Il Single Sign-On (SSO) è uno schema di autenticazione che consente agli utenti di accedere a una sessione utilizzando un unico set di credenziali di accesso e, durante tale sessione, di acquisire l'accesso sicuro a più applicazioni e servizi correlati senza dover effettuare nuovamente l'accesso.
SSO viene comunemente utilizzato per gestire l'autenticazione alle intranet o extranet aziendali, a portali per studenti, servizi cloud pubblici e ad altri ambienti in cui gli utenti devono spostarsi tra più applicazioni per svolgere il proprio lavoro. Viene anche sempre più utilizzato anche nei siti Web e nelle app rivolti ai clienti, quali siti bancari e di e-commerce, per combinare applicazioni di fornitori di terze parti in esperienze per utente che risultino fluide e senza interruzioni.
Il single sign-on si basa su una relazione di fiducia digitale tra un gruppo di applicazioni, siti Web e servizi correlati e affidabili, chiamati provider di servizi , e una soluzione SSO, denominata provider di identità. La soluzione SSO è spesso parte di una soluzione IAM (identity and access management) più ampia.
In generale, l'autenticazione SSO opera come segue:
- Un utente accede, utilizzando le credenziali di accesso SSO, a una delle applicazioni attendibili o a un portale centrale che collega tutte le applicazioni attendibili (ad esempio un portale per i dipendenti o un sito Web di studenti universitari).
- Quando l'utente viene autenticato correttamente, la soluzione SSO genera un token di autenticazione della sessione contenente informazioni specifiche sull'identità dell'utente: un nome utente, un indirizzo e-mail, ecc. Questo token è memorizzato nel browser web oppure sul server SSO o IAM.
- Quando l'utente tenta di accedere a un'altra delle applicazioni attendibili, l'applicazione verifica sul server SSO o IAM se l'utente è già autenticato per la sessione. In caso affermativo, la soluzione SSO convalida l'utente firmando il token di autenticazione con un certificato digitale e all'utente viene concesso l'accesso all'applicazione. In caso contrario, all'utente viene richiesto di reimmettere le credenziali di accesso.
Il processo può variare in base a diversi fattori. Ad esempio, un utente che è rimasto inattivo per un determinato periodo potrebbe dover immettere nuovamente le credenziali quando tenta di accedere a un'altra app. Oppure, se un utente autenticato accede a un'app o un servizio che tratta informazioni particolarmente sensibili, gli potrebbe essere richiesto di soddisfare un ulteriore fattore di autenticazione, come ad esempio immettere un codice che verrà inviato al suo telefono cellulare o alla sua e-mail (vedi "SSO adattivo" di seguito).
Ovviamente, il SSO consente agli utenti di risparmiare tempo e complicazioni. Prendiamo ad esempio gli utenti aziendali: invece di accedere a più applicazioni più volte al giorno, con SSO potranno autenticarsi all'intranet o all'extranet aziendale un'unica volta accedendo conseguentemente a tutte le applicazioni di cui hanno bisogno per tutto il giorno.
Ma riducendo drasticamente il numero di password che gli utenti devono ricordare e il numero di account utente che gli amministratori devono gestire, SSO rafforza la sicurezza delle organizzazioni. In particolare, SSO può
- Ridurre le complicazioni derivanti dalla gestione di più password consentendo di utilizzare di una password complessa. Gli utenti con molte password da gestire spesso tendono ad utilizzare le stesse password brevi e deboli o con lievi variazioni, per ogni applicazione. Un hacker che riesca a risalire ad una di queste password potrà facilmente accedere a più applicazioni. SSO può spesso ridurre decine di password brevi e deboli a un'unica password lunga, complessa e sicura che è più facile da ricordare per gli utenti e molto più difficile da decifrare per gli hacker.
- Aiutare a prevenire abitudini di archiviazione delle password non sicure. SSO può ridurre o eliminare la necessità di gestori di password, di archiviare le password in fogli di calcolo, scrivere password su post-it e altri supporti di memoria, che rappresentano abitudini che rendono più facile alle persone sbagliate rubare o imbattersi nelle password.
- Ridurre le chiamate all'helpdesk e di molto. Secondo gli analisti del settore di Gartner, dal 20 al 50 percento delle chiamate dell'helpdesk dell'IT sono legate a password dimenticate o da reimpostare. La maggior parte delle soluzioni SSO consente agli utenti di memorizzare facilmente le password da soli, con l'assistenza dell'helpdesk.
- Fornire agli hacker una bersaglio più piccolo. Secondo il rapporto IBM Cost of a Data Breach 2021, le credenziali compromesse sono state il vettore di attacco iniziale più frequente per una violazione dei dati, rappresentando il 20% di tutte le violazioni dei dati, e le violazioni iniziate con credenziali compromesse sono costate alle vittime in media 4,31 milioni di dollari. Meno password significa meno potenziali vettori di attacco.
