OAuth y OIDC SSO para aplicaciones en la nube

OAuth y OIDC SSO para aplicaciones en la nube

OpenID Connect (OIDC) es una capa de comprobación construida sobre el marco de autorización OAuth 2.0. OIDC es un protocolo de verificación común utilizado por los proveedores de identidades (IdP) para verificar a los usuarios que acceden a terceros proveedores de servicios (SP) sin exigirles que vuelvan a compartir su información de inicio de sesión en otro lugar.

OAuth proporciona a las aplicaciones acceso a recursos de otras aplicaciones de terceros. También puede emplearse para autenticar usuarios. Con unos sencillos pasos de configuración, ADSelfService Plus es compatible con SSO para todas las aplicaciones en la nube compatibles con OAuth y OIDC.

¿Cómo funcionan los protocolos OAuth y OIDC?

Dado que OIDC se construye como una capa de comprobación sobre OAuth 2.0, ambos protocolos funcionan de forma bastante similar. Sin embargo, hay ligeras desviaciones hacia el final del proceso de flujo de código.

Cuando un usuario quiere acceder a una aplicación o SP, OIDC inicialmente lleva al usuario a la página de inicio de sesión del IdP para la verificación. Ahí comunica ciertos parámetros: el URI de redirección, el tipo de respuesta, el alcance, etc. Después de que el usuario autentique correctamente su identidad con el IdP, se le redirige de nuevo a la aplicación.

Simultáneamente, el IdP pasa un código de autorización al SP en el canal de retorno seguro de los servidores. Este código luego es intercambiado por el token de acceso y el de identificación. Este último ayuda al SP a conocer la identidad del usuario que acaba de iniciar sesión. El token de acceso se usa si la aplicación cliente necesita acceder a más detalles sobre el usuario, tales como su foto de perfil.

El siguiente diagrama de flujo permite comprender mejor el flujo de SSO iniciado por el SP para OIDC.

OAuth 2.0 authorization

El flujo de código de autorización de OAuth 2.0 funciona de forma idéntica al mencionado flujo de código de OIDC. Sin embargo, hay diferencias. En el último paso, el SP recibe el token de acceso y el de actualización del IdP a través del canal de retorno en lugar del token de ID. El token de actualización se emplea para obtener un nuevo token de acceso una vez que caduca sin hacer que el usuario se autentique de nuevo con el IdP.

OAuth y OIDC SSO utilizando ADSelfService Plus

ADSelfService Plus proporciona una gama de aplicaciones OAuth y OIDC de uso común preintegradas para facilitar la configuración de SSO. Los administradores también pueden añadir cualquier aplicación personalizada habilitada para OAuth u OIDC. La herramienta ofrece políticas detalladas para que los administradores configuren fácilmente el acceso de los usuarios a las aplicaciones. Proporciona opciones para determinar los detalles del IdP. Estos incluyen las URL de los endpoints de autorización, las URL de los endpoints de token y las URL de los endpoints de usuario. Esto aplica tanto para las aplicaciones personalizadas como para las preintegradas.

Hay dos maneras a través de las cuales los usuarios pueden iniciar sesión en una aplicación o un servicio usando OAuth y OIDC SSO de ADSelfService Plus:

Flujo SSO iniciado por IdP

  • Con el SSO iniciado por IdP, los usuarios primero se verifican e inician sesión en ADSelfService Plus. Este es el IdP.
  • Una vez conectado, el usuario hace clic en la aplicación deseada del catálogo de ADSelfService Plus.
  • La aplicación correspondiente se abrirá en una nueva pestaña y el usuario automáticamente iniciará sesión sin tener que autenticarse de nuevo.

Flujo SSO iniciado por el SP

  • Con el SSO iniciado por el SP, el usuario intenta acceder a la aplicación requerida visitando la página de aterrizaje o inicio de sesión de la aplicación.
  • A continuación, el usuario es redirigido a ADSelfService Plus y se le presentan los factores de comprobación configurados por el administrador.
  • Una vez autorizado correctamente en ADSelfService Plus, el usuario vuelve a la aplicación y se le concede el acceso.

