Il Single Sign-On (SSO) è una funzionalità di autenticazione che consente agli utenti di accedere a più applicazioni con un unico set di credenziali di accesso. Le aziende in genere utilizzano l’SSO per fornire un accesso più semplice a una varietà di applicazioni web, locali e cloud al fine di garantire un’esperienza utente migliore. Inoltre, l’SSO può fornire all’IT un maggiore controllo sull’accesso degli utenti, ridurre le chiamate all’help desk relative alle password e migliorare la sicurezza e la conformità.
Oggi, le applicazioni sono distribuite tra datacenter e cloud e fornite come SaaS. Ogni applicazione aziendale richiede che gli utenti vengano autenticati prima di potere accedere a una risorsa. Prima che l’SSO fosse disponibile, gli utenti dovevano effettuare il login con vari set di credenziali ogni volta che dovevano spostarsi tra le varie applicazioni. Proprio perché molto spesso ogni applicazione disponeva di un set separato di credenziali, il risultato era una scarsa esperienza per gli utenti, l’impossibilità di accedere a causa di credenziali dimenticate, policy di controllo degli accessi incoerenti e costi più elevati per l’assistenza con tali applicazioni.
L’SSO ha cambiato il modo in cui gli utenti interagiscono e accedono alle loro applicazioni. Grazie all’SSO, gli utenti possono risparmiare tempo accedendo a tutte le loro applicazioni VDI, aziendali, web e SaaS, così come ad altre risorse aziendali come i file condivisi in rete, utilizzando un solo set di credenziali.
Il Single Sign-On è un componente di FIM (federated identity management), un accordo tra imprese che consente agli abbonati di utilizzare gli stessi dati di identificazione per accedere alla rete di ciascuna impresa. La FIM viene spesso definita federazione delle identità.
L’identità dell’utente è collegata a più domini di sicurezza, ciascuno con il proprio sistema di gestione delle identità. Quando i domini sono federati, l’utente può autenticarsi a un dominio e accedere alle risorse presenti in un altro senza dovere effettuare di nuovo il login.
Il framework che consente a terze parti, come LinkedIn o Facebook, di utilizzare le informazioni dell’account di un utente per effettuare l’accesso senza esporre la propria password è chiamato OAuth. Agisce da intermediario fornendo il servizio con un token che consente di condividere solo le informazioni specifiche dell’account. Quando un utente accede a un’applicazione, il servizio invia una richiesta di autenticazione al provider di identità, che verifica tale richiesta e concede l’accesso.
Esistono altri protocolli di autenticazione, come Kerberos e SAML (Security Assertion Markup Language). I servizi di SSO basati su Kerberos emettono un ticket di autenticazione con timestamp o TGT (ticket-granting ticket), che fornisce ticket di servizio anche per altre applicazioni senza richiedere all’utente di immettere nuove credenziali. I servizi SSO basati su SAML scambiano i dati di autenticazione e autorizzazione degli utenti attraverso domini protetti e gestiscono le comunicazioni tra l’utente, un provider di identità con una directory utente e un provider di servizi.
Il SSO offre vantaggi sia agli utenti che al reparto IT. Dal punto di vista dell’utente, il SSO riduce lo stress da password, rendendo l’accesso alle applicazioni più facile e veloce.
Per il reparto IT, il SSO può aiutare a ridurre il numero di chiamate di assistenza relative alla password. Inoltre, la gestione automatizzata delle credenziali riduce il peso di dover gestire manualmente l’accesso dei dipendenti alle applicazioni e ai servizi. Grazie al SSO, per il reparto IT è anche più facile fornire e distribuire rapidamente le applicazioni SaaS ai dipendenti.
Inoltre, dal punto di vista della sicurezza, il SSO può ridurre la minaccia di attacchi informatici, come il phishing, riducendo il numero di credenziali a rischio. Tuttavia, è essenziale implementare anche l’autenticazione multi-fattore come soluzione di backup, nel caso in cui le password vengano compromesse.
È importante tenere a mente le seguenti best practice durante la ricerca di una soluzione di SSO.