- Semplificare la gestione, il provisioning e la disattivazione degli account utente. Con SSO, gli amministratori hanno un controllo centralizzato sui requisiti di autenticazione e sulle autorizzazioni di accesso. E quando un utente lascia l'organizzazione, gli amministratori potranno eliminare i permessi e disattivare l'account utente più rapidamente.
- Aiutare a semplificare il rispetto della conformità alle norme SSO soddisfa o semplifica il rispetto dei requisiti normativi sulla protezione delle informazioni sull'identità personale (PII) e sul controllo dell'accesso ai dati, nonché i requisiti specifici di alcuni regolamenti, come HIPAA, relativi ai timeout delle sessioni.
Il rischio principale dell'SSO è che se le credenziali di un utente vengono compromesse, possono concedere a un utente malintenzionato l'accesso a tutte o alla maggior parte delle applicazioni e delle risorse sulla rete.
Richiedere agli utenti di creare password lunghe e complesse, di crittografarle e proteggerle con cura ovunque siano archiviate, contribuisce notevolmente a prevenire questo scenario peggiore. Ma la maggior parte degli esperti di sicurezza consiglia di implementare SSO con autenticazione a più fattori o MFA. La MFA richiede agli utenti di fornire almeno un fattore di autenticazione in aggiunta a una password, ad es., un codice da inviare a un telefono cellulare, un'impronta digitale o una scheda identificativa. Poiché queste credenziali aggiuntive sono quelle che gli hacker non possono facilmente sottrarre o contraffare, la MFA può ridurre drasticamente i rischi correlati alle violazione delle credenziali in SSO.
Lo schema SSO descritto in precedenza, un unico accesso e delle credenziali utente che da sole forniscono l'accesso a più applicazioni correlate nella stessa sessione, è talvolta chiamato SSO semplice o puro. Altri tipi di SSO o metodi di autenticazione simili a SSO includono:
- SSO adattivo inizialmente richiede un nome utente e una password all'accesso, ma successivamente richiede fattori di autenticazione aggiuntivi o un nuovo accesso quando emergono ulteriori rischi, ad esempio quando un utente effettua l'accesso da un nuovo dispositivo o tenta di accedere a dati o funzionalità particolarmente sensibili.
- SSO federato - più correttamente chiamato federated identity management (FIM), è un superset di SSO. Mentre l'SSO si basa su una relazione di fiducia digitale tra le applicazioni all'interno del dominio di una singola organizzazione, FIM estende tale relazione a terze parti fidate, fornitori e altri fornitori di servizi esterni all'organizzazione. Ad esempio, FIM potrebbe consentire ai dipendenti che hanno effettuato l'accesso di accedere ad applicazioni Web di terze parti, come Slack o WebEx, senza ulteriore accesso o con un accesso che richieda semplicemente di inserire il nome utente.
- Accesso Social consente agli utenti di utilizzare le stesse credenziali che utilizzano per accedere ai siti dei social media più diffusi per accedere ad applicazioni di terze parti. L'accesso Social semplifica l'attività degli utenti. Per i fornitori di applicazioni di terze parti, questo tipo di accesso può scoraggiare comportamenti indesiderati (ad es. accessi falsi, abbandono del carrello) e fornire informazioni preziose per migliorare le proprie app.
SSO può essere implementato utilizzando uno qualsiasi dei numerosi protocolli e servizi di autenticazione.
SAML/SAML 2.0
SAML (Security Assertion Markup Language) è il protocollo standard e open più antico per lo scambio di dati di autenticazione e autorizzazione crittografati tra un provider di identità e più provider di servizi. Poiché fornisce un maggiore controllo sulla sicurezza rispetto ad altri protocolli, SAML viene in genere utilizzato per implementare SSO all'interno e tra domini applicativi aziendali o pubblici.
OAuth/OAuth 2.0
OAuth/OAuth 2.0 (Open Authorization) è un protocollo standard e open che scambia i dati di autorizzazione tra le applicazioni senza mostrare la password dell'utente. OAuth consente di utilizzare un unico accesso per semplificare le interazioni tra le applicazioni che in genere richiederebbero accessi separati. Ad esempio, OAuth consente a LinkedIn di cercare tra i contatti e-mail dell'utente per risalire a potenziali nuovi membri della rete.
OpenID Connect (OIDC)
Un altro protocollo standard e open, OICD utilizza API REST e token di autenticazione JSON per consentire a un sito Web o un'applicazione di concedere l'accesso agli utenti autenticandoli tramite un altro provider di servizi.
