SSO empresarial

Single sign-on (SSO) permite a los usuarios iniciar sesión en múltiples aplicaciones con un solo conjunto de credenciales. Es un término general que se refiere a la capacidad de un usuario para iniciar sesión una vez y acceder a múltiples aplicaciones o recursos sin necesidad de volver a iniciar sesión.

SSO empresarial es un tipo especializado de SSO diseñado para organizaciones, simplificando la autenticación para empleados a través de herramientas de trabajo. Por ejemplo: Un empleado de Acme Company utiliza su cuenta de Google Workspace (foo@client.com) para iniciar sesión en Slack, Zoom, Trello, Office Suite y GitHub sin volver a ingresar credenciales. Los administradores de TI gestionan centralmente los permisos de acceso y revocan el acceso instantáneamente si un empleado se va.

Logto proporciona:

Conectores preconstruidos: Integración fácil con proveedores de identidad populares (por ejemplo, Google Workspace, Microsoft Entra ID, Okta).
Conectores personalizados: Integra cualquier proveedor de identidad compatible con SAML/OIDC para necesidades organizacionales únicas.
Enrutamiento basado en dominio: Redirige automáticamente a los usuarios a través del dominio de correo electrónico (por ejemplo, @client-a.com) al IdP de su empresa.
SSO iniciado por SP e IdP: Los usuarios pueden iniciar sesiones desde tu aplicación o su panel de IdP para acceder.
Aprovisionamiento Just-in-time (JIT): Agrega automáticamente a los usuarios empresariales a sus organizaciones en el primer inicio de sesión SSO empresarial, sin necesidad de invitaciones manuales. Aprende sobre aprovisionamiento JIT.

¿Necesito SSO empresarial?

Beneficios clave del SSO empresarial:

Seguridad centralizada: Las organizaciones imponen políticas de acceso estrictas (por ejemplo, autenticación multifactor, permisos basados en roles) en todas las aplicaciones integradas.
Acceso simplificado: Los empleados evitan la fatiga de contraseñas y obtienen acceso fluido a las herramientas.
Cumplimiento: Simplifica las auditorías y cumple con los requisitos regulatorios (por ejemplo, GDPR, HIPAA).
Flexibilidad: Soporta integración con sistemas heredados o IdPs específicos a través de SAML/OIDC.

El SSO empresarial es imprescindible si:

Ofreces servicios B2B/B2C2B (por ejemplo, SaaS) que necesitan integrarse con los IdPs corporativos de los clientes.
Operas en industrias reguladas (por ejemplo, salud, finanzas) donde la gestión centralizada de identidad y acceso es obligatoria.
Apuntas a ganar contratos empresariales donde la seguridad y la incorporación fluida son decisivas.

No necesitas SSO empresarial de inmediato si tu producto acaba de lanzarse. Considera habilitarlo cuando:

Un cliente de alto valor lo requiere para el cumplimiento de seguridad o como parte de su proceso de adquisición. Sin él, pueden no proceder con la compra.
Tu producto está dirigido a clientes de nivel empresarial, donde el SSO es una expectativa estándar para la seguridad y la gestión de usuarios.

Con Logto, habilitar el SSO empresarial es sencillo: sin código, sin cambios disruptivos, solo un clic:

Agrega un conector empresarial dedicado para el IdP del cliente.
Vincula su dominio de correo electrónico (por ejemplo, @client-a.com).
Los usuarios existentes con ese dominio cambian automáticamente al SSO empresarial, con vinculación de cuentas entre su dirección de correo electrónico y el identificador SSO, sin interrupción en el acceso.

