El tema del inicio de sesión único hace tiempo que dejó de limitarse a los sistemas corporativos. El usuario abre el navegador, inicia sesión una vez y obtiene acceso de inmediato a varios servicios. Tras esa mecánica simple se esconden distintos enfoques de autenticación, y dos de ellos generan confusión con frecuencia: OpenID y Passport.
A primera vista ambas soluciones resuelven la misma tarea. Sin embargo, su arquitectura, escenarios de uso e incluso filosofía son diferentes. Entender esas diferencias ayuda a elegir la tecnología adecuada y evitar errores al implantar SSO.
Qué es SSO y para qué sirve
SSO, o inicio de sesión único, permite que el usuario se autentique una vez y use los datos obtenidos para acceder a otros sistemas sin volver a introducir usuario y contraseña.
La idea principal es sencilla: existe un proveedor de identidad de confianza y existen servicios que confían en ese proveedor. Tras el inicio de sesión, el usuario recibe un token o una afirmación que confirma su identidad.
Este modelo resuelve a la vez varias tareas:
- reduce la carga sobre los usuarios: menos contraseñas, menos errores;
- simplifica la administración de accesos;
- aumenta la seguridad gracias a la autenticación centralizada;
- ofrece control sobre sesiones y permisos.
Pero la implementación del SSO depende del protocolo elegido. Y aquí empieza lo más interesante.
OpenID: identificación descentralizada
OpenID es un estándar abierto que permite al usuario usar una sola cuenta para acceder a diferentes sitios. Los servicios no almacenan la contraseña del usuario, sino que delegan la autenticación al proveedor.
El funcionamiento es así. El usuario intenta iniciar sesión en un sitio y elige iniciar sesión mediante OpenID. El servicio redirige al usuario al proveedor de identidad. Tras un inicio de sesión exitoso, el proveedor devuelve la confirmación de identidad.
La característica clave de OpenID es la descentralización. El usuario elige al proveedor. El sitio solo verifica si se puede confiar en esa fuente.
En las implementaciones modernas se usa con más frecuencia OpenID Connect, una capa sobre OAuth 2.0. Añade un componente de autenticación y hace el proceso más flexible.
Ventajas de OpenID:
- flexibilidad para elegir el proveedor;
- no hace falta almacenar contraseñas en el servicio;
- amplio soporte en aplicaciones modernas;
- integración con OAuth y acceso a API.
Tampoco faltan desventajas. La configuración requiere comprender tokens y flujos de autorización. Errores en la configuración pueden provocar vulnerabilidades.
Passport: modelo centralizado de Microsoft
Passport fue un enfoque más antiguo desarrollado por Microsoft. Más adelante evolucionó a Microsoft Account. A diferencia de OpenID, aquí no hay elección de proveedor: se usa un sistema centralizado único.
El usuario crea una cuenta en el ecosistema de Microsoft y la usa para iniciar sesión en servicios externos que soportan Passport.
El modelo se basa en confiar en un único proveedor de identidad. Al servicio no le hace falta gestionar múltiples proveedores: basta integrarse con Microsoft.
Este enfoque simplifica la implementación, pero reduce la flexibilidad y crea dependencia de un único proveedor.
Principales características de Passport:
- control centralizado;
- integración sencilla para desarrolladores;
- selección limitada de proveedor;
- vínculo fuerte con la ecosistema de Microsoft.
Con el tiempo la popularidad de Passport disminuyó. Los estándares abiertos empezaron a sustituir las soluciones cerradas.
Comparación entre OpenID y Passport
Ambos enfoques resuelven la tarea del SSO, pero lo hacen de forma distinta. Las diferencias se aprecian bien en la comparación.
| Criterio | OpenID | Passport |
| Tipo | Estándar abierto | Sistema cerrado |
| Proveedores | Cualquiera | Sólo Microsoft |
| Flexibilidad | Alta | Limitada |
| Seguridad | Depende de la implementación | Controlada de forma centralizada |
| Vigencia | Relevante (OpenID Connect) | En proceso de quedar obsoleto |
Si se necesita una solución universal para distintas plataformas, con más frecuencia se elige OpenID Connect. Si lo que importa es la simplicidad dentro de un mismo ecosistema, se pueden considerar soluciones centralizadas.
Dónde se aplican los distintos enfoques
OpenID se usa activamente en grandes servicios. El inicio de sesión mediante Google, Apple u otras cuentas se basa precisamente en OpenID Connect. Este enfoque es conveniente para aplicaciones web, servicios móviles y API.
Passport se empleó principalmente dentro de los productos de Microsoft. Hoy su papel lo desempeñan mecanismos más modernos como Microsoft Identity Platform.
En entornos corporativos la elección depende de la infraestructura. Si la empresa usa servicios en la nube y arquitectura de microservicios, OpenID Connect se convierte en el estándar de facto.
Para sistemas cerrados con control único a veces se eligen modelos centralizados. Sin embargo, la tendencia se inclina claramente hacia los protocolos abiertos.
Conclusión
SSO hace tiempo que es una parte básica de los servicios digitales. El usuario espera que el acceso sea rápido y discreto, y el desarrollador espera que el sistema sea seguro y escalable.
OpenID y Passport reflejan dos enfoques distintos de la identidad. El primero gira en torno a estándares abiertos y flexibilidad. El segundo gira en torno al control y al modelo centralizado.
Los sistemas modernos optan cada vez más por OpenID Connect. Combina comodidad, seguridad e independencia respecto de un proveedor concreto. Las soluciones cerradas pasan a un segundo plano.
La elección de la tecnología depende de las necesidades. Pero la dirección general está clara: los protocolos abiertos ganan por compatibilidad y evolución del ecosistema.
FAQ
¿Qué es SSO en palabras sencillas?
SSO es un mecanismo que permite iniciar sesión una sola vez y usar el acceso en varios servicios sin volver a autorizarse.
¿En qué se diferencia OpenID de OAuth?
OpenID se ocupa de la autenticación del usuario, mientras que OAuth permite otorgar acceso a recursos sin compartir la contraseña.
¿Se usa Passport hoy en día?
El Passport clásico casi no se usa. Lo han reemplazado soluciones modernas como Microsoft Identity Platform.
¿Es seguro OpenID Connect?
OpenID Connect se considera seguro con una configuración correcta. Los riesgos principales están relacionados con errores de implementación.
¿Qué protocolo elegir para un nuevo proyecto?
Para la mayoría de proyectos conviene OpenID Connect, porque es flexible, cuenta con amplio soporte y escala bien.
