SSO empresarial
Permite a los empleados de una empresa entrar en el SaaS con las credenciales de su identidad corporativa (Google Workspace, Microsoft Entra, Okta), sin contraseña aparte.
Qué es SSO empresarial
El SSO empresarial (Single Sign-On) deja que el SaaS delegue la autenticación en el proveedor de identidad del cliente mediante protocolos como SAML 2.0 u OIDC. Es un requisito casi obligatorio para vender a empresas medianas y grandes.
Cómo funciona
El SaaS actúa de "service provider" y confía en el "identity provider" del cliente. Al iniciar sesión, el usuario es redirigido a Okta/Entra/Google, se autentica allí (con sus políticas y MFA) y vuelve al SaaS con un token firmado. TI controla quién accede desde un único sitio.
Ejemplo del mundo real
Una empresa de 500 empleados contrata un SaaS de proyectos y exige SSO con Okta. Así, al despedir a alguien, TI lo desactiva en Okta y pierde el acceso al SaaS automáticamente, sin tener que gestionar cuentas una a una.
Datos curiosos
- Suele reservarse a los planes Business/Enterprise: es una clásica "feature de upgrade".
- Acompañado de SCIM, automatiza también el alta y baja de usuarios.
- La crítica del "SSO tax" denuncia que algunos SaaS cobran demasiado por algo que es seguridad básica.
Preguntas frecuentes
¿SAML u OIDC?
SAML es el estándar histórico en empresas; OIDC (sobre OAuth 2.0) es más moderno y habitual en apps nuevas. Muchos SaaS soportan ambos.
¿Por qué lo exigen las empresas?
Por seguridad y control: centralizan políticas, MFA y, sobre todo, la baja inmediata de accesos cuando alguien deja la empresa.
¿SSO es lo mismo que MFA?
No. SSO es entrar con la identidad corporativa; MFA es exigir un segundo factor. Suelen combinarse, pero son cosas distintas.