Una consola fácil de usar que permite configurar el SSO sin complicaciones

Configure aplicaciones preintegradas

1
 
Convenientemente clasificadas

Elija entre una gama de aplicaciones preintegradas que se han clasificado por categorías para mayor comodidad.

Configure pre-integrated applications

1. Conveniently categorized: Choose from a range of pre-integrated applications that have been categorized for convenience.

Configure detalles avanzados del IdP

1
 
Configuración en profundidad

Haga clic en este botón para configurar los detalles avanzados del IdP. Estos incluyen las URL de los endpoints de autorización, las URL de los endpoints de token y las URL de los endpoints de usuario.

Configure advanced IdP details

1. Configuración detallada: Configure los detalles avanzados de IdP, como las URL de punto final de autorización, las URL de punto final de token y las URL de punto final de usuario haciendo clic en este botón.

Configure custom applications

1
 
Acceso basado en políticas

Configure qué usuario puede acceder a qué aplicaciones utilizando políticas granulares de ADSelfService Plus.

Configure custom applications

1. Acceso basado en políticas: configure qué usuario puede acceder a qué aplicaciones mediante políticas granulares de ADSelfService Plus.

Ventajas de OAuth y OIDC SSO en ADSelfService Plus

  • Compatibilidad para cualquier aplicación habilitada para OAuth/OIDC: Proporcione compatibilidad SSO para cualquier aplicación habilitada para OAuth/OIDC. Configure fácilmente el SSO a partir de un pool de aplicaciones preintegradas o añada aplicaciones personalizadas.
  • Seguridad mejorada: Implemente MFA para los inicios de sesión basados en SSO. Esto añade otra capa de seguridad a los nombres de usuario y contraseñas.
  • Acceso con un solo clic: Ayude a mejorar la experiencia del usuario y elimine la fatiga de claves proporcionando un acceso fluido a las aplicaciones con un solo clic.
  • Reducción de la carga de trabajo de TI: Ayude a los administradores de TI a reducir la carga de trabajo relacionada con las contraseñas y a gestionar mejor las identidades en varios servicios.

Relájese y deje que ADSelfService Plus se ocupe de sus necesidades de SSO.

Funciones destacadas

Autoservicio de contraseñas

Libere a los usuarios del Active Directory de largas llamadas a la mesa de ayuda permitiéndoles realizar sus tareas de restablecimiento de contraseñas/desbloqueo de cuentas de autoservicio. ¡Haga cambios de clave para empleados sin complicaciones con la consola "Cambiar contraseña" de ADSelfService Plus!

Una identidad con inicio de sesión único

Acceda con un solo clic a más de 100 aplicaciones en la nube. Con el inicio de sesión único empresarial, los usuarios pueden acceder a todas sus aplicaciones en la nube con sus credenciales de Active Directory.

Notificación de caducidad de contraseña/cuenta

Avise a los usuarios del Active Directory de la inminente caducidad de sus contraseñas/cuentas notificándolos por correo electrónico.

Sincronizador de contraseñas

Sincronice los cambios de contraseña/cuenta de usuario de Windows Active Directory en varios sistemas y de forma automática. Estos incluyen Office 365, G Suite, IBM iSeries y más.

Aplicación de la política de contraseñas

Garantice contraseñas de usuario seguras y resistentes a diversas amenazas de hackeo con ADSelfService Plus obligando a los usuarios de Active Directory a utilizar claves que se ciñan a los estándares de seguridad mediante la visualización de los requisitos de complejidad de las claves.

Autoactualización del directorio y búsqueda dentro de la empresaCorporate Search

Portal que permite a los usuarios de Active Directory actualizar su información más reciente y función de búsqueda rápida para localizar información sobre compañeros utilizando claves de búsqueda, como el número de contacto de la persona en cuestión.

Grandes compañías de latinoamérica confían en ADSelfService Plus

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

Emprenda un viaje hacia la seguridad de identidad y Zero Trust