.png&w=384&q=75&dpl=dpl_9SjeWpxK3G3ycvkDFTPYMABK2Wau){kind=small}
SSO empresarial en tu ATS: qué es y por qué tu reclutamiento lo necesita
El SSO empresarial (Single Sign-On) permite que tu equipo acceda al ATS con las credenciales de identidad corporativa de la empresa — Okta, Microsoft Entra ID, Google Workspace — en lugar de usuarios y contraseñas separados. En un sistema que guarda datos personales de candidatos, esto deja de ser una comodidad y pasa a ser un requisito de seguridad. Esta guía explica cómo funcionan SAML y SCIM y qué pedirle a tu proveedor de software de reclutamiento.
Key Takeaway
Las cuentas huérfanas — accesos que quedan activos después de que alguien deja la empresa — son una de las causas más comunes de filtraciones de datos. El SSO empresarial con SCIM las elimina de forma automática, sin depender de que alguien se acuerde de desactivar el usuario.
El problema que resuelve el SSO empresarial
Sin SSO, cada persona del equipo de reclutamiento tiene un usuario y una contraseña propios para el ATS. Eso crea tres problemas:
- Contraseñas débiles o reutilizadas, que abren la puerta a accesos no autorizados.
- Cuentas huérfanas: cuando un recruiter deja la empresa, su acceso al ATS sigue activo hasta que alguien lo desactiva manualmente.
- Onboarding lento: cada alta requiere crear un usuario, enviar credenciales y configurar permisos a mano.
El ATS es uno de los sistemas más sensibles de una empresa: contiene CVs, datos de contacto, evaluaciones y, a veces, información salarial de cientos o miles de personas. Tratar su acceso con menos rigor que el del correo corporativo es un error de gobernanza.
SAML: la autenticación
SAML (Security Assertion Markup Language) es el protocolo que maneja la autenticación. Cuando un recruiter inicia sesión en el ATS, en lugar de pedir una contraseña propia, el ATS redirige al proveedor de identidad corporativo (Okta, Entra ID, Google Workspace). El proveedor confirma la identidad — aplicando las políticas de la empresa, incluyendo MFA — y devuelve una afirmación firmada que le dice al ATS "esta persona es quien dice ser".
El resultado: una sola credencial corporativa, gobernada por las políticas centrales de seguridad, sin contraseñas separadas que gestionar.
SCIM: el aprovisionamiento
SCIM (System for Cross-domain Identity Management) es el protocolo que maneja el aprovisionamiento: automatiza el ciclo de vida de las cuentas de usuario.
| Evento | Sin SCIM | Con SCIM |
|---|---|---|
| Nuevo recruiter ingresa | Alta manual en el ATS | Cuenta creada automáticamente |
| Cambio de rol o equipo | Edición manual de permisos | Permisos sincronizados automáticamente |
| Persona deja la empresa | Baja manual (si alguien se acuerda) | Acceso revocado automáticamente |
SCIM conecta el directorio corporativo con el ATS, de modo que cualquier cambio en el directorio — alta, cambio de rol, baja — se refleja en el ATS sin intervención manual.
SAML + SCIM: juntos, no por separado
SAML responde "¿quién está entrando?". SCIM responde "¿quién debería tener una cuenta y con qué permisos?". Un ATS enterprise serio ofrece los dos:
Qué pedirle a tu proveedor de ATS
- SSO empresarial vía SAML 2.0, compatible con Okta, Microsoft Entra ID y Google Workspace.
- Aprovisionamiento SCIM 2.0 para alta y baja automática de usuarios.
- MFA heredado de las políticas del proveedor de identidad.
- Controles de acceso por rol (RBAC) para limitar qué ve cada usuario una vez adentro.
- SOC 2 Type II y cumplimiento GDPR como base de seguridad.
- Un Trust Center público donde se documenten estas garantías.
Cómo lo resuelve Selenios
Selenios ofrece SSO empresarial vía SAML, aprovisionamiento SCIM, controles de acceso por rol y certificación SOC 2 Type II, con un Trust Center público. El acceso de tu equipo al ATS queda gobernado por las mismas políticas de seguridad que el resto de tu stack corporativo — y las cuentas huérfanas dejan de ser un riesgo.