Saltar al contenido principal

SSO empresarial

Inicio de sesión único (SSO) permite a los usuarios iniciar sesión en múltiples aplicaciones con un solo conjunto de credenciales. Es un término general que se refiere a la capacidad de un usuario para iniciar sesión una vez y acceder a múltiples aplicaciones o recursos sin necesidad de volver a iniciar sesión.

SSO empresarial es un tipo especializado de SSO diseñado para organizaciones, que simplifica la autenticación de los empleados en las herramientas del lugar de trabajo. Por ejemplo: Un empleado de Acme Company utiliza su cuenta de Google Workspace (foo@client.com) para iniciar sesión en Slack, Zoom, Trello, Office Suite y GitHub sin volver a ingresar credenciales. Los administradores de TI gestionan centralmente los permisos de acceso y revocan el acceso instantáneamente si un empleado se va.

Logto proporciona:

  • Conectores preconstruidos: Integración sencilla con proveedores de identidad populares (por ejemplo, Google Workspace, Microsoft Entra ID, Okta).
  • Conectores personalizados: Integra cualquier proveedor de identidad compatible con SAML/OIDC para necesidades organizacionales únicas.
  • Enrutamiento basado en dominio: Redirige automáticamente a los usuarios según el dominio de correo electrónico (por ejemplo, @client-a.com) al IdP de su empresa.
  • SSO iniciado por SP e iniciado por IdP: Los usuarios pueden iniciar sesión desde tu aplicación o desde el panel de su IdP para acceder.
  • Aprovisionamiento Just-in-Time (JIT): Agrega automáticamente a los usuarios empresariales a sus organizaciones en su primer inicio de sesión SSO empresarial—no se requieren invitaciones manuales. Aprende sobre el aprovisionamiento JIT.
nota:

Los usuarios de SSO empresarial no admiten la vinculación ni el uso de inicio de sesión con passkey. Si necesitas passkeys para esos usuarios, la aplicación de MFA debe gestionarse en el lado del IdP.

¿Necesito SSO empresarial?

Beneficios clave del SSO empresarial:

  • Seguridad centralizada: Las organizaciones aplican políticas de acceso estrictas (por ejemplo, autenticación multifactor, permisos basados en roles) en todas las aplicaciones integradas.
  • Acceso simplificado: Los empleados evitan la fatiga de contraseñas y obtienen acceso fluido a las herramientas.
  • Cumplimiento: Simplifica los registros de auditoría y cumple con los requisitos regulatorios (por ejemplo, GDPR, HIPAA).
  • Flexibilidad: Permite la integración con sistemas heredados o IdP de nicho mediante SAML/OIDC.

El SSO empresarial es imprescindible si:

  • Ofreces servicios B2B/B2C2B (por ejemplo, SaaS) que necesitan integrarse con los IdP corporativos de los clientes.
  • Operas en industrias reguladas (por ejemplo, salud, finanzas) donde la gestión centralizada de identidad y acceso es obligatoria.
  • Apuntas a ganar contratos empresariales donde la seguridad y la incorporación fluida son factores decisivos.

No necesitas SSO empresarial de inmediato si tu producto acaba de lanzarse. Considera habilitarlo cuando:

  • Un cliente de alto valor lo requiere para el cumplimiento de seguridad o como parte de su proceso de adquisición. Sin ello, puede que no continúen con la compra.
  • Tu producto está dirigido a clientes de nivel empresarial, donde el SSO es una expectativa estándar para la seguridad y la gestión de usuarios.

Con Logto, habilitar el SSO empresarial es sencillo—sin código, sin cambios disruptivos, solo un clic:

  1. Añade un conector empresarial dedicado para el IdP del cliente.
  2. Vincula su dominio de correo electrónico (por ejemplo, @client-a.com).
  3. Los usuarios existentes con ese dominio cambian automáticamente a SSO empresarial, con vinculación de cuentas entre su dirección de correo electrónico y el identificador SSO—sin interrupción en el acceso.

