Seguridad

Blinde su dominio

Publicado el · 7 min de lectura

El inicio de sesión único no es un simple interruptor. Son tres controles que funcionan juntos para decidir exactamente quién puede acceder al inventario de su empresa. Entender cómo encajan hace evidente por qué el SSO deja entrar a las personas correctas y mantiene a todas las demás fuera.

1. Verificación de dominio: probar que es suyo

Antes que nada, reclama su dominio de correo (por ejemplo suempresa.com) y prueba que le pertenece publicando un registro DNS TXT que nosotros generamos. Solo una persona que controla el DNS de su dominio puede hacerlo, de modo que un dominio verificado es una señal fuerte e infalsificable de que ese dominio pertenece realmente a su empresa. Nada aguas abajo se activa mientras esa verificación no pase.

2. Exigir el SSO: cerrar las puertas traseras

Con un dominio verificado, puede exigir el SSO para todos sus miembros. Una vez activado, una persona cuyo correo está en su dominio ya no puede colarse con una contraseña aparte, porque el inicio de sesión se redirige a su proveedor de identidad cada vez. Esto cierra la puerta trasera del «pero creé una cuenta hace siglos» y hace pasar cada inicio de sesión por el MFA y las políticas que impone su IdP.

3. Aprovisionamiento automático: las personas correctas, de forma automática

Active el aprovisionamiento automático y la primera vez que una persona de su dominio verificado inicia sesión vía SSO, se agrega automáticamente a la empresa, sin invitación manual. Un nuevo colaborador se une al grupo correcto en su IdP, inicia sesión y ya está operativo. Déjelo desactivado y el acceso permanece solo por invitación, sirviendo el SSO simplemente como método de inicio de sesión.

Cómo se combinan

  • Dominio verificado + exigencia de SSO = solo entran los miembros autenticados de su dominio, y únicamente a través de su IdP.
  • + Aprovisionamiento automático = la incorporación es automática, impulsada por completo por los grupos de su proveedor de identidad.
  • Elimine a alguien en su IdP = el siguiente inicio de sesión falla, en todas partes. El acceso no se prolonga.

Cada control es una casilla en los ajustes de inicio de sesión único (SSO) de su empresa. La configuración completa (desde agregar un dominio hasta activar estas opciones) se encuentra en la página de la funcionalidad de inicio de sesión único.

¿Nuevo en el porqué de todo esto? Empiece por los argumentos a favor del inicio de sesión único SAML, y luego consulte la página de seguridad.

Blinde el inventario de su empresa