Español
  • oss
  • IAM
  • Proveedores de SSO

Los 5 principales proveedores de gestión de identidades y accesos (IAM) de código abierto 2025

Compara las características, protocolos, integraciones, ventajas y desventajas de Logto, Keycloak, NextAuth, Casdoor y SuperTokens para encontrar la mejor opción OSS que se adapte a tus necesidades de autenticación y autorización.

Ran
Ran
Product & Design

Deja de perder semanas en la autenticación de usuarios
Lanza aplicaciones seguras más rápido con Logto. Integra la autenticación de usuarios en minutos y concéntrate en tu producto principal.
Comenzar
Product screenshot

¿Qué es un proveedor de IAM?

Un proveedor de Gestión de Identidades y Accesos (IAM) es un sistema que asegura el acceso seguro y controlado a los recursos. Combina cuatro pilares:

  • Autenticación: Verificación de identidades de usuario (p. ej., contraseñas, biometría, inicio de sesión social).
  • Autorización: Otorgamiento de permisos basados en roles o políticas.
  • Gestión de usuarios: Manejo de aprovisionamiento, roles y auditorias.
  • Gestión de la organización: Estructuración de equipos, permisos y multi-tenencia. Las herramientas IAM son esenciales para imponer políticas de seguridad, prevenir brechas y cumplir con estándares de cumplimiento como SOC 2, GDPR y HIPAA.

Consideraciones clave para elegir una solución IAM de código abierto

Aquí están los requisitos principales:

  1. SDK listos para integración y flexibilidad de implementación: Asegura compatibilidad con tu stack tecnológico (p. ej., lenguajes, frameworks, bases de datos), y ofrece opciones de implementación populares (p. ej., paquetes npm, contenedores Docker, integración GitPod, u hospedaje con un clic). Esto ayuda a reducir el tiempo de configuración y acelera el tiempo de lanzamiento al mercado.

  2. Soporte de protocolos para interoperabilidad: Debe soportar OAuth 2.0OpenID Connect (OIDC)SAML, y LDAP para la integración con aplicaciones de terceros y proveedores de identidad (Google, Apple, Azure AD, etc.). Los estándares abiertos minimizan el bloqueo de proveedores y simplifican los flujos de identidad federados.

  3. Modularidad de características listas para negocios: Elige una solución que ofrezca componentes modulares para abordar necesidades actuales mientras escala para demandas futuras:

    • Autenticación: Contraseña, Sin contraseña, inicio de sesión social, SSO, biometría y autenticación M2M.
    • Autorización: RBAC, ABAC y protección de API.
    • Gestión: Herramientas de ciclo de vida del usuario, registros de auditoría, webhooks e informes de cumplimiento.
    • Seguridad: MFA, cifrado, política de contraseñas, protección contra fuerza bruta, detección de bots y lista de bloqueo. Elige un proyecto con prácticas de seguridad transparentes (cumplimiento SOC2 / GDPR).

  4. Optimización de la experiencia del usuario (UX): Prioriza soluciones con flujos de autenticación preconstruidos (inicio de sesión, registro, restablecimiento de contraseña) para reducir el esfuerzo de desarrollo. Asegúrate de que los flujos de usuarios finales sean intuitivos, amigables para móviles y personalizables para mejorar las tasas de conversión.

  5. Personalización y extensibilidad: Las APIs y webhooks deben permitir ajustar flujos de autenticación, temas de UI y lógica de políticas para que coincidan con reglas empresariales únicas. Evita soluciones "caja negra"—opta por código transparente y dirigido por la comunidad.

Aquí hay algunos diferenciadores para el éxito a largo plazo:

  1. Experiencia para desarrolladores (DX): Documentación completa, muestras de código y entornos de prueba (p. ej., colecciones Postman, herramientas CLI), y consolas de administración de bajo código que agilizan la configuración y reducen errores.

