SSO: ¿Qué es el inicio de sesión único? Servicio SSO universal para empresas
Contenido
Qué significa SSO y cómo funciona
Desventajas y ventajas del inicio de sesión único
Ejemplos de inicio de sesión único
Servicio SSO universal de Hideez
Ejemplo de configuración de ASA AnyConnect VPN para Hideez Enterprise Server a través de SAML
Configurar ASA para SAML a través de CLI
Agregar el proveedor de servicios a HES
Al navegar por una aplicación o un sitio web, probablemente haya visto la opción para iniciar sesión con Facebook o GoogleY lo siguiente que sabes es que mágicamente has iniciado sesión en el sitio web de terceros sin siquiera crear una cuenta.
No es magia, es una tecnología de inicio de sesión único o SSO¿Qué es, cómo funciona y por qué tantas organizaciones modernas lo usan por razones de seguridad?
Qué significa SSO y cómo funciona
El inicio de sesión único es un proceso de autenticación de usuario que les permite acceder a varias aplicaciones con un conjunto de credenciales de inicio de sesión, como un nombre de usuario y una contraseña.Esto significa que una vez que un usuario inicia sesión, no tiene que iniciar sesión repetidamente para cada aplicación vinculada a este sistema.
En realidad, el inicio de sesión único es un acuerdo de gestión de identidad federada entre tres entidades:
- Usuarios — Las personas individuales necesitan acceder a diferentes serviciosDeben poder administrar información personal, como su nombre de usuario o contraseña, y deben ser identificables de forma única.
- Proveedores de servicios (SP) — Tradicionalmente, estos son sitios web y aplicaciones a los que los usuarios quieren acceder, pero pueden incluir todo tipo de productos y servicios como acceso WiFi, su teléfono o dispositivos de "Internet de las cosas"
- Proveedores de identidad (IdP) — Bases de datos que almacenan las identidades de los usuarios que luego se pueden federar en varios recursos de TITambién pueden almacenar muchas instancias de la identidad del usuario, que contienen información como nombres de usuario, contraseñas, claves SSH, información biométrica y otros atributos.Uno de los proveedores de identidad más populares en la actualidad es Microsoft Active Directory, que fue diseñado para administrar nombres de usuario y contraseñas de Windows y conectarlos a recursos de TI basados en Windows en las instalaciones.
Para que SSO funcione, la mayoría de las aplicaciones se basan en protocolos estándar abiertos para definir cómo los proveedores de servicios y los proveedores de identidad pueden intercambiar información de identidad y autenticación entre sí. Los protocolos más comunes son SAML, OAuth y OpenID Connect (OIDC) que permiten de forma segura que un servicio acceda a datos de otro
Hoy, podemos ver una tendencia que las empresas están empezando a notar: el trabajo remoto desde casa significa que más usuarios tienen que iniciar sesión en sus cuentas a través de Internet para acceder a información importanteY este es todo el nuevo reino de los posibles vectores de ataque.Los delincuentes ya lo saben y se están aprovechando de elloPor lo tanto, cada vez más empresas comienzan a abordar esas nuevas amenazas mediante la implementación de soluciones de SSO.
Desventajas y ventajas del inicio de sesión único
La principal ventaja de SSO es la excelente experiencia de usuario y la comodidad que brinda a los usuariosTienen contraseñas mínimas para recordar, agiliza el proceso de inicio de sesión y reduce las posibilidades de phishing
SSO es especialmente bueno para las empresas que operan de forma remota debido a COVID-19 porque los servicios de inicio de sesión único brindan la autenticación más segura y fácil de usar para inicios de sesión remotos.El uso de SSO también puede ser parte de un sistema de gestión de acceso integrado para un aprovisionamiento y desaprovisionamiento de usuarios más rápido
Por otro lado, SSO presenta riesgos porque crea un único punto de falla que los atacantes pueden aprovechar para obtener acceso a otras aplicaciones.Además, al igual que muchas herramientas de TI, SSO requiere una implementación y una configuración que pueden ser bastante costosas.
