Conoce el método de autenticación Single-Sign-On en Windows 10

Conoce el método de autenticación Single-Sign-On en Windows 10

Lorena Fernández

Cuando hablamos de métodos de autenticación hoy en día, estos generalmente implican que escribamos nuestros datos de accesos o credenciales cada vez que queramos hacerlo. Sin embargo, el método SSO o Single-Sign-On aparece para facilitar la vida a las personas que necesitan acceder a varios servicios y aplicaciones a la vez. Hoy en RedesZone os vamos a hablar sobre Single-Sign-On en Windows 10.

No hay duda de que Windows 10 es un sistema operativo utilizado en gran medida cuando se trata de entornos corporativos. No solamente se valen de las prestaciones del sistema en cuestión, sino también otras aplicaciones propietarias y externas. Estas tienen la capacidad de integrarse con el entorno corporativo de Windows, por lo que muy fácilmente se puede lograr contar con acceso a 10, 15 o más aplicaciones.

Si el usuario debe autenticarse cada vez que tiene que acceder a una aplicación, puede resultar una pérdida de tiempo bastante importante, así también se presentan varios problemas y riesgos. Por ejemplo, si el usuario necesita autenticarse rápidamente y no presta la debida atención, puede bloquear su cuenta corporativa por intentar varias veces entrar. A pesar de que existen los sistemas de tipo IAM (Identity Access Management) que gestionan este tipo de situaciones, la experiencia del usuario final puede no ser muy buena y afecta, sin duda, a su productividad diaria.

SSO (o Single Sign-On) es un servicio de autenticación tanto de usuarios como de dispositivos de carácter centralizado. Funciona de la siguiente manera: un conjunto de credenciales de usuario sirve como puerta de acceso directo a todas las aplicaciones a las que se le ha proveído la autorización correspondiente. Esas credenciales pueden consistir en correo electrónico, nombre de usuario y contraseña. La ventaja directa que se presenta es que no será necesario que la persona ingrese sus credenciales a todas las aplicaciones y servicios que debe utilizar. Simplemente, debe utilizar los accesos directos de tipo SSO (como una URL si fuese una aplicación web) y en cuestión de segundos, se autentica.

Otra de las ventajas es que el usuario final solamente deberá contar con una sola contraseña verdaderamente segura. Es decir, con una cantidad adecuada de dígitos, números, caracteres especiales y otras especificaciones propias de las políticas de contraseña. Una de las razones por las cuales las personas no optan por contraseñas seguras es el tiempo que se toman para pensar en una para cada una de las aplicaciones. Con SSO, podemos cambiar la mentalidad de los usuarios promoviendo la creación de contraseñas fuertes y difíciles de adivinar. Y si llega el momento de renovarla, ese cambio se aplicará para todas las aplicaciones que tienen SSO habilitado.

Funcionamiento de SSO en Windows 10

Este servicio está disponible para las siguientes categorías de aplicaciones:

  • Servicios de autenticación y aplicaciones Windows integradas.
  • Aplicaciones conectadas Azure AD. Incluyendo a Office 365 y toda aplicación publicada con proxies Azure AD.
  • Aplicaciones con Active Directory Federation Services.
  • Dispositivos Azure AD y de tipo Domain-Joined (que se conecta a su dominio del lugar de trabajo mediante sus credenciales de red).

Con SSO, se obtiene un token (una ficha) especial para cada uno de los tipos de aplicación que son compatibles con SSO. Con esta ficha especial, se obtienen otras fichas de acceso a aplicaciones específicas.

Es como si la ficha especial, fuera la «ficha madre» a la cual se la denomina en inglés como Primary Refresh Token (PRT). Esta se genera, en principio, durante el proceso de inicio de sesión en Windows: inicio de sesión de usuario y/o desbloqueo del ordenador. Contiene todos datos necesarios que nos permite saber respecto al dispositivo y el dominio al cual pertenece. Lo que significa que cualquier política de acceso condicional basado en dispositivos, si no cuenta con esta ficha PRT, no tendrá acceso a la aplicación.

A continuación, te mostramos cómo se genera la ficha PRT:

  1. El usuario introduce las credenciales en Windows.
  2. Las credenciales pasan a la extensión de Cloud AP Azure AD para su autenticación.
  3. Se realiza el proceso de autenticación tanto del usuario como su dispositivo para obtener la ficha PRT de parte de Azure AD.
  4. La caché de la ficha PRT se genera para el Web Account Manager para acceder al mismo durante la autenticación de la aplicación.
  5. La aplicación solicita acceso a la ficha PRT al Web Account Manager que corresponde a determinada aplicación y/o servicio.

SSO basado en contraseña

Uno de los métodos de SSO más utilizados es el basado en contraseña o «Password-based». Los usuarios inician sesión en la aplicación con un usuario y contraseña solamente la primera vez que acceden. Posteriormente a ese inicio, Azure AD proporciona las credenciales indicadas a las aplicaciones compatibles.

Este método se basa simplemente en un método de autenticación que ya existe, que es el que consiste en la introducción de credenciales. Si es que optas por el método basado en contraseña, Azure AD recolecta y almacena esos datos para luego cifrarlos en su directorio.

A modo de referencia, el usuario puede autenticarse por este método si utiliza los siguientes programas:

  • Internet Explorer desde Windows 7 en adelante.
  • Edge desde Windows 10 Anniversary Edition en adelante.
  • Edge en su versión móvil para Android y iOS.
  • Chrome desde Windows 7 en adelante y MacOS X.
  • Intune Managed Browser.
  • Firefox en su versión 26.0 para adelante, desde Windows XP Service Pack 2 en adelante y Mac OS X 10.6 en adelante.

Más allá de lo innovador o interesante que pueda resultar, el método SSO nos demuestra que una vida sin tener que introducir contraseñas varias veces al día es posible. Tal vez has usado este método y muy probablemente no te hayas dado cuenta. Gran parte de las empresas, si no fuesen todas, que se valen de Windows Active Directory tienen como aliado al SSO.