Cos’è l’SSO, il Single Sign-On per accedere alle risorse aziendali

L’SSO (Single Sign-On) nella sicurezza informatica va oltre il sistema di autenticazione e controllo accessi. È un processo che facilita la vita consentendo l’accesso a più risorse, servizi digitali e applicazioni con un solo set di credenziali con username e password.

Il tutto avviene senza dover costringere gli utenti a ricordare tante password, situazione quest’ultima che spesso rappresenta una vulnerabilità di cyber security da non sottovalutare.

Vediamo allora di cosa si tratta, cosa significa concretamente SSO o Single Sign-On, come funziona e che vantaggi porta alle aziende ed agli utenti che scelgono questa soluzione.

SSO, cos’è e cosa significa Single Sign-On

Il Single Sign-On o SSO è traducibile come autenticazione o identificazione unica e rappresenta la proprietà (capacità/funzionalità tecnologica) di un sistema di controllo degli accessi di consentire ad un utente di effettuare un unico processo di autenticazione.

Ciò significa inserire username e password una sola volta per accedere a più sistemi software, servizi digitali e applicativi o risorse informatiche. Per le quali gli è consentito l’accesso, senza dover ogni volta ripetere l’autenticazione per ogni singola risorsa.

Perché conviene usare l’SSO?

Sono molte le aziende che ricorrono a questo sistema di autenticazione. Gli ambienti IT sono sempre più eterogenei e distribuiti e le risorse sparse in sistemi sia interni al Data Center sia esterni, grazie soprattutto ad outsourcing e al famoso cloud computing. 

Ogni servizio applicativo può essere fruito dagli utenti previa autenticazione: prima che sulle scene dell’IT prendesse forma il Single Sign-On ciò significava dover effettuare l’accesso alle risorse inserendo ogni volta username e password, per ogni singola applicazione, con l’accortezza di dover utilizzare credenziali differenti per ogni risorsa. 

Una situazione che in alcune aziende è ancora oggi realtà con conseguenze negative non solamente sulla user experience ma anche sulla sicurezza e sulla gestione IT. Pensa agli interventi per supportare gli utenti che non ricordano le credenziali e non riescono più ad accedere ai sistemi, alla complessità nella governance di policy e controlli accessi.

Quali sono i vantaggi concreti?

Le aziende che adottano sistemi di autenticazione Single Sign-On lo fanno principalmente per garantire una migliore user experience, semplificare la gestione IT e la sicurezza informatica, dall’altro, con impatti diretti anche sui costi. I benefit: semplificare. Ma cosa?

• La gestione delle password.
• Gli accessi ai vari servizi;
• La definizione delle politiche di sicurezza.

I vantaggi sono riconducibili alla semplificazione, all’user experience e a una più efficiente gestione della sicurezza informatica e, più in generale, dell’IT. Si tratta di benefici che hanno una ricaduta in termini di efficacia su tempi, costi e processi: qualche esempio?

Maggiore è il numero delle password da gestire, maggiore è la possibilità che vengano utilizzate password simili le une alle altre e facili da memorizzare, abbassando così il livello di sicurezza. Poi, la riduzione delle chiamate all’help desk conseguenti alle difficoltà di autenticazione e accesso alle risorse si traduce in minor tempo (e costo) dell’IT da dedicare alla risoluzione dei problemi. Ma anche ad una maggiore produttività degli utenti.

Tipologie e protocolli SSO

Un punto è ormai chiaro: gestire l’accesso sicuro alle applicazioni e ai servizi è fondamentale. Le minacce alla sicurezza informatica, soprattutto per le grandi aziende, sono un vero problema e non basta dotarsi dell’autenticazione a due fattori. Le imprese devono adottare soluzioni di autenticazione solide, in grado di garantire sicurezza e facilità d’uso. 

Il Single Sign-On (SSO) può essere una risposta sicura e conveniente alle esigenze interne delle organizzazioni, ma quali sono tecnologie e protocolli che rendono possibile tutto ciò?

Security Assertion Markup Language (SAML)

SAML è uno dei protocolli più utilizzati nei settori aziendali, trasferisce affermazioni di autenticazione tra un Service Provider e un fornitore di identità. SAML integra applicazioni legacy o enterprise, facilitando la gestione delle identità tra domini diversi. 

“SAML lavora passando le informazioni sugli utenti, i login e gli attributi tra il provider di identità e l’SP. Ogni utente esegue l’autenticazione una volta su un IdP e può quindi potenzialmente estendere la propria sessione di autenticazione a numerose applicazioni in modo semplice”. 

Ecco una definizione operativa di questo protocollo presa da sito Oracle. È utilizzato per applicazioni web e cloud, garantisce autenticazione sicura senza credenziali aggiuntive.