  2. Comunidad y soporte empresarial: Comunidad activa (Discord, GitHub) para resolución de problemas y compartir conocimientos. Opciones de soporte empresarial (SLAs, ingeniería dedicada) brindan fiabilidad para despliegues críticos para el negocio.

  3. Escalabilidad: Actualizaciones regulares para vulnerabilidades de día cero y estándares emergentes (p. ej., FIDO2). Opciones de despliegue híbrido (OSS + Nube) simplifican la escalabilidad y reducen los gastos operativos.

Esto parece un poco estricto para proyectos de código abierto, pero ya existen servicios que pueden cumplir, vamos a echar un vistazo.

Los 5 principales proveedores de IAM de código abierto

  1. Logto: IAM centrado en desarrolladores con autenticación, autorización, gestión de usuarios y multi-tenencia, todo en uno. Es independiente de framework, soporta OIDC/OAuth/SAML y es totalmente libre OSS.
  2. Keycloak: Una potencia de protocolos a nivel empresarial (SAML/OAuth/LDAP) diseñado para organizaciones que necesitan control de acceso detallado y auto-hospedaje.
  3. NextAuth: Una biblioteca de autenticación ligera diseñada para desarrolladores de Next.js, simplificando los inicios de sesión sociales, la autenticación sin contraseña y la gestión de sesiones.
  4. Casdoor: Una plataforma IAM enfocada en UI y de inicio de sesión único (SSO) con una interfaz web, que soporta OAuth 2.0, OIDC, SAML, CAS, LDAP y SCIM.
  5. SuperTokens: Una solución de autenticación basada en OAuth 2.0, flexibilidad de código abierto y escalabilidad comercial.

#1 Logto

Logto es una alternativa de código abierto a Auth0, Cognito y Firebase auth para aplicaciones modernas y productos SaaS, que soporta estándares abiertos OIDC, OAuth 2.0 y SAML para autenticación y autorización.

Página de inicio | Repositorio GitHub | Documentación | Comunidad Discord

Características clave de Logto OSS

  1. Protocolos: OIDC, OAuth 2.0, SAML 2.0
  2. SDK oficiales:
    • SDK oficiales: Android, Angular, Capacitor JS, extensiones de Chrome, .NET Core, Expo, Express, Flutter, FlutterFlow, Go, Java Spring Boot, Next.js (tanto Page como App Router), Auth.js (NextAuth), Nuxt, Passport.js, PHP, Python, React, Ruby, SvelteKit, iOS, Vanilla JS, Vue, Webflow, WordPress, Hasura y Supabase.
    • Integración personalizada: Aplicaciones web tradicionales, SPAs, aplicaciones móviles, M2M, aplicaciones OAuth y aplicaciones SAML.
  3. Métodos de autenticación: Contraseña, correo electrónico y SMS sin contraseña, inicios de sesión sociales, SSO empresarial, MFA con TOTP / claves de acceso / códigos de respaldo, tokens de acceso personal, Google One Tap, invitación, vinculación de cuentas y flujos de consentimiento OAuth.
  4. Autorización: Protección de API, RBAC para usuarios/M2M, RBAC a nivel organizacional, validación de token JWT/opaco, y reclamos de token personalizados.
  5. Multi-tenencia: Plantillas de organización, invitaciones de miembros, MFA por organización, aprovisionamiento justo a tiempo (JIT) y experiencias de inicio de sesión personalizadas para cada inquilino.
  6. Gestión de usuarios: Suplantación de usuario, creación de usuarios e invitaciones, suspensión de usuarios, registro de auditoría y migración de usuarios.
  7. Experiencia del usuario: Proporciona flujos de autenticación hermosos y totalmente personalizables listos para usar, permitiendo una experiencia de inicio de sesión unificada en múltiples aplicaciones a través de la gestión de identidad federada.
  8. Integración de proveedores:
    • Proveedores Sociales: Google, Facebook, Microsoft, Apple, GitHub, X.com, LinkedIn, Slack, Amazon, Discord, Line, WeChat, Kakao, etc. Totalmente personalizable vía OpenID Connect o OAuth 2.0.
    • Proveedores Empresariales: Microsoft Azure AD, Google Workspace, Okta, etc. Totalmente personalizable vía OpenID Connect o SAML.
    • Proveedores de entrega de correo electrónico: AWS, Mailgun, Postmark, SendGrid, etc. configurable vía SMTP o llamada HTTP.
    • Proveedores de entrega de SMS: Twillio, SMS Aero, GatewayAPI, Vonage, Aliyun y Tencent.

