Cómo configurar correctamente el inicio de sesión único (SSO) SAML en WordPress

En WPBeginner, siempre hemos tenido como objetivo facilitar las cosas a nuestro equipo y a nuestros usuarios. Cuando configuramos el inicio de sesión único (SSO) SAML, rápidamente demostró su valor.

Nuestro equipo pudo acceder a todas sus herramientas con un solo inicio de sesión, y obtuvimos tranquilidad sabiendo que nuestra seguridad era más sólida.

SAML SSO es una solución sólida para cualquier empresa centrada en la eficiencia y la seguridad.

Permite que tu equipo inicie sesión una vez para acceder a todo, mientras tú mantienes el control sobre los permisos de los usuarios. Las empresas que utilizan SSO ven menos tickets de soporte y una mejor productividad general.

En esta guía, te explicaremos cómo configurar el inicio de sesión único SAML, ayudándote a transformar la forma en que tu sitio maneja los inicios de sesión.

¿Qué es el inicio de sesión único (SSO) SAML?

SAML significa Security Assertion Markup Language (Lenguaje de Marcado de Afirmaciones de Seguridad). Es una forma segura para que tu sitio de WordPress se comunique con otros servicios, como Google y Office 365.

Por el contrario, SSO significa inicio de sesión único (single sign-on). Esto significa que los usuarios pueden usar una sola contraseña para múltiples servicios.

Con SAML SSO, los usuarios pueden iniciar sesión en tu sitio utilizando sus credenciales existentes de esos servicios. Esto significa que ya no tendrán que recordar nombres de usuario y contraseñas adicionales, solo un único inicio de sesión para todo.

Es especialmente útil para organizaciones y empresas donde las personas usan muchas plataformas en línea diferentes. Por ejemplo, en WPBeginner, usamos SSO para permitir que los miembros de nuestro equipo accedan fácilmente a sus herramientas con un solo inicio de sesión.

Teniendo todo esto en cuenta, veamos cómo puedes configurar fácilmente SAML SSO en WordPress. Puedes usar estos enlaces rápidos para navegar por el tutorial:

• Paso 1: Instalar miniOrange SAML Single Sign On
• Paso 2: Conecta tu sitio con un proveedor de identidad
• Paso 3: Configura los ajustes de SAML SSO de WordPress
• Inicio de sesión único SAML de WordPress: Preguntas frecuentes
• Consejos de seguridad de WordPress para hacer el inicio de sesión más seguro

Paso 1: Instalar miniOrange SAML Single Sign On

La forma más fácil de habilitar SAML SSO en tu sitio web de WordPress es con el plugin miniOrange SAML Single Sign On.

Es gratuito y te permite conectar tu sitio a varios proveedores de identidad, como Google Apps, Okta, OneLogin, Salesforce, Azure B2C, Keycloak, ADFS, Shibboleth 2, Auth0 y Sharepoint.

Además, este plugin permite a los usuarios acceder a múltiples sitios y aplicaciones utilizando un solo inicio de sesión. Dicho esto, puedes repetir los mismos pasos a continuación con el resto de los sitios a los que tu equipo debería poder acceder.

Dicho esto, si administras una red multisitio de WordPress, solo necesitas hacer los pasos una vez en tu sitio principal de la red, y el SSO funcionará automáticamente en todos tus sitios.

Primero, necesitarás instalar el plugin. Si eres nuevo en los plugins de WordPress, tenemos una guía útil que te explica paso a paso cómo instalar un plugin de WordPress.

Una vez que el plugin esté instalado, dirígete a tu panel de WordPress y navega a miniOrange SAML 2.0 SSO » Configuración del plugin.

Luego, cambia a la pestaña ‘Metadatos del proveedor de servicios’. Mantén esta página abierta, ya que necesitaremos la información aquí en el siguiente paso.

Paso 2: Conecta tu sitio con un proveedor de identidad

Ahora que el plugin está instalado en WordPress, es hora de conectar tu sitio web con un proveedor de identidad SAML (SAML IdP).

Un SAML IdP es un servicio que administra cuentas de usuario y autentica a los usuarios. Piensa en él como un centro central donde los usuarios inician sesión una vez, y ese inicio de sesión les otorga acceso a varias aplicaciones, incluido tu sitio de WordPress.

