Oracle Cloud (modo gratuito)

Crea, prueba y despliega aplicaciones con la aplicación gratuita de procesamiento de lenguaje natural.

¿Qué es lenguaje de marcado para confirmaciones de seguridad (SAML)?

Descripción de SAML

El lenguaje de marcado para confirmaciones de seguridad (SAML) es un estándar de federación abierta que permite a un proveedor de identidad (IdP) autenticar usuarios y, a continuación, transferir un token de autenticación a otra aplicación conocida como proveedor de servicios (SP). SAML permite que el SP funcione sin la necesidad de realizar su propia autenticación y transferir la identidad para integrar usuarios internos y externos. Permite compartir credenciales de seguridad con un SP a través de una red, normalmente una aplicación o un servicio. SAML permite una comunicación segura entre dominios entre la nube pública y otros sistemas habilitados para SAML, así como un conjunto concreto de sistemas de gestión de identidad distintos ubicados en entornos locales o en una nube diferente. Con SAML, puedes habilitar una experiencia de conexión única (SSO) para tus usuarios en dos aplicaciones que admiten servicios y protocolos SAML, lo cual permite que el SSO realice varias funciones de seguridad en nombre de una o más aplicaciones.

SAML se refiere al lenguaje de variante XML utilizado para codificar esta información y también puede abarcar varios mensajes y perfiles de protocolo que forman parte del estándar.

Dos funciones de seguridad principales de SAML

  • Autenticación: determinar que los usuarios son quienes dicen ser
  • Autorización: aprobar una autorización de usuario en aplicaciones para acceder a determinados sistemas o contenidos

Descubre cómo Oracle utiliza SAML para aumentar la seguridad con un solo clic.


Obtén más información sobre el uso de SAML desde entornos locales o la nube.

¿Cómo funciona SAML?

SAML funciona transfiriendo información sobre usuarios, inicios de sesión y atributos entre el proveedor de identidad y el SP. Cada usuario se autentica una vez para un proveedor de identidad (IdP) y posteriormente puede ampliar sin problemas su sesión de autenticación a numerosas aplicaciones. El IdP aprueba lo que se conoce como afirmación de SAML al SP cuando el usuario intenta acceder a esos servicios. El SP solicita la autorización y la autenticación de la identidad.

Ejemplo de SAML:

  1. Conéctate y accede a la autenticación SSO.
  2. Exporta los metadatos del proveedor de identidad e impórtalos.
  3. El sistema de identidad dispondrá de más información acerca del proveedor de identidad de SSO para exportar metadatos.
  4. Proporciona los metadatos al equipo del proveedor de identidad de SSO.
  5. Comprueba y habilita la conexión única (SSO).
  6. Se recomienda que los usuarios solo inicien sesión con sus credenciales de SSO.

¿Qué es proveedor de SAML?

Un proveedor de SAML es un sistema que ayuda a los usuarios a obtener acceso al servicio que necesiten. SAML transfiere los datos de identidad entre dos partes, un IdP (proveedor de identidad) y un SP (proveedor de servicios). Existen dos tipos principales de proveedores de SAML:

Proveedor de identidad (IdP): realiza la autenticación y transfiere el nivel de identidad y autorización del usuario al proveedor de servicios (SP). El IdP autentica al usuario mientras que el SP permite el acceso en función de la respuesta del primero.

Proveedor de servicios (SP): confía en el IdP y autoriza a un usuario determinado a acceder al recurso solicitado. Un SP requiere la autenticación de IdP para otorgar autorización al usuario y, dado que ambos sistemas comparten el mismo lenguaje, el usuario solo necesita iniciar sesión una vez.

¿Qué es una afirmación de SAML?

Una afirmación de SAML es un documento XML que el proveedor de identidad envía al SP y donde se incluye el estado de autorización del usuario. Los tres tipos distintos de afirmaciones de SAML son decisiones de autenticación, atributo y autorización.

  • Las afirmaciones de autenticación ayudan a verificar la identificación de un usuario y proporcionan la hora en la que un usuario se conecta y el método de autenticación que se utiliza (por ejemplo, contraseña, autenticación multifactor, Kerbeos, etc.).
  • La afirmación asignada transfiere el token SAML al SP. Se asume que el atributo utilizado por SAML para identificar al usuario es el mismo en el directorio del IdP y del SP. Los atributos de SAML son porciones de datos específicas que proporcionan información sobre el usuario
  • Una afirmación de decisión de autorización indica si un usuario está autorizado a utilizar un servicio o si el proveedor de identidad ha denegado la solicitud debido a un fallo de contraseña o a la falta de derechos para un servicio

Casos de uso de SAML y OAuth

SAML se utiliza principalmente para habilitar el inicio de sesión único (SSO) en el explorador web. En cuanto a la experiencia de usuario, el objetivo de SSO consiste en permitir que el usuario se autentique una vez y obtenga acceso a sistemas protegidos por separado sin tener que volver a enviar sus credenciales. En términos de seguridad, busca garantizar que se cumplan los requisitos de autenticación en cada perímetro de seguridad.

  • Administra identidades en la nube y en entornos locales. Habilite un enfoque unificado para la gestión de identidades y accesos con flujos de trabajo basados en la nube, aprovisionamiento de usuarios simplificado y autoservicio de usuarios. La integración de estándares abiertos reduce los gastos generales y el mantenimiento, simplificando la gestión y el aprovisionamiento de usuarios en la nube y en entornos locales.
  • Optimiza las tareas de identidad. Reduce la necesidad de hacer cambios repetitivos de usuarios, roles y grupos en múltiples entornos. Proporciona un puente de identidades que sincroniza los derechos de identidad en todos los servicios locales y en la nube.
  • Estrategia de confianza cero. Vela por el cumplimiento de las políticas de acceso con un servicio basado en la nube para el inicio de sesión único (SSO), la aplicación de contraseñas seguras y la autenticación multifactor (MFA). Con la autenticación adaptativa, el riesgo se reduce aumentando los requisitos de inicio de sesión cuando el acceso del usuario se considere de alto riesgo en función del dispositivo, la ubicación o la actividad
  • Gestiona el acceso digital de los consumidores. Enriquece la experiencia de acceso de los consumidores con interfaces de usuario en régimen de autoservicio y pantallas de inicio de sesión personalizables en función de la organización. La habilitación flexible del acceso del cliente permite integrar servicios de terceros y aplicaciones personalizadas mediante las API de REST y la integración basada en estándares

Optimización de la experiencia de inicio de sesión del usuario

La experiencia de usuario es extremadamente importante para cualquier aplicación y debe comenzar desde el primer momento en que un usuario interactúa con ella. La primera actividad suele ser el proceso de inicio de sesión. Si esta operación resulta engorrosa o poco intuitiva, puede dañar la experiencia general de uso de la aplicación. Oracle Identity Cloud Service (IDCS) gestiona el acceso y los derechos de los usuarios en una amplia gama de aplicaciones y servicios locales y en la nube mediante una plataforma de servicio de identidad como servicio (IDaaS) en la nube que actúa como puerta de entrada a Oracle Cloud para identidades externas. Con esto, las organizaciones pueden activar una estrategia de confianza cero y establecer la gestión de identidad de los usuarios como un nuevo perímetro de seguridad.

Más información sobre Oracle Database Cloud Services.