Inicio de sesión único (SSO) SAML

Descripción general de la integración de SAML

El lenguaje de marcado de aserciones de seguridad (SAML, por sus siglas en inglés) es un estándar para iniciar la sesión de los usuarios en aplicaciones según su sesión en otro contexto. El SAML permite el inicio de sesión único (SSO, por sus siglas en inglés), que, a su vez, habilita a los usuarios a iniciar sesión en varias aplicaciones con un conjunto de credenciales.

Este método tiene importantes beneficios en comparación con iniciar sesión utilizando un nombre de usuario y una contraseña. Con este método, los usuarios no necesitan escribir las credenciales, ni recordar o renovar contraseñas, ni tendrán que preocuparse por las contraseñas débiles. La mayoría de las organizaciones conoce la identidad de los usuarios porque iniciaron sesión en su intranet o dominio de Active Directory. Lo normal es también usar esta información para iniciar la sesión de los usuarios en otras aplicaciones, como aquellas basadas en la web, y uno de los modos más elegantes para hacerlo es a través del SAML. 

Para obtener más información sobre SAML, lea las siguientes secciones.

Cómo funciona el SSO de SAML

El inicio de sesión único (SSO) de SAML funciona mediante la transferencia de la identidad del usuario del proveedor de identidad al proveedor de servicios. Este proceso se realiza mediante un intercambio de documentos XML firmados de manera digital. Piense en la siguiente situación: un usuario inicia sesión en un sistema que funciona como proveedor de identidad. El usuario desea iniciar sesión en una aplicación remota, como la Experiencia de aprendizaje de KnowBe4 u otro proveedor de servicios.

En este caso, ocurre lo siguiente:

  1. El usuario hace clic en el enlace a la aplicación usando la intranet empresarial, un marcador o una opción parecida. Luego, se carga la aplicación.
  2. La aplicación identifica el origen del usuario y lo redirige de vuelta al proveedor de identidad haciendo un pedido de autenticación. Para identificar el origen del usuario, la aplicación usa el subdominio de la aplicación, la dirección IP del usuario o datos similares. Esto es un pedido de autenticación.
  3. El usuario ya cuenta con una sesión con el proveedor de identidad o debe establecer una iniciando sesión en dicho proveedor.
  4. El proveedor de identidad crea la respuesta de autenticación en forma de documento XML que contiene el nombre de usuario o la dirección de correo electrónico del usuario. Luego, el proveedor de identidad firma el documento con un certificado X.509 y publica esta información para el proveedor de servicios.
  5. Este recupera la respuesta de autenticación y la valida con la huella digital del certificado. El proveedor de servicios ya conoce al proveedor de identidad y tiene una huella digital del certificado. Se establece la identidad del usuario.

Para ver una representación gráfica de este flujo, vea la siguiente captura de pantalla:

Para obtener más información sobre los aspectos básicos del funcionamiento del SAML y SSO, consulte el artículo de auth0 ¿Qué es SAML y cómo funciona su autenticación?.

Cómo funciona el SAML para la Experiencia de aprendizaje (LX)

KnowBe4 es compatible con SAML 2.0. SAML para la Experiencia de aprendizaje (LX) de KnowBe4 funciona igual que para todos los demás proveedores de servicios. Por lo general, la autenticación de usuarios de una organización la realiza un sistema de autenticación determinado, como Active Directory (AD) o Lightweight Directory Access Protocol (LDAP). Estos sistemas de autenticación se conocen como “proveedores de identidad”.

El proveedor de servicios, en este caso, LX, le permite al proveedor de identidad que autentique a los usuarios e inicie su sesión en LX. Es decir, los usuarios pueden iniciar sesión en el trabajo y acceder de manera automática a las aplicaciones de su organización, como su correo electrónico o sistema de administración de relaciones con los clientes (CRM, por sus siglas en inglés) sin tener que iniciar sesión en esos servicios de manera separada. Además de lo práctico que resulta para los usuarios, la autenticación de todos los usuarios la maneja internamente un sistema que usted puede controlar de manera total.

Después de habilitar SAML como el tipo de inicio de sesión único (SSO) para LX, se redirigirá a los usuarios que intenten iniciar sesión en LX al servidor de SAML para su autenticación. Las identidades de los usuarios se pueden almacenar en el servidor de SAML o se pueden validar a través de un directorio de identidades, como Microsoft Active Directory o Lightweight Directory Access Protocol (LDAP). Una vez autenticados, los usuarios se redirigen de nuevo a LX con la sesión abierta automáticamente.

Nota: Asegúrese de que la dirección de correo electrónico que sus usuarios utilizan para autenticarse con SAML se ingrese en el campo Correo electrónico o Alias de correo electrónico de su perfil de usuario. Sin embargo, solo la dirección de correo electrónico indicada en el campo Correo electrónico recibe los correos electrónicos de notificación de capacitación. Para obtener más información sobre cómo agregar datos a los perfiles de usuario, consulte nuestra Guía de perfiles de usuario.

Cómo configurar el inicio de sesión único de SAML para su organización

KnowBe4 es compatible con SAML 2.0. Si desea habilitar la integración de SAML en su consola de KSAT, consulte el artículo Habilite el inicio de sesión único (Single Sign-on, SSO) de SAML para su proveedor de SSO.

Si no encuentra su proveedor de SAML en la lista y necesita asistencia, pida ayuda a nuestro equipo de soporte.

¿No encuentra lo que busca?

Contacte a soporte