Para este ejemplo, usaremos Google Apps como nuestro SAML IdP. Sin embargo, para usar Google Apps como un SAML IdP, necesitarás una cuenta de administrador de Google, que es diferente de tu cuenta de Gmail.

Una cuenta de administrador de Google administra usuarios y configuraciones para Google Workspace de su organización. Tampoco suele terminar en una extensión @gmail.com.

Primero, dirígete a la página de la Consola de Administración de Google.

En el menú de la barra lateral, navega a la sección 'Aplicaciones' y haz clic en 'Aplicaciones web y móviles'.

Desde aquí, abre el menú desplegable 'Agregar aplicación'.

Luego, selecciona 'Agregar aplicación SAML personalizada'.

Ahora, dale a tu aplicación SAML personalizada un nombre (algo como 'miniOrange Custom SAML') y una breve descripción (como 'Una aplicación SAML SSO para WordPress').

Una vez que estés satisfecho, haz clic en 'Continuar'.

Aquí, verás dos opciones para configurar WordPress SSO.

Iremos con la opción más fácil (opción 1) que implica descargar los metadatos del IdP. Este método es mucho más rápido, ya que no tendrás que ingresar tus metadatos del IdP manualmente y copiar y pegar tu certificado x509 más adelante.

Haz clic en 'Descargar metadatos' para comenzar.

Luego, desplázate hasta el final.

Haz clic en 'Continuar'.

En la siguiente página, verás un formulario para los detalles de tu proveedor de servicios.

En nuestro caso, ese es nuestro sitio web de WordPress con la ayuda de miniOrange.

Ahora, regresa a tu panel de WordPress, donde dejaste la página del plugin miniOrange abierta en la pestaña 'Metadatos del Proveedor de Servicios'.

Desplázate hacia abajo para encontrar la información de tu proveedor de servicios (URL ACS e ID de entidad). Mantén esta página abierta, ya que necesitarás alternar entre esta página y la Consola de Administración de Google.

Ahora, regresa a la Consola de Administración de Google y copia y pega esta información en los campos correspondientes.

Asegúrate de marcar también la casilla ‘Respuesta firmada’.

Bajando en la página, selecciona ‘EMAIL’ para el formato del ID de nombre y elige ‘Información básica > Correo electrónico principal’ para el ID de nombre.

Luego, haz clic en 'Continuar'.

El siguiente paso implica agregar campos de usuario y mapearlos entre Google Directory y tu sitio de WordPress (plugin miniOrange).

Esto es esencialmente como elegir qué información de las cuentas de Google se transfiere a tu sitio de WordPress.

Haz clic en ‘Agregar mapeo’ para comenzar. Luego, agreguemos el campo ‘Nombre’ de Google y mapeémoslo al atributo ‘firstname’.

Una vez que hayas terminado de mapear los campos deseados, desplázate hacia abajo.

Luego, haz clic en ‘Finalizar’.

Ahora aterrizarás en la página de la aplicación SAML personalizada en tu Google Admin Console.

El último paso es activar la aplicación para tus usuarios. Así que haz clic en ‘DESACTIVADO para todos’.

Ahora, simplemente cámbialo a ‘ACTIVADO para todos’.

Finalmente, presiona ‘Guardar’ para finalizar la configuración.

Paso 3: Configura los ajustes de SAML SSO de WordPress

Regresemos a la página del plugin miniOrange SSO en tu área de administración de WordPress. Ahora configuraremos tu SSO de WordPress.

Ahora, cambia a la pestaña ‘Configuración del Proveedor de Servicios’ y selecciona ‘Google Apps’.

Desplázate hacia abajo y navega a la pestaña ‘Cargar metadatos del IdP’.

Aquí, deberás ingresar el nombre del proveedor de identidad (probablemente algo como ‘GoogleApps’) y cargar el archivo XML que descargaste anteriormente de la Consola de Administración de Google.

Una vez que todo esté completo, haz clic en ‘Cargar’.

¡Felicidades! Has conectado exitosamente tu blog de WordPress con tu IdP SAML de Google Apps. Ahora, configuremos algunos ajustes adicionales.

Primero, cambia a la pestaña ‘Mapeo de Atributos/Roles’.

Aquí, puedes definir cómo la información del usuario de Google Apps se mapea a las cuentas de usuario en WordPress.