Muchos proveedores de SSO cobran individualmente por función, por lo que las tarifas se suman rápidamente y pueden convertirse en una pesada carga para el presupuesto de las pequeñas o medianas empresas.
De todos modos, creemos que la conveniencia de SSO vale la pena todas las deficiencias que trae
Ejemplos de inicio de sesión único
Un ejemplo típico y bueno de inicio de sesión único es GoogleCualquier usuario que inicie sesión en uno de los servicios de Google inicia sesión automáticamente en otros servicios como Gmail, Google Drive, Youtube, Google Analytics, etc.
El inicio de sesión único suele utilizar un servicio central que organiza el inicio de sesión único entre varios clientes, que en el caso de Google son las cuentas de Google.
Pasando a la seguridad empresarial, hoy en día hay muchos productos y servicios de inicio de sesión único para empresasPor lo general, son administradores de contraseñas con componentes de cliente y servidor que registran al usuario en las aplicaciones de destino reproduciendo las credenciales del usuario.
Hideez Authentication Service es un ejemplo de soluciones SSO segurasUno de los beneficios exclusivos de Hideez SSO es que permite combinar métodos básicos de autenticación (nombre de usuario/contraseña + contraseña de un solo uso) con inicios de sesión totalmente sin contraseña (tokens FIDO2 o aplicación móvil)
Entonces, ¿cómo funciona el inicio de sesión único de Hideez?
Paso 1 El usuario accede a cualquier proveedor de servicios, imiaplicación compatible con protocolos SAML u OpenID;
Paso 2 El proveedor de servicios envía una solicitud SAML/OIDC al Servidor Hideez, y el usuario es redirigido automáticamente al servidor Hideez; Paso 3 Se solicita al usuario que complete los datos de inicio de sesión o seleccione uno de los métodos de autenticación disponibles: una clave de seguridad de hardware (Ybikekey, multifuncional Hideez Key o cualquier otro token de seguridad físico), o Hideez Authenticator aplicación móvil; Paso 4 El servidor Hideez envía un resultado de autenticación al proveedor de servicios y redirige al usuario a la aplicación inicial Paso 5 Un usuario se autentica, probablemente sin darse cuenta de nada excepto por algunas llamadas de redireccionamiento en la barra de URL de su navegador. Hideez Single Sign-On Service es un proveedor de identidad (IdP) SAML que agrega SSO a Windows Active Directory usando SAML 20 federaciónLos administradores pueden configurar el inicio de sesión único en cualquier aplicación web o móvil que admita los estándares OpenID Connect o SAML Y además de eso, ¡hacemos SSO completamente sin contraseña! A diferencia de SSO con inicios de sesión tradicionales basados en contraseña, Hideez SSO puede eliminar contraseñas y reemplazarlas con FIDO2/aplicación móvil experiencia sin contraseña, cuando sea posibleIncluso si algunas de sus aplicaciones no son compatibles con los estándares SAML u OIDC y no se pueden hacer completamente sin contraseña, puede usar Hideez Key como administrador de contraseñas de hardware y completar automáticamente las credenciales de inicio de sesión con solo presionar el botón. Puede elegir el factor de autenticación que sea más conveniente para sus empleados: Hideez Enterprise Server se integra con Microsoft Active Directory, Azure Active Directory y los sistemas de identidad LDAP para simplificar la incorporación y la administración de usuarios Sus empleados pueden usar una sola aplicación SSO para acceder a todas las cosas, lo que hace que Hideez SSO Service sea muy fácil de usar.Sin mencionar que no tiene que recordar las credenciales de inicio de sesión o pensar en prevenir el phishing y los robos de identidad. Hideez supera a todos los competidores actuales en conveniencia y precio, y ofrece total conformidad con los estándares de autenticación más estrictos, como GDPR, NIST, PSD2, PSI-DSS e HIPAAAl tomar medidas de precaución con mucha anticipación, puede ahorrar mucho dinero y