Cos'è il Single Sign-On?
- Glossario IAM
- Cos'è il Single Sign-On?
Il Single Sign-On (SSO) è una tecnologia di autenticazione che consente a un utente di accedere a più applicazioni e servizi con un unico set di credenziali di accesso. Gli obiettivi principali dell'SSO sono ridurre il numero di volte in cui un utente deve inserire le proprie credenziali e facilitare l'accesso a tutte le risorse di cui ha bisogno senza dover effettuare più volte il login.
Le piattaforme SSO svolgono un ruolo fondamentale nella maggior parte dei sistemi di gestione delle identità e degli accessi (IAM). Inoltre, ogni volta che un fruitore utilizza un account di social media per accedere a un altro sito web, ad esempio, "Accedi con Facebook", sta utilizzando il SSO.
Come funziona il Single Sign-On?
I sistemi SSO funzionano stabilendo una relazione di fiducia tra un utente, un provider d'identità (IdP) e i siti web e le app che utilizzano il login con SSO, noti come service provider. Ecco una panoramica di alto livello della procedura:
L'utente accede al provider d'identità. L'utente fornisce il proprio nome utente e la password all'IdP, che verifica l'identità dell'utente e autentica la sessione.
Il provider d'identità genera un token. Considerate questo token come una carta d'identità digitale temporanea che contiene informazioni sull'identità e sulla sessione dell'utente. Questo token, memorizzato nel browser dell'utente o nei server del servizio SSO, verrà utilizzato per passare le informazioni sull'identità dell'utente dall'IdP al fornitore del servizio.
L'utente accede a un fornitore di servizi. Quando l'utente tenta di accedere a un sito web o a un'applicazione, il sito o l'applicazione richiede l'autenticazione all'IdP.
L'IdP invia il token al sito web o all'app. L'IdP invia in modo sicuro un token crittografato una tantum all'applicazione o al sito web a cui l'utente vuole accedere.
Il sito web o l'applicazione utilizza le informazioni contenute nel token per verificare l'identità dell'utente. Se la verifica ha esito positivo, il fornitore di servizi concede l'accesso all'utente, che può iniziare a utilizzare il sito o l'app.
Il Single Sign-on è sicuro?
Sì. In effetti, il Single Sign-on è generalmente considerato più sicuro dei tradizionali sistemi di autenticazione con nome utente e password perché riduce il numero di password che gli utenti devono ricordare, dissuadendoli dall'adottare pratiche di sicurezza delle password inadeguate, come la creazione di password deboli e il riutilizzo delle password per più account.
Tuttavia, come per qualsiasi altra tecnologia, i sistemi SSO devono essere configurati e manutentati correttamente per una sicurezza ottimale. Inoltre, i sistemi SSO devono essere utilizzati insieme ad altri strumenti e protocolli IAM, inclusa l'autenticazione multifattoriale, un gestore di password aziendale completo e i controlli degli accessi basati sui ruoli.
Tipi di Single Sign-On
Tutti i sistemi SSO hanno lo stesso obiettivo finale: consentire agli utenti di autenticarsi una sola volta e di accedere a più applicazioni e sistemi senza dover ripetere l'accesso. Tuttavia, i protocolli e gli standard specifici possono variare da sistema a sistema. Ecco alcuni dei termini più comuni che si incontrano quando si lavora con il SSO:
- Il SSO federato è comune nelle organizzazioni di grandi dimensioni che dispongono di più applicazioni e sistemi distribuiti in diversi reparti e sedi. Fornisce un unico accesso a più sistemi in diverse organizzazioni.
- Il SSO basato sul Web è spesso utilizzato dalle organizzazioni "native digitali", i cui dipendenti lavorano interamente con applicazioni e servizi basati sul cloud.
- Il Security Assertion Markup Language (SAML) non è un "tipo" di SSO, ma un formato di dati standard per lo scambio di dati di autenticazione e autorizzazione tra le parti. Il SAML è comunemente utilizzato nei sistemi SSO basati sul web.
- Kerberos è un protocollo di autenticazione di rete che fornisce un'autenticazione sicura per i servizi di rete utilizzando un sistema di "ticketing" digitale. A differenza del SAML, utilizzato per l'autenticazione alle app sul Web, Kerberos è una tecnologia di back-end presente nelle reti locali aziendali (LAN).
