¿Qué es el inicio de sesión único de Microsoft Entra ID?
En este artículo se ofrece información sobre las opciones de inicio de sesión único (SSO) que tiene disponibles. También se describe una introducción a la planeación de una implementación de inicio de sesión único al usar Microsoft Entra ID. El inicio de sesión único es un método de autenticación que permite a los usuarios iniciar sesión con un conjunto de credenciales en varios sistemas de software independientes. El inicio de sesión único permite que un usuario no tenga que iniciar sesión en cada aplicación que use. Con el inicio de sesión único, los usuarios pueden acceder a todas las aplicaciones necesarias sin tener que autenticarse con otras credenciales. Para obtener una breve introducción, consulte Inicio de sesión único de Microsoft Entra.
En Microsoft Entra ID hay muchas aplicaciones que se pueden usar con el inicio de sesión único. Tiene varias opciones para el inicio de sesión único en función de las necesidades de la aplicación y de cómo se implemente. Tómese tiempo para planear la implementación del inicio de sesión único antes de crear aplicaciones en Microsoft Entra ID. La administración de aplicaciones se puede facilitar mediante el portal Aplicaciones.
Opciones de inicio de sesión único
La elección de un método de inicio de sesión único depende de cómo esté configurada la aplicación para la autenticación. Las aplicaciones en la nube pueden usar opciones basadas en federación, como OpenID Connect y SAML. La aplicación también puede usar el inicio de sesión único basado en contraseña, el inicio de sesión único basado en vinculación o el inicio de sesión único se puede deshabilitar.
Federación: a la acción de configurar el inicio de sesión único para que funcione entre varios proveedores de identidades se le conoce como federación. Una implementación del inicio de sesión único basada en protocolos de federación mejora la seguridad, la confiabilidad y las experiencias de los usuarios finales, y es más fácil de implementar.
Con el inicio de sesión único federado, Microsoft Entra autentica al usuario en la aplicación mediante la cuenta de Microsoft Entra. Este método es compatible con las aplicaciones SAML 2.0, WS-Federation u OpenID Connect. El inicio de sesión único federado es el modo más completo de inicio de sesión único. Use el inicio de sesión único federado con Azure AD cuando una aplicación lo admita, en lugar del inicio de sesión único basado en contraseña y Servicios de federación de Active Directory (AD FS).
Hay algunos escenarios en los que la opción de inicio de sesión único no está presente para una aplicación empresarial. Si la aplicación se registró mediante los registros de aplicaciones en el portal, la funcionalidad de inicio de sesión único está configurada para usar OpenID Connect. En este caso, la opción de inicio de sesión único no aparece en la navegación en Aplicaciones empresariales. OpenID Connect es un protocolo de autenticación basado en el protocolo OAuth 2.0, que se usa para la autorización. OpenID Connect usa OAuth 2.0 para controlar la parte de autorización del proceso. Cuando un usuario intenta iniciar sesión, OpenID Connect comprueba su identidad en función de la autenticación realizada por un servidor de autorización. Una vez autenticado el usuario, OAuth 2.0 se usa para conceder a la aplicación acceso a los recursos del usuario sin exponer sus credenciales.
El inicio de sesión único no está disponible cuando una aplicación se hospeda en otro inquilino. El inicio de sesión único tampoco está disponible si la cuenta no tiene los permisos necesarios (Administrador de aplicaciones en la nube, Administrador de aplicaciones o Propietario de la entidad de servicio). Los permisos también pueden provocar un escenario en el que se puede abrir la opción de inicio de sesión único pero no se pueda guardar.
Contraseña: las aplicaciones locales pueden usar un método basado en contraseñas para el inicio de sesión único. Esta opción funciona cuando las aplicaciones están configuradas para Application Proxy.
Con el inicio de sesión único con contraseña, los usuarios finales inician sesión con un nombre de usuario y una contraseña en la aplicación la primera vez que acceden a ella. Después del primer inicio de sesión, Microsoft Entra proporciona el nombre de usuario y la contraseña a la aplicación. El inicio de sesión único basado en contraseña permite el almacenamiento seguro de contraseñas de las aplicaciones y la reproducción mediante una extensión de explorador web o aplicación móvil. Esta opción usa el proceso de inicio de sesión existente proporcionado por la aplicación, permite que un administrador administre las contraseñas y no requiere que el usuario conozca la contraseña. Para obtener más información, consulte Adición del inicio de sesión único basado en contraseña a una aplicación.