tiempo a largo plazo. Programe una demostración o solicite una prueba gratuita de 30 días de Hideez ¡SSO y capture el futuro de la seguridad sin contraseña! Hideez Enterprise Server (HES) es compatible con SAML 20 (Security Assertion Markup Language) estándar para la autenticación de usuariosHES es un IdP (proveedor de identidad) que habilita SSO para todas las aplicaciones web (SP, proveedor de servicios) compatibles con SAML Dado que HES admite la autorización sin contraseña FIDO2, los proveedores de servicios obtienen automáticamente la capacidad de autorizar con claves de seguridad de hardware sin tener que crear e ingresar contraseñas. Cisco recomienda que tenga conocimiento de estos temas: La información de este documento se basa en estas versiones de software y hardware: La información de este documento se creó a partir de los dispositivos en un entorno de laboratorio específicoTodos los dispositivos utilizados en este documento comenzaron con una configuración borrada (predeterminada)Si su red está activa, asegúrese de comprender el impacto potencial de cualquier comandoTambién puede asignar usuarios a roles de aplicación específicos según las reglas que defina en su configuración en Active Directory, Cisco ASA y Anyconnect. SAML es un marco basado en XML para intercambiar datos de autenticación y autorización entre dominios de seguridadCrea un círculo de confianza entre el usuario, un proveedor de servicios (SP) y un proveedor de identidad (IdP) que le permite al usuario iniciar sesión una sola vez para múltiples servicios.Hideez Enterprise Server se integra a la perfección con el dispositivo Cisco ASA VPN para brindar seguridad adicional para los inicios de sesión de Cisco AnyConnect VPN Metadatos: es un documento basado en XML que garantiza una transacción segura entre un IdP y un SPPermite al IdP y SP negociar acuerdos Un dispositivo puede admitir más de una función y puede contener valores tanto para un SP como para un IdPDebajo del campo EntityDescriptor hay un IDPSSODescriptor si la información contenida es para un IdP de inicio de sesión único o un SPSSODescriptor si la información contenida es para un SP de inicio de sesión únicoEsto es importante ya que se deben tomar los valores correctos de las secciones correspondientes para configurar SAML con éxito. ID de entidad: Este campo es un identificador único para un SP o un IdPUn solo dispositivo puede tener varios servicios y puede usar diferentes ID de entidad para diferenciarlosPor ejemplo, ASA tiene ID de entidad diferentes para diferentes grupos de túneles que deben autenticarseUn IdP que autentica cada grupo de túneles tiene entradas de ID de entidad separadas para cada grupo de túneles a fin de identificar con precisión esos servicios. ASA puede admitir múltiples IdP y tiene una identificación de entidad separada para cada IdP para diferenciarlosSi cualquiera de los lados recibe un mensaje de un dispositivo que no contiene una ID de entidad que se haya configurado previamente, es probable que el dispositivo descarte este mensaje y la autenticación SAML falle.El ID de la entidad se puede encontrar en el campo EntityDescriptor al lado del ID de la entidad. URL de servicio: Estos definen la URL de un servicio SAML proporcionado por el SP o IdPPara los IdP, esto suele ser el servicio de cierre de sesión único y el servicio de inicio de sesión único.Para los SP, esto suele ser el Servicio de Consumidor de Aserciones y el Servicio de Cierre de Sesión Único El SP utiliza la URL del servicio de inicio de sesión único que se encuentra en los metadatos del IdP para redirigir al usuario al IdP para la autenticación.Si este valor está configurado incorrectamente, el IdP no recibe o no puede procesar con éxito la solicitud de autenticación enviada por el SP El IdP utiliza la URL del servicio de aserción al consumidor que se encuentra en los metadatos del SP para redirigir al usuario al SP y proporcionar información sobre el