- Lightweight Directory Access Protocol (LDAP) è un protocollo di servizio di directory utilizzato per conservare e recuperare dati su utenti e risorse. Le soluzioni SSO basate su LDAP consentono alle organizzazioni di utilizzare il loro servizio di directory LDAP esistente per gestire gli utenti per SSO. Tuttavia, poiché LDAP non è stato progettato per funzionare in modo nativo con le applicazioni web, le organizzazioni generalmente utilizzano il proprio server LDAP come "fonte di verità" autorevole, in altre parole come fornitore di identità, in combinazione con il SSO basato su SAML.
Vantaggi e svantaggi del Single Sign-On
I principali vantaggi del SSO sono:
Esperienza utente comoda e migliorata Il SSO elimina la necessità per gli utenti di ricordare più nomi utente e password, in modo che possano accedere ai servizi di cui hanno bisogno più velocemente e più facilmente.
Sicurezza migliorata: Il SSO offre agli amministratori IT una gestione centralizzata delle identità degli utenti, che contribuisce a migliorare la sicurezza offrendo agli amministratori una migliore visibilità e un maggiore controllo su chi ha accesso a cosa. In questo modo si può prevenire l'accesso non autorizzato a informazioni sensibili.
Produttività migliorata: Gli amministratori possono dedicare meno tempo alla gestione delle identità degli utenti e gli utenti non devono perdere tempo ad armeggiare con le password. Una soluzione SSO può anche ridurre drasticamente o addirittura eliminare i ticket inviati all'help desk per le password dimenticate.
Gli svantaggi principali del SSO sono:
Singolo punto di guasto: Se il sistema SSO va in tilt, gli utenti non saranno in grado di accedere a nessuno dei servizi che si basano su di esso, il che può comportare un'interruzione significativa. Allo stesso modo, se il sistema SSO viene compromesso, i malintenzionati ottengono l'accesso a tutti i fornitori di servizi inclusi. Per questo motivo è fondamentale proteggere le credenziali SSO con l'autenticazione multifattoriale.
Complessità: L'implementazione di un sistema SSO può essere complessa e richiede un investimento significativo di tempo e risorse.
Vulnerabilità: Se il sistema SSO non viene manutentato correttamente, i malintenzionati possono potenzialmente comprometterlo e ottenere l'accesso a più servizi.
Limiti: Non tutte le app supportano il SSO, in particolare le app LOB (Line-of-Business) legacy che svolgono funzioni aziendali di back-end essenziali e che non sono facilmente modificabili o sostituibili. Tale lacuna può essere colmata grazie a un solido gestore di password aziendali.
Come implementare il Single Sign-On
L'implementazione di una soluzione di Single Sign-On è un progetto IT importante che deve essere intrapreso con attenzione. Ecco i passi principali da seguire.
Ricordate di evitare l'uso di e-mail, messaggi di testo o chiamate come fattore di autenticazione, a meno che il sito o l'app non supportino altri metodi.
Stabilite i requisiti: Stabilite quali servizi e applicazioni saranno inclusi nell'implementazione del SSO, nonché i requisiti di sicurezza e di controllo degli accessi per ciascuno di essi. Non dimenticate i vostri requisiti di sicurezza, come l'autenticazione a più fattori, la gestione delle password e il controllo degli accessi in base al ruolo.
Scegliete una soluzione SSO: Selezionate una soluzione SSO, o una combinazione di soluzioni, per soddisfare i vostri requisiti.
Configurate il provider di identità: Configurate il componente IdP della soluzione SSO. L'IdP sarà responsabile dell'autenticazione degli utenti e della fornitura delle informazioni sulla loro identità ai fornitori di servizi inclusi.
Integrate i fornitori di servizi: Integrate in ogni sito web e app la soluzione SSO. Ciò implica la configurazione di ogni fornitore di servizi per comunicare con l'IdP, ricevere le informazioni sull'identità dell'utente e verificare l'autenticità della sessione SSO.
Verificate l'implementazione del SSO: Selezionate un piccolo gruppo di utenti di prova e assicuratevi che possano accedere ai servizi e alle applicazioni necessarie con un unico set di credenziali.
Implementate la soluzione SSO a livello aziendale: A seconda delle esigenze e dell'ambiente dei dati, ciò può comportare l'implementazione dei componenti IdP e service provider su server separati o l'integrazione nell'infrastruttura esistente.
Monitorate e mantenete la soluzione SSO: Monitorate regolarmente la soluzione SSO per assicurarvi che funzioni correttamente e per risolvere eventuali problemi.
È importante tenere presente che l'implementazione del SSO richiede un investimento significativo di tempo e risorse e che possono essere necessari diversi mesi per completare il processo. È inoltre importante collaborare con professionisti IT esperti in soluzioni SSO e in migliori strategie di sicurezza per garantire un'implementazione corretta.