Ventajas de Logto OSS

  • 100% OSS gratuito: Todas las funciones principales (incluyendo SSO, RBAC, Organizaciones, etc.) disponibles de forma gratuita; sin funciones esenciales detrás de un muro de pago.
  • Seguridad a nivel empresarial: Arquitectura lista para SOC2, MFA, SSO, protección de API, aislamiento multi-tenant, protección contra fuerza bruta y registros de auditoría.
  • Conviértete en un proveedor de identidad: Con Logto, puedes convertir tu servicio en un proveedor de identidad, permitiendo una integración perfecta en múltiples aplicaciones, plataformas y dispositivos. Soporte para OIDC, OAuth 2.0 y SAML 2.0 para inicio de sesión único universal y gestión de identidad federada.
  • Integración con ecosistema externo para asociaciones: Logto soporta autenticación M2M, tokens de acceso personal, suplantación de usuario (intercambio de tokens), autorización OAuth para aplicaciones de terceros con pantalla de consentimiento y conexión personalizable para proveedores de identidad de terceros, todo esto impulsa el crecimiento de tu producto.
  • Amigable para desarrolladores: APIs, SDKs, Documentación y consola intuitiva bien estructurada.
  • Despliegue escalable: Logto está disponible como un OSS gratuito, mientras que Logto Cloud ofrece servicios gestionados con actualizaciones aseguradas y respaldo financiero para soporte a largo plazo.
  • Comunidad activa: Una comunidad receptiva en Discord y un equipo central proactivo aseguran la resolución oportuna de problemas y mejoras continuas de características.
  • Ligero y Moderno: Construido con principios de diseño modernos, optimizado para velocidad y eficiencia, adecuado para desarrolladores individuales, startups y empresas.

Desventajas de Logto OSS

  • Autenticación basada en redireccionamiento: Basado en OIDC, requiere redirección al proveedor de identidad, lo que puede no ajustarse a escenarios que demandan una experiencia sin redirección. Sin embargo, Logto ofrece componentes de inicio de sesión directo embebidos (Social, SSO, etc.) para solucionar esto.
  • Funciones limitadas para B2E: No tiene sincronización integrada con LDAP/Active Directory y aún no cuenta con autorización ultra granular.
  • Ecosistema en crecimiento: Comunidad más pequeña en comparación con soluciones más antiguas, pero evolucionando rápidamente con contribuciones.

#2 Keycloak

Keycloak es una solución IAM lista para empresas con soporte robusto para SAML, OAuth y LDAP, ideal para organizaciones que priorizan la flexibilidad de protocolos, auto-hospedaje y control de acceso detallado.

Página de inicio | Repositorio GitHub | Documentación | Comunidad Slack

Características de Keycloak

  1. Protocolos: OIDC, OAuth 2.0, SAML 2.0, LDAP
  2. SDK oficiales: Java, JavaScript, Node.js, C#, Python, Android, iOS, servidor HTTP Apache
  3. Métodos de autenticación: Inicio de sesión único (SSO), autenticación de múltiples factores (MFA), inicio de sesión social, Kerberos.
  4. Experiencia del usuario: Interfaces de inicio de sesión listas para usar y consola de gestión de cuentas con HTML, CSS y JavaScript personalizables.
  5. Autorización detallada: control de acceso basado en roles, atributos u otros criterios.
  6. Sincronización de directorios: Sincronización desde directorios empresariales existentes (LDAP/Active Directory).
  7. Arquitectura con capacidad de plugins: Extensiones e integraciones personalizadas.