intento de autenticación del usuario.Si esto está configurado incorrectamente, el SP no recibe la aserción (la respuesta) o no puede procesarla con éxito. La URL del servicio de cierre de sesión único se puede encontrar tanto en el SP como en el IdPSe utiliza para facilitar el cierre de sesión de todos los servicios SSO del SP y es opcional en el ASACuando la URL del servicio SLO de los metadatos del IdP está configurada en el SP, cuando el usuario cierra la sesión del servicio en el SP, el SP envía la solicitud al IdPUna vez que el IdP ha cerrado la sesión del usuario de los servicios, lo redirige al SP utilizando la URL del servicio SLO que se encuentra en los metadatos del SP. Enlaces SAML para URL de servicio: los enlaces son el método que utiliza el SP para transferir información al IdP y viceversa para los servicios.Esto incluye HTTP Redirect, HTTP POST y ArtifactCada método tiene una forma diferente de transferir datos.El método de vinculación admitido por el servicio se incluye dentro de la definición de ese servicio.Por ejemplo: SingleSignOnService Binding="urn:oasis:names:tc:SAML:20: enlaces: redirección HTTP" Location="https://samlejemplocom/simplesaml/saml2/idp/SSOServicephp"/ >El ASA no es compatible con la vinculación de artefactosASA siempre usa el método de redirección HTTP para las solicitudes de autenticación SAML, por lo que es importante elegir la URL del servicio SSO que usa el enlace de redirección HTTP para que el IdP espere esto. Para brindar confidencialidad e integridad a los mensajes enviados entre el SP y el IdP, SAML incluye la capacidad de cifrar y firmar los datos.El certificado utilizado para cifrar y/o firmar los datos se puede incluir dentro de los metadatos para que el extremo receptor pueda verificar el mensaje SAML y asegurarse de que proviene de la fuente esperada.Los certificados utilizados para la firma y el cifrado se pueden encontrar dentro de los metadatos en KeyDescriptor use="signing" y KeyDescriptor use="encryption", respectivamente, luego X509CertificateEl ASA no admite el cifrado de mensajes SAML Los IdP y los proveedores de servicios deben intercambiar certificados de clave pública, direcciones para solicitudes y otros parámetros para establecer una aceptación entre ellos. Un certificado en el “pfx” el formato es necesario para el trabajo del protocolo SAMLSe puede generar, por ejemplo, a través de una aplicación OpenSSL o utilizando un certificado existenteEl archivo del certificado debe copiarse en el servidor HES (p.gramola carpeta con archivos binarios y configuraciones) Inicie sesión en el servidor HES, luego vaya a Configuración -> Parámetros -> SAMLLuego presione el botón [Establecer configuración de IdP]: Seleccione supfx e ingrese la contraseña para elpfxTambién debe seleccionar el algoritmo apropiado: SignatureAlgorithm - un algoritmo de firmaDebe coincidir con el algoritmo con el que se estableció el certificado pfxLas posibles opciones son SHA1, SHA256, SHA384, SHA512 En la misma página (Configuración -> Parámetros -> SAML), después de configurar elcertificado pfx puede: Los metadatos son un archivo XML que contiene toda la información necesaria sobre la configuración de IdP y el certificado de clave públicaASA le permite importar metadatos de IdP al configurar SAML, lo que simplifica la configuraciónTambién puede descargar un certificado por separado, si es necesario, o ver todos los metadatos en la pantalla Para los próximos pasos, debe descargar el archivo de metadatos y los archivos del certificado. Paso 1Crea un Trustpoint e importa nuestro certificado SAML # configuración t # crypto ca punto de confianza HES-SAML verificación de revocación ninguna sin uso de ID terminal de inscripción sin control ca # crypto ca autenticar HES-SAML -----INICIAR CERTIFICADO----- … Texto del certificado IdP de HES que descargó en el paso anterior … -----FIN DEL CERTIFICADO----- # salir Paso 2 Aprovisione su IdP de SAML #webvpn # saml idp