SSO empresarial
El SSO empresarial (Single Sign-On) permite a los empleados acceder a un SaaS usando las credenciales de su identidad corporativa (Okta, Microsoft Entra, Google Workspace) vía SAML 2.0 u OIDC, sin contraseña aparte; es un requisito casi obligatorio para vender a empresas medianas y grandes.
Qué es SSO empresarial
El SSO empresarial (Single Sign-On) deja que el SaaS delegue la autenticación en el proveedor de identidad del cliente mediante protocolos como SAML 2.0 u OIDC. Es un requisito casi obligatorio para vender a empresas medianas y grandes.
Cómo funciona
El SaaS actúa de "service provider" y confía en el "identity provider" del cliente. Al iniciar sesión, el usuario es redirigido a Okta/Entra/Google, se autentica allí (con sus políticas y MFA) y vuelve al SaaS con un token firmado. TI controla quién accede desde un único sitio.
Ejemplo del mundo real
Una empresa de 500 empleados contrata un SaaS de proyectos y exige SSO con Okta. Así, al despedir a alguien, TI lo desactiva en Okta y pierde el acceso al SaaS automáticamente, sin tener que gestionar cuentas una a una.
Datos curiosos
- Suele reservarse a los planes Business/Enterprise: es una clásica "feature de upgrade".
- Acompañado de SCIM, automatiza también el alta y baja de usuarios.
- La crítica del "SSO tax" denuncia que algunos SaaS cobran demasiado por algo que es seguridad básica.
Preguntas frecuentes
¿SAML u OIDC?
SAML es el estándar histórico en empresas; OIDC (sobre OAuth 2.0) es más moderno y habitual en apps nuevas. Muchos SaaS soportan ambos.
¿Por qué lo exigen las empresas?
Por seguridad y control: centralizan políticas, MFA y, sobre todo, la baja inmediata de accesos cuando alguien deja la empresa.
¿SSO es lo mismo que MFA?
No. SSO es entrar con la identidad corporativa; MFA es exigir un segundo factor. Suelen combinarse, pero son cosas distintas.