Guía sencilla para configurar el inicio de sesión único (SSO) en WordPress 

Gestionar múltiples nombres de usuario y contraseñas en diferentes herramientas es un verdadero quebradero de cabeza. Tanto si administras un sitio de membresía, una intranet de equipo o una gran red de WordPress, gestionar los inicios de sesión genera fricciones y riesgos de seguridad al mismo tiempo. El inicio de sesión único (SSO) de WordPress resuelve ambos problemas de una sola vez. En esta guía, te explicaremos con detalle cómo funciona el SSO, por qué es importante y cómo configurarlo en tu sitio paso a paso.

TL;DR: Configurar SSO en WordPress

• El inicio de sesión único (SSO) de WordPress permite a los usuarios iniciar sesión una sola vez y acceder a múltiples herramientas sin tener que volver a introducir sus contraseñas.

• SAML 2.0 es el protocolo SSO más seguro y con mayor soporte para WordPress, ideal para equipos y entornos empresariales.

• El inicio de sesión único (SSO) reduce la reutilización de contraseñas, centraliza la gestión de usuarios y facilita considerablemente las auditorías de cumplimiento.

• Necesitas un sitio WordPress.org autohospedado con HTTPS habilitado antes de poder configurar el inicio de sesión único (SSO).

• El plugin miniOrange SAML SSO es la forma más sencilla de conectar WordPress con proveedores como Google Workspace, Okta o Microsoft Azure AD.

• En una red multisitio de WordPress, solo necesita configurar el inicio de sesión único (SSO) una vez en el sitio principal.

• Pruebe siempre su configuración en un entorno de prueba antes de implementarla en producción.

• Establezca el rol de usuario predeterminado en Suscriptor, no en Editor ni en Administrador.

¿Qué es el inicio de sesión único (SSO) en WordPress?

El inicio de sesión único es un método de autenticación que permite a los usuarios iniciar sesión una sola vez y acceder a múltiples herramientas, aplicaciones o sitios web sin tener que volver a introducir sus credenciales.

En lugar de que WordPress almacene y verifique todas las contraseñas por sí mismo, delega esa tarea a un sistema externo de confianza llamado proveedor de identidad, o IdP.

Imagínelo como una tarjeta maestra. En lugar de llaves separadas para cada puerta, una sola tarjeta abre todo. Para los equipos que usan Google Workspace, Microsoft Azure AD u Okta, esto significa que los empleados pueden acceder a WordPress con la misma cuenta que usan para el correo electrónico, las herramientas de proyectos y todo lo demás.

El inicio de sesión único (SSO) es especialmente valioso para organizaciones, plataformas de membresía, sitios de aprendizaje electrónicoy cualquier configuración de WordPress donde varios usuarios necesiten acceso a través de varios sistemas.

¿Cómo funciona el inicio de sesión único (SSO) de SAML con WordPress?

SAML son las siglas de Security Assertion Markup Language (Lenguaje de Marcado de Aserciones de Seguridad). Es un estándar abierto que gestiona el intercambio seguro de datos de autenticación entre dos partes: el proveedor de identidad (IdP) y el proveedor de servicios (SP).

En una configuración de inicio de sesión único (SSO) de WordPress, tu sitio de WordPress actúa como proveedor de servicios. Así es como funciona en la práctica:

• Un usuario intenta acceder a tu sitio de WordPress.
• WordPress los redirige a la página de inicio de sesión del proveedor de identidad (IdP).
• El usuario introduce allí sus credenciales.
• El proveedor de identidad (IdP) verifica la identidad y envía una aserción SAML firmada a WordPress.
• WordPress lee esa afirmación e inicia sesión automáticamente con el usuario.

WordPress nunca almacena ni valida la contraseña directamente. Esto es lo que hace que el inicio de sesión único (SSO) mediante SAML sea significativamente más seguro que los inicios de sesión estándar de WordPress.

SAML vs OAuth vs OpenID Connect

Estos tres protocolos permiten el inicio de sesión único (SSO), pero se adaptan a diferentes casos de uso.

• SAML 2.0 es la opción preferida para entornos empresariales, intranets corporativas y portales B2B. Es robusto, altamente seguro y compatible con prácticamente todos los principales proveedores de identidad (IdP).