Ventajas de Keycloak

  • Conjunto completo de características para empresas: Como SSO, MFA, intermediación de identidad, federación de usuarios y soporte para múltiples protocolos (OAuth 2.0, OpenID Connect, SAML).
  • Interfaz de usuario personalizable y ajustes de administración: Proporciona una UI de inicio de sesión predeterminada y una consola administrativa que puede ser tematizada y extendida.
  • Integración y extensibilidad: Se integra fácilmente con proveedores de identidad externa (como LDAP/AD e inicios de sesión sociales) y soporta extensiones personalizadas mediante plugins.
  • Comunidad activa y desarrollo continuo: Actualizaciones regulares, soporte comunitario activo y respaldo de Red Hat aseguran mejora continua y parches de seguridad.

Desventajas de Keycloak

  • Curva de aprendizaje pronunciada: Configurar dominios, clientes y flujos de autenticación puede ser complicado, especialmente para equipos sin experiencia profunda en IAM.
  • Desafíos de personalización: Aunque es flexible, ajustar la UI a menudo requiere trabajar con plantillas FreeMarker o SPIs personalizados, lo que puede ser tedioso.
  • Alto mantenimiento: Actualizaciones mayores frecuentes y cambios significativos hacen que las actualizaciones sean complicadas, requiriendo coordinación cuidadosa entre las bibliotecas del servidor y el cliente.
  • Consumo de recursos: Ejecutar Keycloak en configuraciones de alta disponibilidad o contenedorizadas puede requerir una cantidad significativa de CPU/RAM y ajustes de rendimiento cuidadosos.
  • Lagunas en la documentación: Aunque los fundamentos están bien cubiertos, las características avanzadas y los casos atípicos a menudo carecen de documentación detallada o actualizada.

#3 Auth.js/NextAuth.js

NextAuth.js es una biblioteca de autenticación ligera diseñada para Next.js, que ofrece una configuración simple para inicios de sesión sociales, autenticación sin contraseña y gestión de sesiones con una configuración mínima.

Página de inicio | Repositorio GitHub | Documentación | Comunidad Discord

Características de NextAuth.js

  1. Protocolos: OAuth 2.0, OIDC
  2. Frameworks: Next.js, Node.js y plataformas sin servidor (p. ej., Vercel, AWS Lambda)
  3. Métodos de autenticación: Inicio de sesión social, enlaces mágicos, credenciales, WebAuthn (clave de paso).
  4. Experiencia de autenticación: Páginas predeterminadas de inicio/fin de sesión, error y verificación; y pueden sobrescribirlas para crear una experiencia de usuario completamente personalizada y con marca.
  5. Gestión de sesiones: Soporte para sesiones sin estado basadas en JSON Web Token (JWT) y sesiones respaldadas por base de datos.

Ventajas de NextAuth.js

  • Integración perfecta con Next.js: Diseñada específicamente para Next.js, funciona sin problemas con la representación del lado del servidor (SSR), generación de sitios estáticos (SSG) y rutas API. Los desarrolladores pueden gestionar fácilmente el estado de autenticación utilizando hooks como useSession y componentes como SessionProvider.
  • Flujo de autenticación personalizable: Callbacks incorporados para manejo de inicio de sesión, handling de JWT y gestión de sesiones permiten una personalización profunda, dando a los desarrolladores control total sobre el comportamiento de autenticación y procesamiento de tokens.
  • Comunidad y ecosistema activos: Una fuerte comunidad de desarrolladores contribuye con tutoriales, ejemplos y discusiones, lo que facilita resolver problemas y extender la funcionalidad.