Componentes clave del SSO empresarial

Proveedor de identidad (IdP): Un servicio que verifica las identidades de los usuarios y gestiona sus credenciales de inicio de sesión. Después de confirmar la identidad de un usuario, el IdP genera tokens de autenticación o afirmaciones y permite al usuario acceder a varias aplicaciones o servicios sin necesidad de volver a iniciar sesión. Esencialmente, es el sistema de referencia para gestionar las identidades y permisos de los empleados en tu empresa. Ejemplos: Okta, Azure AD, Google Workspace, LastPass, OneLogin, Ping Identity, Cyberark, etc. Aprende más sobre IdP.
Proveedor de servicios (SP): Un sistema o aplicación que requiere autenticación de usuario y depende del Proveedor de Identidad (IdP) para la autenticación. El SP recibe tokens de autenticación o afirmaciones del IdP, otorgando acceso a sus recursos sin requerir credenciales de inicio de sesión separadas. Ejemplos: Slack, Shopify, Dropbox, Figma, Notion, etc... y tu servicio. Aprende más sobre SP.
Identidad empresarial: Generalmente identificada por su uso de un dominio de correo electrónico de la empresa para iniciar sesión. Esta cuenta de correo electrónico empresarial finalmente pertenece a la empresa.

Flujo de trabajo SSO soportado

SSO iniciado por IdP: En el SSO iniciado por IdP, el Proveedor de Identidad (IdP) controla principalmente el proceso de inicio de sesión único. Este proceso comienza cuando un usuario inicia sesión en la plataforma del IdP, como un portal de la empresa o un panel de identidad centralizado. Una vez autenticado, el IdP genera un token de autenticación o afirmación, que luego se utiliza para otorgar al usuario acceso sin problemas a múltiples servicios o aplicaciones conectadas (SPs) sin requerir inicios de sesión adicionales.
SSO iniciado por SP: En el SSO iniciado por SP, el Proveedor de Servicios (SP) toma la iniciativa en iniciar y gestionar el proceso de inicio de sesión único, a menudo preferido en escenarios B2B. Este escenario ocurre cuando un usuario intenta acceder a un servicio o aplicación específica (el SP) y es redirigido a su IdP para autenticación. Tras un inicio de sesión exitoso en el IdP, se envía un token de autenticación de regreso al SP, otorgando acceso al usuario. Logto soporta SSO iniciado por SP para tus servicios B2B.

Protocolos SSO soportados

SAML: Security Assertion Markup Language (SAML) es un estándar abierto basado en XML para intercambiar datos de autenticación y autorización entre un IdP y un SP. Este protocolo es particularmente hábil para manejar requisitos de seguridad a nivel empresarial complejos.
OIDC: OpenID Connect (OIDC) es una capa de identidad simple construida sobre el protocolo OAuth 2.0. Emplea JSON/REST para la comunicación, haciéndolo más ligero y mejor adaptado para arquitecturas de aplicaciones modernas, incluidas aplicaciones móviles y aplicaciones de una sola página (SPAs).

Preguntas frecuentes

Logto te permite agregar botones de inicio de sesión social a tu sitio web e iniciar el proceso de inicio de sesión SSO directamente sin mostrar el formulario de inicio de sesión predeterminado. Consulta nuestra guía de Inicio de sesión directo para obtener instrucciones detalladas.

¿Cuántos conectores SSO empresariales necesito?

Cada cliente requiere un conector único para asegurar configuraciones aisladas, gestión de empleados y control de permisos. Por ejemplo:

Cliente A (Okta): "Conector Empresarial A" usando Okta para @client-a.com.
Cliente B (Okta): Otro "Conector Empresarial B" usando Okta para @client-b.com.
Cliente C (Azure AD): "Conector Empresarial C" usando Microsoft Azure AD para @client-c.com.

Si necesitas acceso multi-cliente sin una configuración por cliente, considera usar conectores sociales (por ejemplo, Google, Facebook) en su lugar, ya que no requieren configuraciones de IdP específicas del cliente.

Experiencia SSO empresarial

SSO iniciado por IdP vs SSO iniciado por SP

SSO empresarial: Qué es, cómo funciona y por qué importa

El arte del inicio de sesión único

¿Necesito SSO empresarial?​

Componentes clave del SSO empresarial​

Flujo de trabajo SSO soportado​

Protocolos SSO soportados​

Preguntas frecuentes​

¿Cómo agregar botones de conector SSO e iniciar sesión directamente con el proveedor SSO en mi sitio web?​

¿Cuántos conectores SSO empresariales necesito?​

Recursos relacionados​