• OAuth 2.0 es más adecuado para aplicaciones orientadas al consumidor que necesitan la funcionalidad de inicio de sesión mediante redes sociales.

• OpenID Connect se basa en OAuth y representa un punto intermedio sólido para sitios de membresía y productos SaaS con un alto tráfico de usuarios.

Para la mayoría de los sitios de WordPress con acceso para equipos, clientes empresariales o herramientas internas, SAML es la opción correcta.

¿Por qué deberías configurar el inicio de sesión único (SSO) en tu sitio de WordPress?

Antes de comenzar con la configuración, conviene comprender qué beneficios obtendrá realmente. El inicio de sesión único (SSO) no es solo una función práctica; transforma la gestión de accesos en toda su organización.

Mayor seguridad, menos contraseñas

Cuando los usuarios utilizan una única contraseña segura en lugar de varias, dejan de reutilizar credenciales débiles en múltiples plataformas. La reutilización de contraseñas es una de las causas más comunes de robo de credenciales. El inicio de sesión único (SSO) elimina esta vulnerabilidad al prescindir por completo de las contraseñas de WordPress.

Gestión de usuarios simplificada

Como administrador, puedes otorgar o revocar el acceso a través de tu proveedor de identidad (IdP), y los cambios se aplican instantáneamente en todas las plataformas conectadas. Cuando un empleado se va, desactivas una cuenta y pierde el acceso a todo. No es necesario buscar y deshabilitar manualmente las cuentas en distintos sistemas.

Menos fricción para tu equipo

Un acceso más rápido a las herramientas se traduce en un equipo más productivo. Menos contraseñas olvidadas también significan menos solicitudes de soporte. Para las agencias que gestionan múltiples sitios web de clientes o las empresas que operan grandes redes de WordPress, esto supone un ahorro considerable. Los usuarios simplemente inician sesión una vez y comienzan a trabajar.

Preparación para el cumplimiento y las auditorías

único (SSO) centraliza los registros de autenticación en una sola ubicación. Esto del RGPD y la HIPAA . Cada inicio de sesión está vinculado al proveedor de identidad (IdP), lo que proporciona un registro de auditoría claro sin necesidad de configurar registros independientes en cada plataforma.

¿Cómo puede Seahawk Media ayudarte a configurar el inicio de sesión único (SSO) de WordPress?

Configurar el inicio de sesión único (SSO) implica más que simplemente seguir un asistente de configuración. La configuración adecuada del proveedor de identidad (IdP), la asignación de atributos, la gestión de roles y las pruebas de producción requieren una atención minuciosa. Una configuración incorrecta en cualquier paso puede provocar fallos de inicio de sesión o accesos no deseados.

En Seahawk Media, trabajamos con agencias, empresas y negocios de WordPress en crecimiento para implementar configuraciones de inicio de sesión único (SSO) seguras y confiables que se adapten a la forma en que su equipo trabaja realmente.

Tanto si está migrando un sitio web existente a SSO como si está creando un nuevo portal autenticado desde cero, nuestro equipo se encarga de los detalles técnicos para que usted pueda centrarse en su negocio.

Ponte en contacto con nosotros para hablar sobre tus necesidades de seguridad y gestión de acceso a WordPress.

¿Qué necesitas antes de empezar?

Repasar esta lista de verificación antes de comenzar le ahorrará tiempo más adelante.

• Necesitas una instalación de WordPress.org autoalojada. WordPress.com no admite plugins SAML personalizados, por lo que esta configuración solo funciona en sitios que tú mismo alojas.

• Debe habilitar HTTPS en su sitio web. SAML requiere comunicación cifrada, por lo que un certificado SSL es indispensable.

• También necesitas acceso de administrador tanto a WordPress como al proveedor de identidad que hayas elegido.

En esta guía, el ejemplo utiliza Google Workspace, pero los mismos principios se aplican a Okta, Microsoft Azure AD, OneLogin y otros proveedores de identidad.

Pasos para configurar el inicio de sesión único (SSO) en WordPress

La forma más sencilla de habilitar el inicio de sesión único (SSO) de WordPress es con el plugin miniOrange SAML SSO. Es compatible con más de 50 proveedores de identidad, funciona con redes multisitio de WordPress y cuenta con una versión gratuita que cubre la mayoría de las configuraciones estándar.