https://ejemploocultares/ # URL de inicio de sesión https://ejemploocultarcom/Saml/Iniciar sesión # cierre de sesión de URL https://ejemploocultarcom/Saml/Cerrar sesión # trustpoint idp HES-SAML - [Punto de confianza de IdP] # trustpoint sp ASA-EXTERNAL-CERT - [SP Trustpoint] # ninguna reautenticación forzada # sin firma # URL-base https://asaejemplocom Paso 3 Aplicar autenticación SAML a una configuración de túnel VPN # grupo-túnel NOMBRE-GRUPO-TÚNEL atributos webvpn proveedor de identidad saml https://ejemploocultares/ muestra de autenticación # fin # memoria de escritura Paso 4 Obtener archivo de metadatos SAML ASA Ejecute el siguiente comando: # mostrar metadatos saml TUNNEL-GROUP-NAME Luego copie el texto de los metadatos en un archivo xml y guárdelo Nota: si realiza cambios en la configuración de IdP, debe eliminar la configuración del proveedor de identidad saml de su grupo de túneles y volver a aplicarla para que los cambios entren en vigencia. Inicie sesión en el servidor HES, luego vaya a Configuración -> Parámetros -> SAMLLuego presione el botón [Agregar proveedor de servicios] En el siguiente formulario puede agregar un archivo de metadatos o completar todos los parámetros manualmente: Dado que el IdP y el SP pueden usar diferentes identificadores para los usuarios, se necesita un mecanismo para hacer coincidir estos identificadores para establecer una correspondencia uno a uno entre los usuarios en ambos servicios.El identificador de usuario (login) en HES es su correo electrónico, aunque en otros sistemas puede ser otra cosa (p.gramouna combinación del nombre y apellido del usuario) Si su configuración de ASA y AD acepta el correo electrónico como ID de usuario, debe configurar: Formato de identificador de nombre - Campo de identificador de nombre de correo electrónico - Correo electrónico Si la configuración de ASA y AD no acepta el correo electrónico como ID de usuario, debe establecer el formato que usa en el campo 'Formato de identificador de nombre' y el valor 'ID externo' en el campo 'Nombre'. Campo de identificadorLuego, debe completar el campo 'ID externo' para cada empleadoPara hacer esto, haga clic en Empleados -> 'Seleccione un empleado -> Detalles -> Editar configuración (en la sección Inicio de sesión único) -> Editar la ID externa Después de completar y guardar todas las configuraciones, puede verificar la integración iniciando sesión en el proveedor de serviciosDebería ser redirigido a la página de autenticación de HES, donde deberá ingresar su nombre de usuario (correo electrónico) y pasar la verificación de la clave de seguridad. Los empleados no pueden iniciar sesión en el servicio HES y utilizar el servicio SSO de forma predeterminada, deben tener un permiso explícito del administradorSeleccione un empleado y haga clic en el botón [Editar]Luego haga clic en el botón [Habilitar SSO] en la página abierta para otorgar el permiso Nota: Un empleado debe tener un correo electrónico y una clave asociada para activar el servicio SSO El servicio SSO se habilita automáticamente y no se puede desactivar para todos los administradores de HES Si se utiliza ID externo como campo de identificador de nombre, también debe completar este campoAbra 'Empleados' -> 'Seleccione un empleado' -> 'Editar' para editar el campo ID externo Es posible que algunos proveedores de servicios no admitan esta función. Conéctese a su URL VPN y elija una de sus opciones de inicio de sesión en la ventana Hideez Enterprise Server, luego use sus credenciales para iniciar sesión: AnyConnect está conectado: Ejemplo de depuración: [SAML] consuma_asertion: el identificador de un proveedor es desconocido para #LassoServerPara registrar un proveedor en un objeto #LassoServer, debe usar los métodos lasso_server_add_provider() o lasso_server_add_provider_from_buffer() Problema: Generalmente significa que saml idp [entityID] comando bajo la configuración webvpn de ASA no coincide con la ID de entidad