OAuth Single Sign-On

Un protocollo aperto e un accesso sicuro senza condividere le credenziali direttamente con il servizio. OAuth Single Sign-On permette l’uso del token di accesso, utile in scenari mobile o basati su API. L’OAuth nel contesto SSO semplifica l’UX, soprattutto se si integrano più applicazioni o servizi di terze parti. Ecco perché parliamo di una soluzione essenziale.

OpenID Connect (OIDC)

OpenID Connect è un’estensione del protocollo OAuth 2.0 con autenticazione. OIDC fornisce un metodo standardizzato per autenticare tramite un ID token. 

Ciò rende l’OpenID Connect adatto per chi cerca un sistema SSO affidabile, sicuro e scalabile. Ma con una gestione semplificata delle identità digitali in termini di UX.

Kerberos Single Sign-On (SSO)

Ecco un protocollo di autenticazione a chiave segreta, utilizzato nel settore corporate per la sua tenacia. Kerberos si basa su un trusted third party noto come Key Distribution Center (KDC), che gestisce le richieste di autenticazione tra client e server. Questo sistema, che prende il nome dal cane guardiano degli inferi, garantisce un alto livello di sicurezza. 

FIDO2 e WebAuthn

FIDO2 usa meccanismi biometrici o dispositivi fisici come chiavi di sicurezza, quindi elimina la necessità di password tradizionali con un’autenticazione a più fattori (MFA) nativa. 

Lo stesso vale per WebAuthn. Questi protocolli sono apprezzati per la sua capacità di migliorare la sicurezza senza compromettere o complicare l’esperienza utente.

JSON Web Tokens (JWT)

I JSON Web Tokens, basati su uno standard aperto standardizzato secondo RFC 7519, sono molto utilizzati per lo scambio sicuro di informazioni. I JWT contengono un payload con i dati e vengono firmati digitalmente, garantendo l’integrità del contenuto. 

Questa tecnologia – che come ci ricorda il sito web ionos.it  ti obbliga a definire una chiave segreta (ovvero secret) – è utilizzata in combinazione con OAuth e OIDC per sistemi SSO scalabili: i token permettono un accesso senza la necessità di nuove autenticazioni.

System for Cross-domain Identity Management (SCIM)

SCIM è un protocollo per semplificare la gestione delle identità e delle risorse tra domini diversi. Consente di automatizzare creazione, aggiornamento e cancellazione degli account utente su più sistemi e servizi, riducendo al minimo la necessità di interventi manuali. Il sistema SCIM è utile in ambienti aziendali con una gestione complessa degli utenti.

SASL (Simple Authentication and Security Layer)

SASL è un framework con autenticazione standard per vari protocolli di rete come SMTP e LDAP. Questa struttura è modulare, ciò significa poter sfruttare diversi meccanismi di autenticazione (ad esempio OAuth o Kerberos). In caso di implementazione SSO, SASL è utile per la sua flessibilità e compatibilità con molti ambienti e sistemi di autenticazione.

Software Single Sign-On (SSO) per aziende

Oltre a protocolli e framework, la scelta del software giusto per implementare un sistema di SSO sicuro e scalabile è cruciale per qualsiasi azienda. Quali sono le opzioni più interessanti che si possono prendere in esame per implementare l’SSO?

Okta

Perfetto per la gestione dell’identità con supporto multi-fattore e IAM, presenta un forte focus sulla sicurezza quindi è molto apprezzato come software corporate. Supporta l’autenticazione multi-fattore (MFA) e si integra con molte applicazioni cloud e on-premise.

Microsoft Azure AD

Software molto utilizzato nelle aziende per gestire accessi e identità grazie alla sua profonda integrazione con il pacchetto di prodotti Microsoft. È un software SSO particolarmente ricercato per ambienti enterprise e offre funzionalità di autenticazione di alta caratura.

Ping Identity

Programma con supporto per protocolli di autenticazione federata (SAML, OAuth, OIDC) adatto all’autenticazione con forte integrazione su piattaforme cloud. Ping Identity è flessibile ma sicuro, adatto per le aziende che operano in ambienti complessi e delicati.

OneLogin

Un software facile da utilizzare ma anche sicuro, con gestione centralizzata delle identità. Grazie al suo design semplice e intuitivo, è ideale per le aziende che desiderano implementare un SSO sicuro senza complicare troppo il processo di configurazione. 

Auth0

Ecco un programma SSO flessibile per applicazioni su larga scala. Si fa scegliere e preferire grazie al suo approccio modulare. Con questa caratteristica, le aziende possono personalizzare e scalare facilmente le soluzioni SSO in base alle proprie esigenze

Come funziona l’SSO e come si implementa

L’implementazione del Single Sign-On (SSO) segue un processo ben definito per garantire un’autenticazione sicura. Come funziona? Iniziamo dai primi passaggi essenziali. L’utente accede al provider d’identità che ha il compito di autenticare il soggetto che fa richiesta. 