Paso 1: Instala el plugin SAML SSO en WordPress

Inicia sesión en tu panel de WordPress y ve a Plugins, luego a Añadir nuevo. Busca «miniOrange SAML Single Sign On» e instálalo. Una vez activado, ve a miniOrange SAML 2.0 SSO en la barra lateral. Aquí es donde se realiza toda la configuración.

Este plugin convierte tu sitio WordPress en un proveedor de servicios compatible con SAML. Esto significa que puede recibir y validar aserciones SAML de cualquier proveedor de identidad compatible al que lo conectes.

Paso 2: Encuentra los metadatos de tu proveedor de servicios

Dentro del complemento, haga clic en la pestaña Configuración del complemento y luego abra la pestaña Metadatos del proveedor de servicios. Aquí verá dos valores importantes: la URL de ACS (URL del servicio de consumidor de aserciones) y el ID de entidad.

Mantén esta página abierta. Deberás copiar estos valores en tu proveedor de identidad en el siguiente paso. La URL de ACS especifica a dónde envía el proveedor de identidad la aserción SAML tras un inicio de sesión exitoso. El ID de entidad identifica de forma única tu sitio de WordPress ante el proveedor de identidad.

Paso 3: Conecta tu proveedor de identidad (ejemplo de Google Workspace)

Inicia sesión en tu consola de administración de Google en admin.google.com. En la barra lateral, ve a Aplicaciones y haz clic en Aplicaciones web y móviles. Abre el menú desplegable Agregar aplicación y selecciona Agregar aplicación SAML personalizada.

• Asigna un nombre claro a tu aplicación, como “WordPress SSO”, y haz clic en Continuar. En la siguiente pantalla, haz clic en Descargar metadatos. Esto descargará un archivo XML con los detalles de tu proveedor de identidad (IdP). Guárdalo, lo necesitarás pronto.

• Desplázate hacia abajo y haz clic en Continuar para acceder al formulario de detalles del proveedor de servicios. Vuelve a tu panel de WordPress y copia la URL de ACS y el ID de entidad del plugin miniOrange. Pégalos en los campos correspondientes de la consola de administración de Google. Asegúrate también de marcar la casilla de Respuesta firmada.

• Para el formato de ID de nombre, seleccione CORREO ELECTRÓNICO y configure el ID de nombre como Información básica y, a continuación, Correo electrónico principal. Haga clic en Continuar, añada las asignaciones de atributos que necesite, como nombre y apellido, y, por último, haga clic en Finalizar.

• El último paso en la Consola de administración de Google es activar la aplicación. Busca el interruptor que dice DESACTIVADO para todos y cámbialo a ACTIVADO para todos. Guarda los cambios.

Tenga en cuenta que Okta, Azure AD y OneLogin siguen un flujo muy similar. La documentación del complemento describe los pasos específicos para cada proveedor de identidad si utiliza uno distinto a Google Workspace.

Paso 4: Sube los metadatos de tu IdP a WordPress

Vuelve al plugin miniOrange en WordPress.

• Ve a Configuración del proveedor de servicios y selecciona Google Apps como tu IdP. Dirígete a la pestaña Cargar metadatos del IdP.

• Introduce un nombre para tu proveedor de identidad y, a continuación, sube el archivo XML que descargaste de la consola de administración de Google. Haz clic en Subir.

El complemento analizará los metadatos y completará automáticamente los detalles del IdP. Utilice el botón «Probar configuración» para verificar que la conexión funciona correctamente antes de realizar cualquier otra modificación. Corrija los errores que se indiquen aquí antes de continuar.

Paso 5: Mapear atributos de usuario y asignar roles

Dentro del plugin, ve a la pestaña Asignación de atributos/roles. Aquí es donde le indicas a WordPress cómo asignar la información del usuario del proveedor de identidad (IdP) a los campos de usuario de WordPress.

• Asigna los campos de nombre, apellido y correo electrónico a sus atributos correspondientes de WordPress.

• Desplácese hacia abajo hasta la sección Asignación de roles y elija un rol predeterminado para los nuevos usuarios que inicien sesión mediante SSO. Configure esto con cuidado.

• El rol de suscriptor es la opción predeterminada más segura para la mayoría de las configuraciones. Siempre puedes ascender manualmente a usuarios individuales a roles superiores.

