Español
  • proveedor de servicios
  • sso
  • b2b
  • identidad
  • autenticación
  • inicio de sesión único

Aprende sobre SSO iniciado por SP para aplicaciones B2B

Aprende qué es el inicio de sesión único (SSO) iniciado por el proveedor de servicios (SP-initiated) y cómo puede ayudar a tu producto de negocio a negocio (B2B).

Ran
Ran
Product & Design

Cuando se trata de modelos de identidad, los productos B2B están en una liga propia. Deben navegar por las complejidades de la multi-tenantidad mientras satisfacen la demanda de los clientes empresariales de una gestión unificada de identidades y acceso de empleados a través de una multitud de servicios y aplicaciones. Logto también ha encontrado estas demandas de clientes. En este artículo, tomaremos un enfoque orientado al producto para comprender el SSO iniciado por SP y cómo aborda las necesidades de tus clientes.

Concepto

Comencemos introduciendo algunos elementos clave que necesitas entender:

  • Proveedor de servicios (SP): Tus aplicaciones o servicios, que podrían ser una o varias aplicaciones que comparten un sistema de identidad único.
  • Proveedor de identidad empresarial (IdP): El proveedor de identidad en el que confían tus clientes empresariales para gestionar las identidades de los empleados y los permisos de las aplicaciones. Pueden usar diferentes proveedores, como Okta, Azure AD, Google Workspace o incluso IdPs personalizados.
  • Organización del proveedor de servicios (SP Org): Las aplicaciones B2B a menudo admiten multi-tenantidad para diferentes organizaciones clientes.
  • Organización del proveedor de identidad (IdP Org): Los IdPs también admiten multi-tenantidad para diferentes organizaciones de clientes. Idealmente, una empresa debería poder vincular su IdP Org a un SP Org, replicando las identidades de los empleados, pero la realidad puede ser más compleja.
  • Cuenta de usuario empresarial: Generalmente identificada por su uso de un dominio de correo electrónico de la empresa para iniciar sesión. Esta cuenta de correo electrónico empresarial finalmente pertenece a la empresa.

Luego, profundiza en SSO y dos protocolos clave:

  • Inicio de sesión único (SSO): El SSO permite a los usuarios acceder a múltiples servicios o aplicaciones con un solo conjunto de credenciales. Simplifica la gestión de acceso y mejora la seguridad.
  • Protocolos SAML y OIDC: El SSO se basa en estos protocolos para autenticación y autorización, cada uno con sus propias ventajas y desventajas.

Hay dos mecanismos principales de activación de SSO a considerar:

  • SSO iniciado por IdP: En el SSO iniciado por IdP, el proveedor de identidad (IdP) controla principalmente el proceso de inicio de sesión único. Los usuarios comienzan la autenticación desde la interfaz del IdP.
  • SSO iniciado por SP: En el SSO iniciado por SP, el proveedor de servicios (SP) toma la delantera en iniciar y gestionar el proceso de inicio de sesión único, lo que a menudo se prefiere en escenarios B2B.

Ahora, exploremos el SSO iniciado por SP en detalle.

Nivel superficial: experiencia del usuario

A diferencia de los productos B2C que pueden ofrecer un par de botones fijos de inicio de sesión en social IdP, los productos B2B no pueden dictar qué IdP empresarial específico usa cada cliente. Por lo tanto, los usuarios deben declarar primero su identidad. Después de confirmar que son miembros de una empresa habilitada para SSO, son redirigidos a su IdP empresarial correspondiente para iniciar sesión.

Para lograr esto, debes, en la página de inicio de sesión, determinar si el usuario necesita iniciar sesión a través de SSO y a qué IdP debe ser redirigido. Los métodos comunes incluyen:

  1. Mapeo de dominio de correo electrónico: Asocia un dominio de correo electrónico con un conector de IdP específico. Esto afecta a los usuarios con direcciones de correo electrónico bajo ese dominio. Asegúrate de verificar la propiedad del dominio para evitar configuraciones maliciosas.
  2. Mapeo de nombre de organización: Vincula el nombre de una organización con un conector de IdP, confiando en que los usuarios recuerden el nombre de su organización.
  3. Mapeo de correo electrónico personal del usuario: Esto te permite determinar directamente si una cuenta de usuario está habilitada para SSO, sin depender de dominios de correo electrónico o nombres de organizaciones. Puedes lograr esto invitando a los usuarios manualmente, personalizando reglas de SSO requerido o sincronizando automáticamente sus cuentas a través de la sincronización de directorios.

En el diseño de la página de inicio de sesión, generalmente hay dos formas, que se pueden elegir según el negocio de tu producto:

  1. Productos B2B: Recomendamos mostrar directamente los botones de SSO para que sea intuitivo para los miembros de tu cliente empresarial que deben usar SSO.
  2. Productos compatibles con B2C y B2B: Dado que la mayoría de los usuarios no usará SSO, evalúa los dominios de correo electrónico para determinar si se requiere SSO. Puedes retrasar la presentación de la verificación de credenciales, ocultándola inicialmente y revelándola una vez que se confirme la identidad del usuario.

Complejidad subyacente: modelo de identidad del usuario

Sin embargo, integrar SSO en tu sistema de identidad implica mucha más complejidad que simplemente agregar un botón de SSO a la página de inicio de sesión. Necesitas considerar muchos más factores.

Las relaciones de los elementos clave rara vez son uno a uno; necesitas considerar escenarios de uno a muchos e incluso de muchos a muchos. Para explorar estas variaciones gradualmente:

  • Una IdP Org con varios dominios de correo electrónico: Si dependes de dominios de correo electrónico para determinar la identidad del usuario, debes admitir múltiples vinculaciones de dominio.
  • Un dominio de correo electrónico que corresponde a varias IdP Orgs: Si un dominio podría pertenecer a varias IdP Orgs, los usuarios necesitan elegir el IdP que desean para inicio de sesión único.
  • Una IdP Org vinculada a múltiples SP Orgs: Considera proporcionar la capacidad rápida de conectar una IdP a múltiples SP Orgs.
  • Una cuenta de usuario en múltiples IdP Orgs y SP Orgs: Diferentes SP Orgs pueden requerir verificación a través de diferentes IdPs.

Habilitar o deshabilitar SSO dentro de una empresa puede cambiar la forma en que los usuarios se autentican, requiriendo una transición segura y fluida.

  • Toma de decisiones para la activación de SSO: Se deben tomar decisiones sobre si el SSO afecta solo a ciertos SP Orgs inquilinos o a todos los SP Orgs inquilinos. El primero ofrece flexibilidad, mientras que el segundo se alinea con la tendencia de control de identidad y acceso a nivel empresarial.
  • Consideraciones del período de transición: Como SP, debes acomodar las incertidumbres del servicio de IdP de terceros. Los administradores empresariales siempre necesitan acceder a tu aplicación mediante SSO o credenciales como opción, y los miembros de la empresa podrían necesitarlas durante la transición.

Estos son solo algunos puntos para abordar varios escenarios; muchas más capacidades y detalles pueden ser explorados.

Conclusión

Esperamos que este análisis del SSO iniciado por SP te ofrezca nuevas perspectivas sobre soluciones de identidad empresarial. La buena noticia es que Logto está desarrollando diligentemente soluciones que ofrecen una configuración simple y experiencias de autenticación SSO listas para usar. Mantente atento a nuestro próximo lanzamiento, donde profundizaremos en soluciones específicas de SSO iniciado por SP.

Desarrolla tu sistema de autenticación con Logto