Información general

Servicio Centralizado de Autenticación Única (“Single Sign On”) de Aplicaciones Web.
Un Sistema de Autenticación Única (SSO, Single Sign On) se define como un sistema de autenticación que habilita al usuario para acceder a varios sistemas con una sola instancia de identificación.
Este servicio simplifica para los usuarios el uso diario de las aplicaciones, evitándose realizar múltiples autenticaciones. Para los desarrolladores y administradores de aplicaciones es una manera de simplificar la lógica de sus aplicaciones.
En la Junta de Andalucía nos encontramos gran cantidad de aplicaciones web, muchas de ellas con sus propios usuarios y contraseñas.
Las personas que usan estos sistemas tienen que autenticarse en cada uno de ellos, ya sea usando un mismo usuario (como cuando autentican contra el LDAP de Correo Corporativo) o con distintos usuarios o también usando su certificado digital.
Si además, una persona necesita distintos usuarios y contraseñas para distintos sistemas, nos encontramos con los habituales problemas como la pérdida u olvido de contraseñas, los problemas de seguridad, el típico post-it con las credenciales pegado al monitor, etc. con el consiguiente aumento de coste de mantenimiento para la organización.
Los sistemas de Single Sign-On (SSO) vienen a solucionar estos problemas.
Entre los varios tipos de SSO existente tenemos la modalidad Web Single Sign-on (Web SSO), y de entre las ventajas de este tipo de SSO cabe destacar que las aplicaciones que se integran no necesitan implementar su propio sistema de acceso ya que el Web SSO se lo proporciona.
Un sistema Web SSO tiene una doble utilidad:
Para los usuarios: Simplifica el uso diario de las aplicaciones, evitándose realizar múltiples autenticaciones (e incluso recordar múltiples credenciales).
Para los desarrolladores y administradores de aplicaciones es una manera de simplificar la lógica de sus aplicaciones, al poder delegar completamente la tarea de autenticar a los usuarios a un sistema independiente de las mismas. Al integrar una nueva aplicación en el SSO no hay que preocuparse del protocolo de autenticación, de la configuración para aceptar los certificados de la FNMT o de añadir soporte para DNI-e a la aplicación ya que el SSO se encarga de todo y la integración, por norma general se reduce a configuración. Esto redunda en una importante reducción del mantenimiento por cambios en infraestructura.
Además, otra funcionalidad muy importante que aporta nuestro Web SSO es la facilidad para la federación de identidades, que consiste en establecer una relación de confianza entre distintos dominios de usuarios, permitiendo que un usuario autenticado en una aplicación A que tiene sus usuarios, por ejemplo en un LDAP, intercambiando de modo seguro de los datos de la identidad, acceda a una segunda aplicación B, de otro dominio distinto, por ejemplo otro LDAP con otra estructura o un Directorio Activo. Todo esto sin tener que volver a autenticarse.
El servicio de TI SSOWeb proporciona un servicio horizontal de Web Single Sign-on a nivel de la Junta de Andalucía.
Actualmente SSOWeb integra dos métodos de autenticación:
Autenticación basada en el Directorio LDAP Corporativo de la Junta de Andalucía, usado por ejemplo en el acceso al correo electrónico.
Autenticación basada en certificado digital válido aceptado en @firma.
Para facilitar la integración, se proporcionan manuales y componentes de ejemplo tanto para sistemas basados en PHP como en Java.
El servicio SSOWeb está desplegado en alta disponibilidad y cuenta con un creciente catálogo de aplicaciones integradas.
El servicio SSOWeb se fundamenta en el uso del estándar SAML v2, que permite el intercambio seguro de información de autorización y autenticación entre diferentes sitios Web.
Las acciones (operaciones) pueden ser invocadas a través de CEIS. La operación “Solicitar acceso” habilita esta invocación por parte de usuarios delegados.
El alta, modificación y baja de integración con un sistema requiere el registro de un tique en NAOS con la petición.
Al tique NAOS se deberá adjuntar el fichero de metadatos con la información necesaria para la integración.
El alcance de este servicio se extiende a la Administración de la Junta de Andalucía y de sus entidades instrumentales.
Las acciones pueden ser invocadas por responsables TI (o las personas en que delegen) de sistemas integrados, o que deseen integrarse con el Servicio SSOWeb.
De forma indirecta, el personal de la Administración de la Junta de Andalucía y de sus entidades instrumentales, a través del sistema integrado correspondiente, hace uso de este servicio.
Las acciones (operaciones) deben ser invocadas por el personal técnico TI responsable de los diversos sistemas de información integrados. Entre las acciones se encuentra “Notificar incidencia” y “Realizar consulta”.
Las incidencias en relación con el Servicio SSOWeb deberán ser gestionadas exclusivamente a través del Centro de Información y Servicios (CEIS).
También se podrán poner en contacto con el equipo de soporte para realizar consultas, quejas y/o sugerencias a través de la cuenta de correo: ssoweb.ada@juntadeandalucia.es .
Para más información orientada a técnicos ver contenido en la Red Profesional, donde existe un grupo asociado al servicio SSOWeb.
Documentación
Documentos para Desarrolladores
Fecha | Título |
---|---|
18/07/2024 | JAVA - Guía de integración de sistemas con SSOWeb |
18/07/2024 | JAVA - Pantalla de login genérica |
20/05/2024 | SAML2-SDK.zip |
20/05/2024 | SpringSAMLIntegrationExample.war |
04/04/2024 | simpleSAMLPHP_JDA.zip |
17/02/2020 | PHP - Guía de integración de sistemas con SSOWeb |
23/08/2019 | PHP - Guía de integración Drupal de sistemas con SSOWeb |
23/08/2019 | PHP - SDK.tar.gz |
23/08/2019 | PHP - simplesamlphp_auth-6.x-2.7.tar.gz |
Presentaciones
Fecha | Título |
---|---|
18/07/2024 | Presentación SSOWeb |