Inicio de sesión único (SSO) SAML

Resumen de la integración de SAML

El Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) es un estándar para el inicio de sesión de los usuarios en aplicaciones que se basa en su sesión en otro contexto. SAML habilita el inicio de sesión único (SSO), que permite a los usuarios iniciar sesión en múltiples aplicaciones usando un solo conjunto de credenciales.

Este método presenta una serie de ventajas significativas frente al inicio de sesión con un nombre de usuario y una contraseña. Con él, los usuarios no tienen que escribir las credenciales, no necesitan recordar ni actualizar las contraseñas y no tienen que preocuparse si son poco seguras. La mayoría de las organizaciones ya conocen la identidad de los usuarios porque tienen su sesión iniciada en su dominio de Active Directory o en la intranet. Resulta lógico usar esta información para que los usuarios inicien sesión en otras aplicaciones, así como en aplicaciones basadas en web. Una de las formas más eficaces de hacerlo es mediante SAML. 

Para obtener más información al respecto, consulte las secciones a continuación.

Funcionamiento de SAML/SSO

El inicio de sesión único (SSO) de SAML funciona mediante la transferencia de la identidad del usuario desde el proveedor de identidad hasta el proveedor de servicios. Este proceso se realiza mediante un intercambio de documentos XML firmados digitalmente. Piense en la siguiente situación: un usuario ha iniciado sesión en un sistema, que actúa como proveedor de identidad. Al usuario le gustaría iniciar sesión en una aplicación en remoto, como su Experiencia de aprendizaje de KnowBe4 u otro proveedor de servicios.

En este escenario, tienen lugar los siguientes pasos:

  1. El usuario hace clic en el enlace a la aplicación usando su intranet corporativa, un marcador o una opción similar. Después, se carga la aplicación.
  2. La aplicación identifica el origen del usuario y lo redirige al proveedor de identidad para solicitar su autenticación. Para identificar el origen del usuario, la aplicación emplea el subdominio de la aplicación, la dirección IP del usuario u otro tipo de información similar. Esta es la solicitud de autenticación.
  3. El usuario ya dispone de una sesión iniciada con el proveedor de identidad o establece una iniciando sesión en él.
  4. El proveedor de identidad genera una respuesta de autenticación en forma de documento XML, el cual contiene el nombre o la dirección de correo electrónico del usuario. A continuación, el proveedor de identidad firma el documento mediante un certificado X.509 y envía esta información al proveedor de servicios.
  5. Este último recupera la respuesta de autenticación y la valida mediante la huella del certificado. De esta forma, ya conoce al proveedor de identidad y cuenta con una huella de certificado. Se establece la identidad del usuario.

Para obtener un resumen visual de este flujo de trabajo, consulte la captura de pantalla a continuación:

Para obtener más información sobre los fundamentos básicos del funcionamiento de SAML y SSO, consulte el artículo Qué es SAML y cómo funciona la autenticación con SAML (en inglés) del blog auth0.

Funcionamiento de SAML en la Experiencia de aprendizaje (LX)

KnowBe4 es compatible con SAML 2.0. El método SAML funciona en la Experiencia de aprendizaje (LX) de KnowBe4 de la misma forma que con el resto de los proveedores de servicios. Normalmente, la autenticación de usuarios de una organización la gestiona su sistema de autenticación seleccionado, como Active Directory (AD) o Lightweight Directory Access Protocol (LDAP). Estos sistemas de autenticación se denominan proveedores de identidad.

El proveedor de servicios (en este caso, LX) permite al proveedor de identidad que autentique a los usuarios y que estos puedan iniciar sesión en él. En otras palabras, los usuarios pueden iniciar sesión en el trabajo y disponer automáticamente de acceso a las aplicaciones de su organización, como su correo electrónico o el sistema de gestión de relaciones con los clientes (CRM), sin tener que iniciar sesión de forma independiente en tales servicios. Además de la comodidad que esto supone para los usuarios, toda la información de autenticación la procesa un sistema a nivel interno del que usted tiene el control.

Una vez que haya habilitado SAML como el tipo de inicio de sesión único (SSO) para LX, se redirigirá a los usuarios que intenten iniciar sesión en esta función a su servidor de SAML para su autenticación. Las identidades de los usuarios pueden almacenarse en el servidor de SAML o validarse mediante un directorio de identidad, como Microsoft Active Directory o Lightweight Directory Access Protocol (LDAP). Una vez autenticados, se redirige a los usuarios a su LX y se inicia su sesión de forma automática.

Nota: Asegúrese de que la dirección de correo electrónico que utilizan sus usuarios para autenticarse con SAML se haya introducido en el campo Correo electrónico o en Alias de correo electrónico de su Perfil de usuario. Sin embargo, solo recibirá correos electrónicos de notificación de formación en la dirección de correo electrónico indicada en el campo Correo electrónico. Para saber cómo añadir información a los perfiles de usuario, consulte nuestra Guía de perfil de usuario.

Configuración de SAML/SSO para su organización

KnowBe4 es compatible con SAML 2.0. Si quiere habilitar la integración de SAML en su consola KSAT, consulte nuestro artículo Habilitar el inicio de sesión único de SAML para su proveedor de SSO.

Si no ve su proveedor de SAML en la lista y necesita ayuda, póngase en contacto con nuestro equipo de asistencia técnica.

¿No encuentra lo que busca?

Hablar con asistencia técnica