IdP que se encuentra en el Metadatos de IdP Solución: Compruebe el ID de entidad del archivo de metadatos del IdP y cambie el comando saml idp [entity id] para que coincida con este Ejemplo de depuración: [SAML] NotBefore:2017-09-05T23:59:01896Z NotOnOrAfter:2017-09-06T00:59:01896Z tiempo de espera: 0 [SAML] consuma_asertion: la afirmación ha caducado o no es válida Problema 1La hora ASA no está sincronizada con la hora del IdP Solución 1Configure ASA con el mismo servidor NTP utilizado por IdP Problema 2La afirmación no es válida entre el tiempo especificado Solución 2Modificar el valor de tiempo de espera configurado en el ASA Ejemplo de depuración: [Lasso] func=xmlSecOpenSSLEvpSignatureVerify:file=signaturesc:line=493:obj=rsa-sha1:subj=EVP_VerifyFinal:error=18:los datos no coinciden:la firma no coincide [SAML] consuma_asertion: el perfil no puede verificar una firma en el mensaje Problema: ASA no puede verificar el mensaje firmado por el IdP o no hay firma para que ASA verifique Solución: Verifique el certificado de firma del IdP instalado en el ASA para asegurarse de que coincida con lo que envía el IdPSi esto se confirma, asegúrese de que la firma esté incluida en la respuesta SAML Ejemplo de depuración: [SAML] consuma_assertion: la audiencia de afirmación no es válida Problema: IdP está definiendo la audiencia incorrecta Solución: Corrija la configuración de audiencia en el IdPDebe coincidir con la identificación de la entidad del ASA Ejemplo de depuración: no se puede recibir ninguna depuración después de enviar la solicitud de autenticación inicialEl usuario puede ingresar credenciales en IdP pero IdP no redirige a ASA Problema: IdP está configurado para la URL de servicio de consumidor de afirmación incorrecta Solución(es): Verifique la URL base en la configuración y asegúrese de que sea correctaVerifique los metadatos de ASA con show para asegurarse de que la URL del servicio de consumidor de aserciones sea correctaPara probarlo, navegue, si ambos son correctos en el ASA, verifique el IdP para asegurarse de que la URL sea correcta Ejemplo: después de modificar o cambiar una URL de inicio de sesión único, el certificado SP, SAML aún no funciona y envía las configuraciones anteriores Problema: ASA necesita regenerar sus metadatos cuando hay un cambio de configuración que lo afectaNo hace esto automáticamente Solución: Después de realizar los cambios, en el grupo de túneles afectado, elimine y vuelva a aplicar el comando saml idp [entity-id] La mayoría de las soluciones de problemas de SAML implican una configuración incorrecta que se puede encontrar cuando se verifica la configuración de SAML o se ejecutan las depuraciones.debug webvpn saml 255 se puede usar para solucionar la mayoría de los problemas; sin embargo, en escenarios en los que esta depuración no proporciona información útil, se pueden ejecutar depuraciones adicionales: ¿Necesitas ayuda? Intente buscar en nuestros artículos de Knowledge Base o póngase en contacto con Soporte para obtener más ayuda 
Servicio SSO universal de Hideez
Ejemplo de configuración de ASA AnyConnect VPN para Hideez Enterprise Server a través de SAML
Requisitos
Componentes utilizados
Información general
Componentes SAML
Roles admitidos por los dispositivos (IdP, SP)
Certificados para operaciones de firma y cifrado
Configurar HES como IdP
Paso 1Establecer la configuración del proveedor de identidad
Paso 2Obtener archivo de metadatos HES
Configurar ASA para SAML a través de CLI
Agregar el proveedor de servicios a HES
Verificación final
Paso 1Habilitar SSO para un usuario en HES
Paso 2Inicie sesión en un servicio web mediante SAML
Problemas comunes
1IDENTIFICACIÓN DE LA ENTIDAD DESINCORPORACIÓN
2DESCONCORDANCIA HORARIA
3SE UTILIZÓ UN CERTIFICADO DE CANTO IDP INCORRECTO
4AUDIENCIA DE AFIRMACIÓN INVÁLIDA
5URL INCORRECTA PARA EL SERVICIO AL CONSUMIDOR DE ASERCIÓN
5LOS CAMBIOS EN LA CONFIGURACIÓN DE SAML NO TIENEN EFECTO
Resolución de problemas