# Inicio de sesión único SAML para aplicaciones en la nube Lenguaje de marcado para confirmaciones de seguridad (SAML) es un estándar abierto basado en XML que elimina la necesidad de utilizar múltiples contraseñas y nombres de usuario específicos para cada aplicación. Para ello, facilita el intercambio seguro de datos de autenticación y autorización entre aplicaciones. SAML es uno de los estándares más utilizados para proporcionar a los usuarios un acceso seguro a varias aplicaciones en la nube mediante el inicio de sesión único (SSO). Las principales aplicaciones en la nube son compatibles con SAML. Estas incluyen [Office 365](https://www.manageengine.com/products/self-service-password/office-365-single-sign-on.html), [Google Workspace (formerly G Suite)](https://www.manageengine.com/products/self-service-password/step-by-step-guide-for-google-apps-single-sign-on.html), [Salesforce](https://www.manageengine.com/products/self-service-password/step-by-step-guide-for-salesforce-single-sign-on.html), [Dropbox](https://www.manageengine.com/products/self-service-password/step-by-step-guide-for-dropbox-single-sign-on.html) y [ServiceNow](https://www.manageengine.com/products/self-service-password/step-by-step-guide-for-servicenow-single-sign-on.html). ADSelfService Plus es compatible con SSO para todas las aplicaciones en la nube compatibles con SAML 2.0. ## ¿Cómo funciona la autenticación SAML? La autenticación SAML requiere tres entidades: - **Un usuario**: la persona que intenta acceder a un servicio. - **Un proveedor de servicios (SP)**: la aplicación que proporciona el servicio. Por ejemplo, Office 365 y Google Workspace (antes G Suite). - **Un proveedor de identidades (IdP)**: la aplicación que verifica al usuario. Por ejemplo, ADSelfService Plus. En algunos casos, el propio IdP almacena la información de identidad del usuario y la utiliza para la autenticación. En otros casos, emplea otra infraestructura de identidad para la verificación. ADSelfService Plus facilita la autenticación de usuarios mediante el uso de identidades del Active Directory. Para configurar el SSO basado en SAML, el IdP y el SP necesitan establecer confianza entre ellos. Esto implica configurar el SP con la URL de inicio de sesión de SSO, la URL de cierre de sesión de SSO y el certificado X.509 proporcionado por el IdP. También hay que configurar el IdP con algunos atributos específicos del SP. Una vez establecida la confianza, el SP delegará las responsabilidades de autenticación al IdP. ## Puesta en marcha de SAML SSO en ADSelfService Plus Para iniciar SAML SSO en ADSelfService Plus, los usuarios pueden comenzar con el SP o el IdP. Esto significa que SAML SSO funciona independientemente. No importa si los usuarios primero intentan iniciar sesión en su aplicación en la nube o ADSelfService Plus. ### Flujo SSO iniciado por el SP - Para el flujo SSO iniciado por el SP, un usuario comienza intentando acceder al SP. - El SP genera una solicitud de autenticación SAML y redirige al usuario al IdP (ADSelfService Plus) para su verificación. - El IdP verifica si el usuario está autenticado o no. Si no, se pide al usuario que introduzca sus datos de verificación. - Una vez autenticado correctamente, el IdP genera una respuesta SAML. - El IdP redirige al usuario de vuelta al SP junto con la respuesta SAML. - El SP valida la respuesta SAML y concede el acceso al usuario. ![Single sign-on flow](https://www.manageengine.com/products/self-service-password/images/single-sign-on-flow.png) ### Flujo SSO iniciado por IdP - Para el flujo SSO iniciado por el IdP, el usuario inicia sesión directamente en el IdP (ADSelfService Plus). - Una vez conectado, el usuario hace clic en el icono SP del catálogo de aplicaciones de ADSelfService Plus. - ADSelfService Plus redirige al usuario al SP junto con una respuesta SAML. - El SP recibe la respuesta SAML y la valida. - Una vez validado, se concede el acceso al usuario. ADSelfService Plus es compatible con flujos SAML SSO. Esto aplica tanto a los iniciados por IdP como a los iniciados por SP para la mayoría de las aplicaciones en la nube. ## Ventajas de SAML **Mayor seguridad**: La autenticación SAML no implica contraseñas. Sólo se transmiten solicitudes y respuestas SAML firmadas digitalmente entre el SP y ADSelfService Plus. Como no hay claves de por medio, ayuda a reducir las amenazas relacionadas con las claves. **Compatible con miles de aplicaciones en la nube**: Casi todas las aplicaciones modernas en la nube son compatibles con SAML. Puede habilitar fácilmente SSO para múltiples aplicaciones utilizando ADSelfService Plus. **Acceso con un solo clic**: SAML mejora la experiencia del usuario al eliminar la necesidad de iniciar sesión varias veces en una jornada laboral sólo para acceder a distintas aplicaciones. **Reducción de la carga de TI**: Con SAML SSO activado, los administradores de TI no tienen que preocuparse por las llamadas a la mesa de ayuda relacionadas con las contraseñas ni por gestionar identidades en varios servicios.