Componentes clave del SSO empresarial

  • Proveedor de identidad (IdP) (Identity provider): Un servicio que verifica las identidades de los usuarios y gestiona sus credenciales de inicio de sesión. Tras confirmar la identidad de un usuario, el IdP genera tokens de autenticación o aserciones y permite al usuario acceder a varias aplicaciones o servicios sin necesidad de volver a iniciar sesión. Esencialmente, es el sistema principal para gestionar las identidades y permisos de los empleados en tu empresa. Ejemplos: Okta, Azure AD, Google Workspace, LastPass, OneLogin, Ping Identity, Cyberark, etc. Más información sobre IdP.
  • Proveedor de servicios (SP) (Service provider): Un sistema o aplicación que requiere autenticación de usuario y depende del Proveedor de Identidad (IdP) para la autenticación. El SP recibe tokens de autenticación o aserciones del IdP, otorgando acceso a sus recursos sin requerir credenciales de inicio de sesión separadas. Ejemplos: Slack, Shopify, Dropbox, Figma, Notion, etc… y tu servicio. Más información sobre SP.
  • Identidad empresarial (Enterprise identity): Normalmente identificada por el uso de un dominio de correo electrónico corporativo para iniciar sesión. Esta cuenta de correo empresarial finalmente pertenece a la empresa.

Flujo de trabajo SSO compatible

  • SSO iniciado por IdP: En el SSO iniciado por IdP, el Proveedor de Identidad (IdP) controla principalmente el proceso de inicio de sesión único. Este proceso comienza cuando un usuario inicia sesión en la plataforma del IdP, como un portal corporativo o un panel de identidad centralizado. Una vez autenticado, el IdP genera un token de autenticación o aserción, que luego se utiliza para otorgar acceso sin problemas al usuario a múltiples servicios o aplicaciones conectadas (SP) sin requerir inicios de sesión adicionales. SSO iniciado por IdP
  • SSO iniciado por SP: En el SSO iniciado por SP, el Proveedor de Servicios (SP) toma la iniciativa en iniciar y gestionar el proceso de inicio de sesión único, a menudo preferido en escenarios B2B. Este escenario ocurre cuando un usuario intenta acceder a un servicio o aplicación específica (el SP) y es redirigido a su IdP para autenticarse. Tras un inicio de sesión exitoso en el IdP, se envía un token de autenticación de vuelta al SP, otorgando acceso al usuario. Logto admite SSO iniciado por SP para tus servicios B2B. SSO iniciado por SP

Protocolos SSO compatibles

  • SAML: Security Assertion Markup Language (SAML) es un estándar abierto basado en XML para intercambiar datos de autenticación y autorización entre un IdP y un SP. Este protocolo es especialmente apto para gestionar requisitos de seguridad complejos a nivel empresarial.
  • OIDC: OpenID Connect (OIDC) es una capa de identidad simple construida sobre el protocolo OAuth 2.0. Utiliza JSON/REST para la comunicación, lo que lo hace más ligero y adecuado para arquitecturas de aplicaciones modernas, incluidas aplicaciones móviles y de una sola página (SPA).

Preguntas frecuentes

¿Cómo agregar botones de conector SSO e iniciar sesión directamente con el proveedor SSO en mi sitio web?

Logto te permite agregar botones de inicio de sesión social a tu sitio web e iniciar directamente el proceso de inicio de sesión SSO sin mostrar el formulario de inicio de sesión predeterminado. Consulta nuestra guía de Inicio de sesión directo para instrucciones detalladas.

¿Cuántos conectores SSO empresariales necesito?

Cada cliente requiere un conector único para garantizar configuraciones aisladas, gestión de empleados y control de permisos. Por ejemplo:

  • Cliente A (Okta): “Conector empresarial A” usando Okta para @client-a.com.
  • Cliente B (Okta): Otro “Conector empresarial B” usando Okta para @client-b.com.
  • Cliente C (Azure AD): “Conector empresarial C” usando Microsoft Azure AD para @client-c.com.

Si necesitas acceso multi-cliente sin una configuración por cliente, considera usar conectores sociales (por ejemplo, Google, Facebook), ya que no requieren configuraciones de IdP específicas por cliente.

Experiencia SSO empresarial

SSO iniciado por IdP vs SSO iniciado por SP

SSO empresarial: Qué es, cómo funciona y por qué importa

 El arte del inicio de sesión único