Vinculado: el inicio de sesión vinculado puede proporcionar una experiencia de usuario coherente durante la migración de aplicaciones durante un período de tiempo. Si va a migrar aplicaciones a Microsoft Entra ID, es posible usar un inicio de sesión único vinculado para publicar rápidamente los vínculos a todas las aplicaciones que pretenda migrar. Los usuarios pueden encontrar todos los vínculos en los portales Aplicaciones o Microsoft 365.
Cuando el usuario se ha autenticado con una aplicación vinculada, se debe crear una cuenta antes de proporcionar al usuario el acceso de inicio de sesión único. El aprovisionamiento de esta cuenta puede producirse automáticamente o bien lo puede realizar manualmente un administrador. No se pueden aplicar directivas de acceso condicional ni autenticación multifactor a una aplicación vinculada porque una aplicación vinculada no proporciona funcionalidades de inicio de sesión único a través de Microsoft Entra ID. Al configurar una aplicación vinculada, simplemente agrega un vínculo que aparece para iniciar la aplicación. Para obtener más información, consulte Adición del inicio de sesión único vinculado a una aplicación.
Deshabilitado: cuando el inicio de sesión único está deshabilitado, no está disponible para la aplicación. Si el inicio de sesión único está deshabilitado, es posible que los usuarios tengan que autenticarse dos veces. Primero, los usuarios se autentican en Microsoft Entra ID y, posteriormente, inician sesión en la aplicación.
Deshabilite el inicio de sesión único cuando:
No está preparado para integrar esta aplicación con el inicio de sesión único de Microsoft Entra ID
Está probando otros aspectos de la aplicación.
Una aplicación local no requiere que los usuarios se autentiquen, pero quiere que lo haga. Con el inicio de sesión único deshabilitado, el usuario debe autenticarse.
Si ha configurado la aplicación para el inicio de sesión único basado en SAML iniciado por SP y cambia el modo del inicio de sesión único para deshabilitarlo, no impide que los usuarios firmen a la aplicación fuera del portal Aplicaciones. Para impedir que los usuarios inicien sesión desde fuera del portal Mis aplicaciones, debe deshabilitar la capacidad de que los usuarios inicien sesión.
Plan de la implementación del inicio de sesión único
Varias empresas hospedan aplicaciones web y permiten que estén disponibles como servicio. Algunos ejemplos conocidos de aplicaciones web son Microsoft 365, GitHub y Salesforce, pero hay muchas otras. Las personas acceden a las aplicaciones web mediante un explorador web en su equipo. El inicio de sesión único permite a los usuarios desplazarse entre las distintas aplicaciones web sin tener que iniciar sesión varias veces. Para obtener más información, consulte Planeación de una implementación de inicio de sesión único.
La forma de implementar el inicio de sesión único depende de dónde se hospede la aplicación. El hospedaje es importante debido a la manera en que el tráfico de red se enruta para acceder a la aplicación. Los usuarios no necesitan usar Internet para acceder a aplicaciones locales (hospedadas en una red local). Si la aplicación se hospeda en la nube, los usuarios necesitan Internet para usarla. Las aplicaciones hospedadas en la nube también se denominan aplicaciones de software como servicio (SaaS).
Para las aplicaciones en la nube, se usan protocolos de federación. También puede usar el inicio de sesión único en aplicaciones locales. Puede usar Application Proxy configurar el acceso para la aplicación local. Para obtener más información, consulte Acceso remoto a aplicaciones locales mediante el proxy de aplicaciones de Microsoft Entra.
Mis aplicaciones
Si es un usuario de una aplicación, es probable que no le interesen mucho los detalles del inicio de sesión único. Solo deseará usar las aplicaciones que le permitan ser productivo sin tener que escribir su contraseña a menudo. Puede encontrar y administrar las aplicaciones en el portal Aplicaciones. Para más información, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.