Desplázate hacia abajo hasta la sección ‘Mapeo de Roles’ y selecciona el rol de usuario predeterminado que deseas asignar a los nuevos usuarios que inicien sesión usando el SSO SAML.

En este ejemplo, hemos seleccionado ‘Editor’. Haz clic en ‘Actualizar’ una vez que hayas tomado tu decisión.

A continuación, cambia a la pestaña ‘Redirección y Enlaces SSO’.

Aquí es donde puedes agregar un útil botón de inicio de sesión único a tu página de inicio de sesión de WordPress para la comodidad del usuario.

Solo asegúrate de que la opción titulada ‘Agregar un botón de inicio de sesión único en la página de inicio de sesión de WordPress’ esté habilitada.

Este pequeño cambio agregará un botón ‘Iniciar sesión con [nombre del proveedor de identidad]’ a tu pantalla de inicio de sesión de WordPress, facilitando que los usuarios inicien sesión con sus credenciales existentes de Google Apps.

Así es como se ve el nuestro:

Inicio de sesión único SAML de WordPress: Preguntas frecuentes

Hemos cubierto los pasos para configurar el SSO SAML de WordPress, pero es posible que aún tengas algunas preguntas. Echemos un vistazo a algunas comunes:

¿Son SAML y SSO lo mismo?

No, SAML y SSO no son lo mismo. SAML (Security Assertion Markup Language) es un protocolo específico utilizado para implementar SSO.

Existen otras formas de lograr el SSO además de usar SAML. Sin embargo, SAML es una opción popular y segura para implementar SSO en una variedad de aplicaciones, incluido WordPress.

¿Cuál es la diferencia entre SAML SSO y un inicio de sesión con un clic con un plugin?

Sí, existen plugins de inicio de sesión para WordPress que ofrecen funcionalidad de un clic, lo cual es una opción mucho más simple en comparación con SAML SSO.

La diferencia clave radica en cómo funcionan. SAML SSO requiere la creación de una aplicación personalizada en tu consola de Google Admin para una comunicación segura. Requiere más configuración, pero ofrece mayor seguridad y gestión centralizada de usuarios.

Por otro lado, los plugins de inicio de sesión con un clic utilizan protocolos existentes como OAuth para conectarse con servicios como Google. No necesitas privilegios de administrador de Google, pero es posible que no ofrezca el mismo nivel de seguridad que SAML SSO.

¿Son lo mismo el SSO y el inicio de sesión social?

El inicio de sesión social es un tipo de SSO que permite a los usuarios iniciar sesión en tu sitio de WordPress utilizando sus credenciales de redes sociales existentes (como Facebook). SAML SSO, por otro lado, es una opción más segura y flexible que se puede utilizar con una gama más amplia de proveedores de identidad, no solo plataformas de redes sociales.

Para obtener más información sobre cómo agregar opciones de inicio de sesión social a tu sitio de WordPress, puedes consultar nuestra guía sobre cómo agregar inicio de sesión social en WordPress.

Consejos de seguridad de WordPress para hacer el inicio de sesión más seguro

Si bien el inicio de sesión SAML SSO es bastante seguro, aquí tienes algunos consejos adicionales que puedes implementar para reforzar aún más la seguridad de tu WordPress:

• Exige contraseñas seguras para tus usuarios de WordPress.
• Habilita la autenticación de dos factores (2FA) para una capa adicional de protección.
• Restringe el número de intentos de inicio de sesión para prevenir ataques de fuerza bruta.
• Mantén un ojo en los intentos de inicio de sesión sospechosos monitoreando tus registros de inicio de sesión.
• Restringe el acceso a tu área de administrador de WordPress por dirección IP.
• Haz copias de seguridad de tu sitio de WordPress regularmente en caso de cualquier brecha de seguridad.
• Mantén tu núcleo de WordPress, plugins y temas actualizados para abordar cualquier vulnerabilidad de seguridad.
• Forza el cierre de sesión de todos los usuarios y haz que cambien sus contraseñas en WordPress de vez en cuando.

Esperamos que este artículo te haya ayudado a aprender cómo configurar SAML SSO en WordPress. También puedes consultar nuestra guía sobre cómo obtener un certificado SSL gratuito para tu sitio web y nuestra selección experta de los plugins de WordPress imprescindibles para hacer crecer tu sitio web.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.