Tornate al glossario

Cos’è il Single Sign-On (SSO)?

Il Single Sign-On (SSO) è una funzionalità di autenticazione che consente agli utenti di accedere a più applicazioni con un unico set di credenziali di accesso. Le aziende in genere utilizzano l’SSO per fornire un accesso più semplice a una varietà di applicazioni web, locali e cloud al fine di garantire un’esperienza utente migliore. Inoltre, l’SSO può fornire all’IT un maggiore controllo sull’accesso degli utenti, ridurre le chiamate all’help desk relative alle password e migliorare la sicurezza e la conformità.

Perché utilizzare il Single Sign-On?

Oggi, le applicazioni sono distribuite tra datacenter e cloud e fornite come SaaS. Ogni applicazione aziendale richiede che gli utenti vengano autenticati prima di potere accedere a una risorsa. Prima che l’SSO fosse disponibile, gli utenti dovevano effettuare il login con vari set di credenziali ogni volta che dovevano spostarsi tra le varie applicazioni. Proprio perché molto spesso ogni applicazione disponeva di un set separato di credenziali, il risultato era una scarsa esperienza per gli utenti, l’impossibilità di accedere a causa di credenziali dimenticate, policy di controllo degli accessi incoerenti e costi più elevati per l’assistenza con tali applicazioni.

L’SSO ha cambiato il modo in cui gli utenti interagiscono e accedono alle loro applicazioni. Grazie all’SSO, gli utenti possono risparmiare tempo accedendo a tutte le loro applicazioni VDI, aziendali, web e SaaS, così come ad altre risorse aziendali come i file condivisi in rete, utilizzando un solo set di credenziali.

Come funziona il Single Sign-On?

Il Single Sign-On è un componente di FIM (federated identity management), un accordo tra imprese che consente agli abbonati di utilizzare gli stessi dati di identificazione per accedere alla rete di ciascuna impresa. La FIM viene spesso definita federazione delle identità.

L’identità dell’utente è collegata a più domini di sicurezza, ciascuno con il proprio sistema di gestione delle identità. Quando i domini sono federati, l’utente può autenticarsi a un dominio e accedere alle risorse presenti in un altro senza dovere effettuare di nuovo il login.

Il framework che consente a terze parti, come LinkedIn o Facebook, di utilizzare le informazioni dell’account di un utente per effettuare l’accesso senza esporre la propria password è chiamato OAuth. Agisce da intermediario fornendo il servizio con un token che consente di condividere solo le informazioni specifiche dell’account. Quando un utente accede a un’applicazione, il servizio invia una richiesta di autenticazione al provider di identità, che verifica tale richiesta e concede l’accesso.

Esistono altri protocolli di autenticazione, come Kerberos e SAML (Security Assertion Markup Language). I servizi di SSO basati su Kerberos emettono un ticket di autenticazione con timestamp o TGT (ticket-granting ticket), che fornisce ticket di servizio anche per altre applicazioni senza richiedere all’utente di immettere nuove credenziali. I servizi SSO basati su SAML scambiano i dati di autenticazione e autorizzazione degli utenti attraverso domini protetti e gestiscono le comunicazioni tra l’utente, un provider di identità con una directory utente e un provider di servizi.

Quali sono i vantaggi del Single Sign-On?

Il SSO offre vantaggi sia agli utenti che al reparto IT. Dal punto di vista dell’utente, il SSO riduce lo stress da password, rendendo l’accesso alle applicazioni più facile e veloce.

Per il reparto IT, il SSO può aiutare a ridurre il numero di chiamate di assistenza relative alla password. Inoltre, la gestione automatizzata delle credenziali riduce il peso di dover gestire manualmente l’accesso dei dipendenti alle applicazioni e ai servizi. Grazie al SSO, per il reparto IT è anche più facile fornire e distribuire rapidamente le applicazioni SaaS ai dipendenti.

Inoltre, dal punto di vista della sicurezza, il SSO può ridurre la minaccia di attacchi informatici, come il phishing, riducendo il numero di credenziali a rischio. Tuttavia, è essenziale implementare anche l’autenticazione multi-fattore come soluzione di backup, nel caso in cui le password vengano compromesse.   

Best practice per il Single Sign-On

È importante tenere a mente le seguenti best practice durante la ricerca di una soluzione di SSO.

  1. Accesso a qualsiasi applicazione. Alcune soluzioni SSO sono limitate alla portata del contesto applicativo specifico. Alcune delle soluzioni in locale forniscono il SSO alle applicazioni web e aziendali, ma non possono fare lo stesso per le applicazioni VDI o SaaS. Al contrario, alcuni dei fornitori di IDaaS forniscono il SSO alle applicazioni cloud e SaaS, ma non alle applicazioni che sono in locale. Nel valutare una soluzione di SSO è necessario dare priorità non solo alla capacità di fornire un’esperienza di SSO su tutte le applicazioni VDI, enterprise, web e SaaS, ma anche di fornire un accesso di rete ad altre risorse aziendali come la condivisione dei file sulla rete.
  2. Identità dell’utente sicura durante l’accesso alle applicazioni SaaS. Le applicazioni SaaS sono al di fuori della rete del datacenter. Per ottenere il SSO per queste applicazioni, molte soluzioni richiedono ai clienti di spostare la loro directory utente sul cloud. Per molti clienti aziendali, questo aspetto rappresenta una preoccupazione oltre che un’operazione ad alto rischio, motivo per cui la soluzione dovrebbe offrire l’opzione di mantenere la directory utente in locale.
  3. Integrazione con meccanismi di autenticazione multi-fattore. Identificare rapidamente e correttamente l’utente e autorizzarne l’accesso alle risorse aziendali è un aspetto fondamentale. Pertanto, i clienti aziendali non dovrebbero fare affidamento solo su nome utente e password, ma dovrebbero cercare una soluzione che offra anche la flessibilità di utilizzare schemi di autenticazione basati sullo stato del dispositivo dell’utente finale, sulla posizione dell’utente, sull’applicazione a cui si vuole accedere, ecc. È importante selezionare una soluzione SSO che supporti qualsiasi meccanismo di autenticazione e protocollo di autenticazione come RADIUS, Kerberos, Microsoft NTLM, Certificate Services, ecc.
  4. Strumenti di monitoraggio e risoluzione dei problemi. Al fine di risolvere rapidamente i problemi, la soluzione di SSO deve includere strumenti di monitoraggio volti a rilevare problemi di prestazioni per tutte le applicazioni, indipendentemente dal fatto che si trovino in un datacenter o sul cloud, o che siano fornite come SaaS.

Risorse aggiuntive