Desventajas de NextAuth.js

  • Características limitadas de IAM: No tiene SMAL, SSO, MFA, multi-tenencia y otras características clave de autenticación para casos de uso B2B o B2E. Se enfoca puramente en autenticación, sin soporte incorporado para autorización o gestión de usuarios.
  • Documentación inconsistente y pobre: Muchos usuarios informan que la documentación está dispersa, desactualizada y es difícil de seguir, especialmente al actualizar a nuevas versiones o al cambiar a la estructura de directorio de aplicaciones.
  • Preocupaciones de estabilidad y errores: Los desarrolladores han encontrado problemas con el manejo de sesiones, errores de token de actualización y comportamientos impredecibles, a veces requiriendo soluciones alternativas o soluciones alternativas.
  • Curva de aprendizaje pronunciada: La API y la configuración pueden parecer complejas, especialmente para principiantes. Los cambios significativos frecuentes—como los introducidos en el beta de NextAuth.js v5—aumentan los desafíos de integración.

#4 Casdoor

Casdoor es una plataforma de Gestión de Identidades y Accesos (IAM) / Ingreso único (SSO) enfocada en UI con interfaz web que soporta OAuth 2.0, OIDC, SAML, CAS, LDAP, SCIM, WebAuthn, TOTP, MFA, RADIUS, Google Workspace, Active Directory y Kerberos.

Página de inicio | Repositorio GitHub | Documentación | Comunidad Discord

Características de Casdoor

  1. Protocolos: OAuth 2.0, OIDC, SAML, CAS, LDAP, SCIM
  2. SDK oficiales: Android, iOS, React Native, Flutter, Firebase, Unity Games, uni-app, Electro, .Net Desktop, C/C++, Javascript, frontend-only, React, Next.js, Nuxt, Vue, Angular, Flutter, ASP.NET, Firebase, Go, Java, Node.js, Python, PHP, .NET, Rust, Dart, Ruby.
  3. Métodos de autenticación: Credenciales, código de verificación por correo electrónico/SMS, inicio de sesión social (OAuth/SAML)
  4. Gestión de identidades: Proporciona un tablero centralizado para la gestión de usuarios, roles, permisos y multi-tenencia, y registros de auditoría.
  5. UI y flujos personalizables: Proporciona plantillas de UI pre-construidas y permite la personalización de métodos de inicio de sesión, campos de registro y flujos de autenticación.
  6. Control de acceso: Soporta RBAC y puede integrarse con soluciones de autorización detallada (como Casbin) para la gestión avanzada de permisos.
  7. Multi-tenencia: Permite gestionar múltiples organizaciones o proyectos dentro de una sola instancia.

Ventajas de Casdoor

  • Integración flexible: La rica API, SDK, y soporte para Proveedores de Identidad de Casdoor hace que sea fácil integrarse con varias plataformas y servicios de terceros.
  • Capacidades de multi-tenencia y federación: La multi-tenencia incorporada y la intermediación de identidad lo hacen adecuado para organizaciones que gestionan múltiples clientes o subsidiarias.
  • Código Abierto y comunidad activa: Mantenido por una comunidad de desarrolladores comprometida, con discusiones en plataformas como Casnode y grupos QQ, además de actualizaciones regulares y contribuciones.

Desventajas de Casdoor

  • Preocupaciones de seguridad: Ha enfrentado problemas como inyección de SQL (CVE-2022-24124) y vulnerabilidades de lectura de archivos arbitrarios, lo que requiere configuraciones de seguridad estrictas y actualizaciones oportunas.
  • Diseño de UI desactualizado: La UI pre-construida se siente anticuada en comparación con las soluciones de autenticación modernas, a menudo requiriendo personalización para una experiencia de usuario más pulida.
  • Soporte limitado a nivel empresarial: Aunque rico en características, algunas funcionalidades avanzadas para empresas son menos maduras en comparación con plataformas más establecidas, a veces requiriendo personalización adicional.
  • Curva de aprendizaje pronunciada: La personalización avanzada requiere conocimiento de Golang y React.js, lo que puede ser desafiante para equipos que no están familiarizados con estas tecnologías. Aunque existen documentos de la API de Swagger, faltan guías detalladas para casos de uso complejos.

#5 Supertokens

Una solución de autenticación centrada en desarrolladores que combina la transparencia del código abierto con la escalabilidad comercial, ofreciendo autenticación sin contraseña, MFA y gestión de sesiones optimizadas para arquitecturas de aplicaciones modernas.