Quindi l’IdP genera un token con le informazioni relative alla sua identità. L’utente prova ad accedere a un fornitore di servizi come un sito web o un’app. Sempre l’IdP invia il token al fornitore di servizi che usa le informazioni del token per verificare l’identità del soggetto e concedere l’accesso alle risorse necessarie senza richiedere ulteriori passaggi.

Tipologie di approcci

In termini tecnologici il SSO è un componente delle soluzioni di Identity Management, ma per creare un sistema di Single Sign-On si possono seguire tre differenti approcci:

Centralizzato

Viene predisposto un database unico e centralizzato degli utenti. Anche le policy di gestione della sicurezza vengono centralizzate. Si ricorre a questo tipo di architettura quando le risorse IT sono riconducibili alla stessa rete (tipo risorse interne al Data Center aziendale).

Federativo

La federazione consiste in un accordo tra imprese differenti che gestiscono i dati di uno stesso utente e consentono a quest’ultimo di poter accedere alle risorse (di aziende diverse) autenticando una sola volta. Grazie al Federated Identity Management, l’accesso ad uno dei sistemi federati permette automaticamente l’accesso a tutti gli altri sistemi collegati.

In questo caso ogni gestore federato mantiene il controllo della propria politica di sicurezza, tuttavia per gli utenti l’accesso alle risorse diventa molto più agile e semplificato.

Cooperativo

Simile all’approccio federativo che consente a ciascun gestore di governare in modo indipendente la propria politica di sicurezza. Il modello cooperativo SSO tiene conto della relazione di dipendenza tra l’utente e l’azienda o un’entità (università, laboratori, ecc.). 

Tenendo conto che ogni utente dipende, per ciascun servizio, da uno solo dei gestori cooperanti, nel caso di richiesta di accesso alla rete locale, l’autenticazione viene effettuata dal gestore che ha in carico l’utente per quel tipo di richiesta/accesso; verrà fatta da un gestore differente nel caso in cui la richiesta di accesso ad un servizio dipenda da un altro soggetto. Ma in modo trasparente per l’utente e senza penalizzazioni per l’user experience.

Implementazione dell’SSO

Ci sono diverse soluzioni per applicare l’SSO. La prima opzione è quella Enterprise (E-SSO): consente di autenticarsi una sola volta per accedere a più utility interne all’azienda, centralizzando le credenziali in un’unica interfaccia. Poi c’è l’opzione specifica per applicazioni web, permettendo agli utenti di accedere a più servizi o siti web.

Sempre a proposito di web, sarà capitato sicuramente di accedere a qualche servizio con il Social SSO. Utilizzando, quindi, credenziali da piattaforme social come Facebook o LinkedIn per autenticarsi su altri siti o applicazioni: in questi casi la comodità è innegabile. 

Lo stesso si può dire del Mobile SSO. Ultimo tassello, il Federated SSO per l’accesso tra domini od organizzazioni diverse attraverso un accordo di fiducia reciproca. Si basa su protocolli standard come SAML o OAuth e rappresenta il mezzo per collegare l’identità elettronica e gli attributi archiviati su più sistemi di gestione dell’identità distinti.

Quali sono le prossime sfide da affrontare?

A un occhio esterno, l’implementazione del Single Sign-On (SSO) può sembrare un percorso semplice e conveniente. In realtà ci sono numerose sfide che le aziende devono affrontare per ottenere i risultati sperati. E per sfruttare al massimo questa tecnologia.

Un problema decisivo, ad esempio, è il Single Point of Failure (SPOF, letteralmente singolo punto di vulnerabilità): se le credenziali SSO vengono compromesse, l’accesso a tutte le applicazioni collegate è a rischio, rendendo necessarie misure di sicurezza aggiuntive. 

Tutto questo è ancora più importante se consideriamo la complessità di implementazione che può rappresentare un ostacolo, specialmente quando si cerca di integrare l’SSO con sistemi legacy o applicazioni non compatibili. Ma il lavoro non è finito qui. 

Le aziende devono assicurarsi che l’implementazione SSO rispetti le normative come GDPR o HIPAA. L’integrazione dell’autenticazione multi-fattore (MFA) può dare un ulteriore livello di sicurezza, riducendo il rischio legato alla compromissione delle credenziali. 

Ma per avere una visione d’insieme di queste necessità è importante lavorare con dei professionisti in grado di studiare e implementare la migliore soluzione per l’azienda.

FAQ: le domande comuni sull’SSO