SAML Login: qué es, cómo funciona y por qué implementarlo en tu empresa

SAML (Security Assertion Markup Language) es un estándar abierto para la autenticación y autorización federada que permite a los usuarios iniciar sesión en múltiples aplicaciones utilizando un único conjunto de credenciales. En este artículo explicamos qué es SAML, cómo funciona un SAML login, ventajas, arquitectura, flujo típico, implementación práctica y buenas prácticas de seguridad.




¿Qué es SAML?

SAML (Security Assertion Markup Language) es un protocolo XML para intercambiar datos de autenticación y autorización entre un Identity Provider (IdP) y un Service Provider (SP). Su uso más habitual es el single sign-on (SSO), donde un usuario se autentica una vez con el IdP y obtiene acceso a múltiples aplicaciones (SPs) sin volver a introducir credenciales.

Componentes clave

  • Identity Provider (IdP): servicio que autentica al usuario (ej. Active Directory Federation Services, Okta, Keycloak).
  • Service Provider (SP): aplicación que confía en el IdP para recibir aserciones de autenticación (ej. un CRM, una app SaaS).
  • Aserciones SAML: paquetes XML firmados que contienen la información de identidad y atributos del usuario.
  • Metadata SAML: ficheros XML que describen endpoints, certificados y configuración del IdP y SP.

Flujo típico de un SAML Login (SSO)

El flujo clásico de SAML Web Browser SSO (simplificado) es:

  1. El usuario intenta acceder al SP (aplicación).
  2. El SP detecta que el usuario no está autenticado y redirige al IdP con una AuthnRequest.
  3. El IdP autentica al usuario (login local, MFA, etc.).
  4. El IdP genera una Assertion SAML firmada que contiene el nombre del sujeto y atributos usuariales.
  5. El IdP envía la assertion al SP (POST al Assertion Consumer Service del SP o redirección).
  6. El SP valida la firma, comprueba condiciones (audience, timestamps) y crea una sesión para el usuario.

Modos de intercambio

Los dos perfiles más usados son:

  • HTTP-Redirect / HTTP-POST para enviar la AuthnRequest o la Assertion.
  • Artifact, menos común, donde se intercambia un artefacto que el SP resuelve con el IdP mediante backchannel.

Ventajas de implementar SAML Login

  • SSO centralizado: mejor experiencia de usuario al iniciar sesión una sola vez.
  • Seguridad: aserciones firmadas y uso de certificados reduce riesgo de robo de credenciales.
  • Control de acceso central: política, MFA y auditoría desde el IdP.
  • Interoperabilidad: estándar soportado por proveedores comerciales y soluciones open source.

Casos de uso típicos

Empresas y organizaciones adoptan SAML para:

  • Integrar aplicaciones SaaS corporativas con el directorio empresarial.
  • Habilitar SSO para empleados, proveedores y partners.
  • Implementar autenticación federada entre organizaciones (federaciones académicas, gubernamentales).

Requisitos y pasos para implementar SAML Login

  1. Elegir o desplegar un IdP (ej. Keycloak, ADFS, Okta, OneLogin).
  2. Registrar el Service Provider en el IdP (crear metadata SP: ACS URL, entityID, certificados).
  3. Configurar en el SP la metadata del IdP (SAML endpoints, certificado público del IdP).
  4. Probar flujo en entorno de staging: validación de firma, audience, condiciones de tiempo.
  5. Implementar MFA y políticas de seguridad en el IdP si es necesario.
  6. Registrar auditoría y logs para cumplimiento y diagnóstico.

Buenas prácticas de seguridad

  • Usar certificados X.509 robustos y rotarlos periódicamente.
  • Validar firma, timestamps (NotBefore/NotOnOrAfter) y Audience en las aserciones.
  • Habilitar HTTPS/TLS en endpoints SP y IdP.
  • Aplicar MFA para accesos sensibles.
  • Limitar la duración de sesión y hacer logout single-logout (SLO) cuando aplique.
  • Auditar eventos: inicios de sesión, rechazos por firma, reintentos y errores.

Errores comunes y cómo resolverlos

  • Assertion not signed/invalid signature: revisar certificado público configurado en el SP y formato de firma.
  • Audience mismatch: asegurarse de que el Audience en la assertion coincide con el entityID del SP.
  • Clock skew: sincronizar relojes NTP en IdP y SP y permitir un margen razonable (ej. 2 minutos).
  • ACS URL incorrecta: verificar la URL del Assertion Consumer Service registrada en el IdP.

Alternativas a SAML

En entornos modernos se consideran también:

  • OAuth 2.0 / OpenID Connect (OIDC): más usado para APIs y aplicaciones modernas, JSON en lugar de XML.
  • Kerberos: en redes Windows para autenticación interna.

SAML sigue siendo muy relevante en entornos empresariales con aplicaciones legacy y federaciones institucionales.

Conclusión

El SAML Login es una solución madura y segura para proporcionar Single Sign-On entre aplicaciones empresariales y servicios externos. Su adopción mejora la experiencia de usuario y centraliza el control de acceso, aunque requiere una correcta configuración de certificados, metadata y políticas de seguridad para evitar fallos comunes.

FAQ (preguntas frecuentes)

¿SAML es mejor que OAuth/OIDC?
Depende del caso: SAML es ideal para SSO web empresarial y legacy; OAuth/OIDC es más flexible para APIs y aplicaciones modernas.
¿Puedo usar SAML para móviles?
Sí, aunque en móviles se suele preferir OIDC; existen adaptaciones y flujos basados en webviews para SAML en apps móviles.
¿Qué IdP open source recomiendas?
Keycloak es una opción popular por su facilidad de configuración, soporte SAML/OIDC y comunidad activa.