Página de inicio | Repositorio GitHub | Documentación | Comunidad Discord

Características de Supertokens

  1. Protocolos:  OAuth 2.0
  2. Integraciones de frameworks y nube:
    • Frameworks: Next.js App Router, Next.js Pages Router, NestJS, GraphQL, RedwoodJS, Capacitor.
    • Plataformas Cloud: AWS Lambda, Netlify, Vercel, Hasura, Supabase.
  3. Métodos de autenticación:
    • Gratis: Contraseña, sin contraseña por correo electrónico/SMS, inicio de sesión social.
    • De pago: Autenticación multi-tenant, SSO empresarial (SAML), MFA (TOTP/OTP por correo electrónico/OTP por SMS), vinculación de cuentas.
  4. Componentes de UI pre-construidos y flujos personalizables: Proporciona componentes de UI listos para usar para inicio de sesión, registro y recuperación de contraseña. Permite a los desarrolladores personalizar flujos de autenticación.
  5. Soporte multi-tenant (Pagado): Permite gestionar múltiples inquilinos (organizaciones o aplicaciones) con SSO empresarial que conecta vía SAML, datos de usuario aislados y métodos de inicio de sesión únicos por inquilino.
  6. Evaluación de riesgos (Pagado): Proporciona un conjunto de protección contra ataques que analiza intentos de inicio de sesión y asigna puntajes de riesgo. Puede imponer medidas de seguridad adicionales, como requerir MFA.

Ventajas de Supertokens

  1. Enfoque claro de UI: Supertokens categoriza tanto los SDK como los métodos de autenticación en Prebuilt UI y Custom UI, proporcionando una experiencia de integración clara y flexible.
  2. Ligero y centrado en autenticación: Diseñado exclusivamente para autenticación, haciéndolo ligero y eficiente. La versión de código abierto incluye características esenciales, siendo rentable para startups y equipos pequeños.
  3. Desarrollo activo: Actualizado regularmente con nuevas características y mejoras, respaldado por una comunidad activa en GitHub.

Desventajas de Supertokens

  1. Limitación de funciones OSS: Necesita pago para funciones avanzadas como vinculación de cuentas, autenticación multi-tenant, usuarios adicionales para el tablero, MFA y suite de protección contra ataques.
  2. Integraciones empresariales limitadas: No integra aplicaciones SAML, lo que puede reducir la compatibilidad con sistemas empresariales heredados.
  3. Alcance más reducido: Principalmente enfocado en autenticación, con solo características básicas de consola de administración. Carece de autorización avanzada, gestión de inquilinos y características de identidad a nivel empresarial.
  4. Ecosistema más pequeño: Menos integraciones de terceros y plugins en comparación con soluciones IAM integrales. Comunidad más pequeña, lo que puede afectar el soporte y extensibilidad a largo plazo.

Conclusión

Las soluciones IAM de código abierto vienen en diferentes tipos:

  • Integrales y extensibles: por ejemplo, Logto, Keycloak y Casdoor, que ofrecen una funcionalidad más amplia para autenticación, autorización y gestión de usuarios.
  • Solo autenticación/autorización: por ejemplo, Supertokens, que se enfoca exclusivamente en authN.
  • Ligeras, específicas de framework: por ejemplo, NextAuth.js, diseñadas para frameworks específicos.

Al elegir una solución, considera el tamaño de tu proyecto, requisitos específicos y escalabilidad futura.

Logto se destaca como una solución OSS completamente gratuita y rica en funciones, con estabilidad a largo plazo, una comunidad activa y soporte completo para protocolos estándar. Ofrece un conjunto completo para autenticación, autorización y gestión de usuarios, haciéndolo altamente extensible. Para aquellos que necesitan cumplimiento y confiabilidad a nivel empresarial, la versión Cloud de Logto, rentable, asegura una migración sin problemas con soporte dedicado.