las aplicaciones web.

 

SAML es una tecnología más reciente que está disponible en la mayoría de aplicaciones web y en la nube, por lo que es una opción más popular para la administración de identidades centralizada.

La autenticación multifactor es una medida de seguridad que requiere que los usuarios utilicen más de un factor para demostrar su identidad. Normalmente, requieren algo que tiene la persona, como un dispositivo, y algo que saben, como una contraseña o un PIN. SAML permite a los equipos técnicos aplicar la autenticación multifactor en varios sitios web y aplicaciones. Pueden elegir aplicar este nivel de autenticación en todas las aplicaciones integradas con SAML o pueden aplicar la autenticación multifactor en algunas aplicaciones, pero no en otras.