Habilitar SSO para aplicaciones en la nube

Problema empresarial

Las empresas están utilizando aplicaciones en la nube a un ritmo cada vez más vertiginoso. Si se incorpora el inicio de sesión único (SSO) a las aplicaciones en la nube, los empleados pueden usar sus credenciales corporativas para iniciar sesión en aplicaciones internas alojadas en la nube o en las de software como servicio (SaaS).

El SSO es un servicio que proporciona un único punto de autenticación mediante un proveedor de identidades (IdP). Gracias a este sistema, los usuarios pueden acceder a aplicaciones de terceros en la nube sin que se almacenen sus credenciales; en muchos casos, ni siquiera existen credenciales en las aplicaciones externas.

Tu empresa quiere aplicar el SSO para mejorar la seguridad y, al mismo tiempo, ofrecer la comodidad que este servicio implica a los usuarios. Para ello, un proveedor de identidades debe autenticar el acceso a todas las aplicaciones en la nube en tu empresa.

Soluciones

A la hora de proporcionar a los usuarios acceso basado en SSO a aplicaciones determinadas en la nube, Cloud Identity funciona como tu proveedor de identidades y admite los protocolos OpenID Connect (OIDC) y de lenguaje de marcado para confirmaciones de seguridad (SAML) 2.0.

Cloud Identity cuenta con un extenso catálogo de aplicaciones SAML, y los usuarios de G Suite pueden obtener aplicaciones OIDC en G Suite Marketplace. Aunque la mayoría de las aplicaciones en la nube solo admiten uno de estos protocolos, algunas admiten ambos.

Aplicaciones del catálogo de SAML

Ventajas

  • SAML es un estándar consolidado en el sector empresarial.
  • Solo los administradores pueden instalar las aplicaciones, por lo que controlan a cuáles pueden acceder los empleados.
  • El proveedor de SaaS externo y Google trabajan conjuntamente en el conector y Google se encarga de validar las aplicaciones del catálogo.
  • La instalación es un proceso rápido y fluido.

Desventajas

  • Configurar una aplicación SAML requiere un poco de más trabajo que una aplicación OIDC.
  • No todas las aplicaciones empresariales admiten SAML y algunas cobran más por sus funciones.

Aplicaciones OIDC de G Suite Marketplace

Ventajas

  • OIDC es un protocolo más ligero y moderno que SAML.
  • Los administradores y usuarios pueden instalar las aplicaciones. Sin embargo, los segundos solo pueden instalar las que un administrador haya incluido en la lista blanca.
  • Las aplicaciones de G Suite Marketplace amplían la funcionalidad de G Suite. Como las aplicaciones usan la API Core Google Services, están bien integradas con los productos de Google. Las aplicaciones se revisan para verificar que cumplen los requisitos de G Suite Marketplace.

Desventaja

  • OIDC no tiene una gran presencia en las aplicaciones empresariales.

Recomendaciones

Explora los catálogos de SAML y de G Suite Marketplace; algunas aplicaciones aparecen en ambos. Si eres cliente de G Suite y tu política de TI corporativa admite OIDC, te recomendamos que utilices las aplicaciones de G Suite Marketplace.

Si la aplicación que quieres no está en ninguno de los catálogos y admite SAML, instálala como una aplicación SAML personalizada. Ten en cuenta que ya que las aplicaciones SAML personalizadas están configuradas para la organización que instala las aplicaciones, no están disponibles en el catálogo general de dicho estándar.

Instala las aplicaciones necesarias para las diferentes organizaciones de tu empresa y, a continuación, asigna cada aplicación solo a las organizaciones que la necesitan.

Proveedores de identidades de terceros

Si tienes un proveedor de identidades de terceros, puedes configurar el SSO para aplicaciones de terceros en el catálogo de Cloud Identity. La autenticación de usuarios se realiza el proveedor de identidades de terceros y Cloud Identity administra las aplicaciones en la nube.

Para usar Cloud Identity para el SSO, tus usuarios necesitan cuentas de Cloud Identity, y deben iniciar sesión mediante el proveedor de identidades de terceros o con una contraseña en dichas cuentas.

Ejemplo

En la empresa A, los empleados utilizan varios tipos de aplicaciones en la nube en su trabajo diario (además de las empresariales):

  • Paquete de colaboración
  • Mensajería y comunicación
  • Conferencias
  • Gestión de relaciones con clientes (CRM)
  • Recursos humanos
  • Servicio de asistencia

Al principio, la empresa A utilizaba un proveedor de identidades in situ que había alojado por su cuenta. Sin embargo, para mejorar la seguridad, reducir los costes de asistencia y potenciar la escalabilidad, deciden empezar a utilizar Cloud Identity como proveedor de identidades principal. A los empleados les gustaría disfrutar de la comodidad de poder usar las mismas credenciales para acceder a todas las aplicaciones en la nube. Con este cambio, el objetivo de la plantilla es autenticar todas las aplicaciones en la nube con su identidad de Google mediante SAML y OIDC.

A continuación, el departamento de TI empieza a configurar sus aplicaciones en la nube para el SSO. Para ello, realizan esta serie de tareas:

  • Realizar una lista de las aplicaciones en la nube que usan los empleados.
  • Localizar estas aplicaciones en el catálogo de G Suite Marketplace o de SAML.
  • Activar el SSO en todas y cada una de estas aplicaciones para configurarlo.
  • Asignar las aplicaciones pertinentes a organizaciones específicas, como por ejemplo:
    • Aplicaciones de mensajería, recursos humanos y colaboración al nivel organizativo superior (para que todos las puedan obtener)
    • CRM a la organización responsable de las ventas
    • Aplicación de servicio de asistencia al departamento de Asistencia

La aplicación de llaves de seguridad varía según la organización.

Una vez hecho esto, los empleados inician sesión en Cloud Identity. Mediante el SSO, pueden acceder a las aplicaciones en la nube que necesitan mediante sus credenciales de Cloud Identity.

Iniciar sesión en aplicaciones en la nube mediante SSO.