• Asignar el rol de Editor o Administrador por defecto supone un riesgo de seguridad importante. Haga clic en Actualizar para guardar la configuración.

A partir de este momento, los usuarios que visiten su página de inicio de sesión verán un botón "Iniciar sesión con" que los redirigirá a su proveedor de identidad (IdP) para la autenticación.

Configuración de SSO en WordPress Multisite

Si administras una multisitio de WordPress , la configuración es mucho más sencilla de lo que parece. Configura el inicio de sesión único (SSO) una sola vez en el sitio principal de la red y la autenticación se extenderá automáticamente a todos los subsitios. No es necesario repetir la configuración en cada sitio individual.

Esto hace que el inicio de sesión único (SSO) sea especialmente útil para agencias que gestionan múltiples sitios de clientes en una misma red, o para grandes organizaciones que administran subsitios específicos para cada departamento. Los usuarios inician sesión en el sitio principal y mantienen su sesión activa en cualquier subsitio al que tengan acceso.

Errores comunes de configuración de SSO que se deben evitar

La mayoría de los problemas de inicio de sesión único (SSO) se deben a unos pocos errores evitables. Saber qué buscar ahorra mucho tiempo en la resolución de problemas.

Dominios de correo electrónico que no coinciden

La dirección de correo electrónico asociada a un usuario de WordPress debe coincidir exactamente con la registrada en el proveedor de identidad (IdP). Si un miembro del equipo utiliza una dirección personal de Gmail en WordPress, pero inicia sesión a través de una cuenta corporativa de Google Workspace, el inicio de sesión único (SSO) no vinculará correctamente las cuentas. Asegúrese siempre de que las direcciones de correo electrónico coincidan antes de habilitar el SSO para los usuarios existentes.

Saltarse la prueba antes de la transmisión en directo

El botón de configuración de prueba del plugin existe por una razón. Úselo en un entorno de prueba antes de habilitar el inicio de sesión único (SSO) en producción. Una aserción mal configurada o una URL de ACS incorrecta pueden impedirle el acceso al sitio a usted y a sus usuarios. Pruebe primero, siempre.

Asignar el rol predeterminado incorrecto

Los nuevos usuarios creados mediante SSO reciben automáticamente el rol predeterminado que configures en el plugin. Si lo dejas configurado como Editor o Administrador, cualquier persona de tu IdP que visite tu sitio obtendrá automáticamente permisos elevados. Empieza con el rol de Suscriptor y asigna roles superiores manualmente a usuarios específicos.

Inicio de sesión único (SSO) frente a inicio de sesión social en WordPress: ¿Cuál es la diferencia?

El inicio de sesión social y el inicio de sesión único (SSO) están relacionados, pero están diseñados para públicos diferentes.

El inicio de sesión social permite a los visitantes acceder con sus cuentas existentes en plataformas como Google o Facebook. Funciona bien para sitios web de consumo, blogs y tiendas de comercio electrónico donde el objetivo principal es reducir las dificultades de registro.

SAML SSO está diseñado para organizaciones que requieren control de acceso centralizado y políticas de seguridad.

Se integra con proveedores de identidad empresariales como Azure AD y Okta, admite la administración de acceso basada en roles y proporciona los registros de auditoría que requieren las industrias reguladas.

Si administras un sitio web público con membresía, el inicio de sesión social podría ser suficiente. Si gestionas el acceso de equipos internos o portales de clientes empresariales, el inicio de sesión único SAML es la opción adecuada.

Terminando

El inicio de sesión único de WordPress simplifica la vida de todos los involucrados. Los usuarios dejan de tener que gestionar contraseñas, los administradores administran el acceso desde un solo lugar y, en consecuencia, su sitio web se vuelve mucho más seguro.

Empiece con el complemento SAML SSO, conecte su proveedor de identidad, pruebe a fondo la configuración y añada la autenticación de dos factores (2FA) para una mayor protección.

Si necesitas ayuda para hacerlo bien a la primera, Seahawk Media está aquí. Nos especializamos en seguridad, rendimiento y configuraciones personalizadas de WordPress para agencias y empresas que no pueden permitirse el lujo de equivocarse.

Preguntas frecuentes sobre el inicio de sesión único (SSO) en WordPress