Sovrapposto a OAuth, OICD viene utilizzato principalmente per implementare accessi social ad applicazioni di terze parti, carrelli degli acquisti e altro ancora. OAuth/OIDC rappresenta spesso una soluzione più leggera rispetto a SAML per l'implementazione di SSO su SaaS (software as a service) e su applicazioni cloud, app mobili e dispositivi Internet of Things (IoT).
LDAP
LDAP (lightweight directory access protocol) definisce una directory per la memorizzazione e l'aggiornamento delle credenziali utente e un processo per l'autenticazione degli utenti rispetto alla directory. Introdotto nel 1993, LDAP è ancora la soluzione di directory di autenticazione preferita da molte organizzazioni che implementano SSO, perché LDAP consente loro di fornire un controllo granulare sull'accesso alla directory.
ADFS
ADFS (Active Directory Federation Services) viene eseguito su Microsoft Windows Server per consentire la gestione federata delle identità, incluso il Single Sign-On, su applicazioni e servizi locali e fuori sede. ADFS utilizza Active Directory Domain Services (ADDS) come provider di identità.
'Zero trust' adotta un approccio alla sicurezza del tipo "mai fidarsi, verificare sempre": qualsiasi utente, applicazione o dispositivo, sia esterno alla rete, sia già autenticato e all'interno della rete, deve confermare la propria identità prima di accedere alla risorsa di rete successiva.
Man mano che le reti diventano più distribuite, espandendosi oltre l'infrastruttura locale su più cloud privati e pubblici, un approccio zero-trust diviene essenziale per evitare che le minacce che penetrano nella rete ottengano maggiore accesso e causino più danni.
L'SSO, e in particolare l'SSO come parte di una soluzione IAM, è ampiamente considerato una tecnologia fondamentale per l'implementazione di un approccio zero-trust. La sfida fondamentale dello zero-trust è creare un'architettura di sicurezza in grado di bloccare gli aggressori che penetrano nella rete, senza ostacolare la capacità degli utenti finali autorizzati di muoversi liberamente sulla rete e portare a termine il proprio lavoro o la propria attività. Se combinato con l'autenticazione a più fattori, i controlli di accesso e autorizzazione, la microsegmentazione della rete e altre tecniche e best practice, l'SSO può aiutare le organizzazioni a raggiungere questo equilibrio.
Autentica ciascun utente con il giusto livello di autorizzazioni con la soluzione IBM Security Verify IAM.
Centralizza il controllo degli accessi per le applicazioni cloud e on-premise
IBM Security Verify ti consente di andare oltre l'autenticazione di base con le opzioni per l'autenticazione senza password o a più fattori.
Proteggi in modo proattivo gli utenti e gli asset con l'autenticazione basata sul rischio, assistita dall'AI, con IBM Security Verify.
Integra IAM su cloud con un contesto approfondito per l'autenticazione basata sul rischio per consentire un accesso sicuro e senza complicazioni.
Potenzia la protezione della privacy dei dati, consolida la fiducia dei clienti e fai crescere il tuo business.
Integra la fiducia nel rilevamento di rischi ai sistemi IAM per fornire un processo di autenticazione più intelligente con il software IBM Security Verify Trust.
Scopri le soluzioni di sicurezza personalizzate per ogni utente, ogni dispositivo e ogni connessione.
Visibilità, gestione e sicurezza per gli endpoint e gli utenti.
Comprendi il tuo scenario di sicurezza informatica e assegna una priorità alle iniziative insieme ad architetti e consulenti senior di sicurezza IBM in una sessione gratuita di design thinking, in modalità virtuale o di persona, della durata di 3 ore.
Identity and Access Management (IAM) è una parte fondamentale del programma di sicurezza che contribuisce a proteggere i dati controllando l'accesso alla rete aziendale.
Zero Trust è un framework che presuppone che la sicurezza di una rete complessa sia sempre a rischio di minacce esterne e interne.
La sicurezza dei dati aiuta a proteggere le informazioni digitali da accessi non autorizzati, danneggiamenti o furti per il loro intero ciclo di vita.
La tecnologia e le best practice della sicurezza informatica proteggono i sistemi critici e le informazioni sensibili da un volume sempre crescente di minacce in continua evoluzione.
Definizione delle minacce interne, identificazione della relativa origine e descrizione delle misure di protezione contro di esse.
La Mobile Device Management (MDM) viene utilizzata per fornire applicazioni e tool per la produttività mobile della forza lavoro, mantenendo sicuri i dati aziendali.
L'Open Source Software (OSS) è un modello di sviluppo decentralizzato che distribuisce pubblicamente il codice sorgente per consentire una collaborazione aperta e la peer production.
Un approccio integrato a una visibilità e un controllo migliori sulla tua organizzazione mobile.