Il Single Sign-On (SSO) è uno schema di autenticazione che consente agli utenti di accedere a una sessione utilizzando un unico set di credenziali di accesso e, durante tale sessione, di acquisire l'accesso sicuro a più applicazioni e servizi correlati senza dover effettuare nuovamente l'accesso.
SSO viene comunemente utilizzato per gestire l'autenticazione alle intranet o extranet aziendali, a portali per studenti, servizi cloud pubblici e ad altri ambienti in cui gli utenti devono spostarsi tra più applicazioni per svolgere il proprio lavoro. Viene anche sempre più utilizzato anche nei siti Web e nelle app rivolti ai clienti, quali siti bancari e di e-commerce, per combinare applicazioni di fornitori di terze parti in esperienze per utente che risultino fluide e senza interruzioni.
Il single sign-on si basa su una relazione di fiducia digitale tra un gruppo di applicazioni, siti Web e servizi correlati e affidabili, chiamati provider di servizi , e una soluzione SSO, denominata provider di identità. La soluzione SSO è spesso parte di una soluzione IAM (identity and access management) più ampia.
In generale, l'autenticazione SSO opera come segue:
Il processo può variare in base a diversi fattori. Ad esempio, un utente che è rimasto inattivo per un determinato periodo potrebbe dover immettere nuovamente le credenziali quando tenta di accedere a un'altra app. Oppure, se un utente autenticato accede a un'app o un servizio che tratta informazioni particolarmente sensibili, gli potrebbe essere richiesto di soddisfare un ulteriore fattore di autenticazione, come ad esempio immettere un codice che verrà inviato al suo telefono cellulare o alla sua e-mail (vedi "SSO adattivo" di seguito).
Ovviamente, il SSO consente agli utenti di risparmiare tempo e complicazioni. Prendiamo ad esempio gli utenti aziendali: invece di accedere a più applicazioni più volte al giorno, con SSO potranno autenticarsi all'intranet o all'extranet aziendale un'unica volta accedendo conseguentemente a tutte le applicazioni di cui hanno bisogno per tutto il giorno.
Ma riducendo drasticamente il numero di password che gli utenti devono ricordare e il numero di account utente che gli amministratori devono gestire, SSO rafforza la sicurezza delle organizzazioni. In particolare, SSO può
Il rischio principale dell'SSO è che se le credenziali di un utente vengono compromesse, possono concedere a un utente malintenzionato l'accesso a tutte o alla maggior parte delle applicazioni e delle risorse sulla rete.
Richiedere agli utenti di creare password lunghe e complesse, di crittografarle e proteggerle con cura ovunque siano archiviate, contribuisce notevolmente a prevenire questo scenario peggiore. Ma la maggior parte degli esperti di sicurezza consiglia di implementare SSO con autenticazione a più fattori o MFA. La MFA richiede agli utenti di fornire almeno un fattore di autenticazione in aggiunta a una password, ad es., un codice da inviare a un telefono cellulare, un'impronta digitale o una scheda identificativa. Poiché queste credenziali aggiuntive sono quelle che gli hacker non possono facilmente sottrarre o contraffare, la MFA può ridurre drasticamente i rischi correlati alle violazione delle credenziali in SSO.
Lo schema SSO descritto in precedenza, un unico accesso e delle credenziali utente che da sole forniscono l'accesso a più applicazioni correlate nella stessa sessione, è talvolta chiamato SSO semplice o puro. Altri tipi di SSO o metodi di autenticazione simili a SSO includono:
SSO può essere implementato utilizzando uno qualsiasi dei numerosi protocolli e servizi di autenticazione.
SAML/SAML 2.0
SAML (Security Assertion Markup Language) è il protocollo standard e open più antico per lo scambio di dati di autenticazione e autorizzazione crittografati tra un provider di identità e più provider di servizi. Poiché fornisce un maggiore controllo sulla sicurezza rispetto ad altri protocolli, SAML viene in genere utilizzato per implementare SSO all'interno e tra domini applicativi aziendali o pubblici.
OAuth/OAuth 2.0
OAuth/OAuth 2.0 (Open Authorization) è un protocollo standard e open che scambia i dati di autorizzazione tra le applicazioni senza mostrare la password dell'utente. OAuth consente di utilizzare un unico accesso per semplificare le interazioni tra le applicazioni che in genere richiederebbero accessi separati. Ad esempio, OAuth consente a LinkedIn di cercare tra i contatti e-mail dell'utente per risalire a potenziali nuovi membri della rete.
OpenID Connect (OIDC)
Un altro protocollo standard e open, OICD utilizza API REST e token di autenticazione JSON per consentire a un sito Web o un'applicazione di concedere l'accesso agli utenti autenticandoli tramite un altro provider di servizi.
Sovrapposto a OAuth, OICD viene utilizzato principalmente per implementare accessi social ad applicazioni di terze parti, carrelli degli acquisti e altro ancora. OAuth/OIDC rappresenta spesso una soluzione più leggera rispetto a SAML per l'implementazione di SSO su SaaS (software as a service) e su applicazioni cloud, app mobili e dispositivi Internet of Things (IoT).
LDAP
LDAP (lightweight directory access protocol) definisce una directory per la memorizzazione e l'aggiornamento delle credenziali utente e un processo per l'autenticazione degli utenti rispetto alla directory. Introdotto nel 1993, LDAP è ancora la soluzione di directory di autenticazione preferita da molte organizzazioni che implementano SSO, perché LDAP consente loro di fornire un controllo granulare sull'accesso alla directory.
ADFS
ADFS (Active Directory Federation Services) viene eseguito su Microsoft Windows Server per consentire la gestione federata delle identità, incluso il Single Sign-On, su applicazioni e servizi locali e fuori sede. ADFS utilizza Active Directory Domain Services (ADDS) come provider di identità.
'Zero trust' adotta un approccio alla sicurezza del tipo "mai fidarsi, verificare sempre": qualsiasi utente, applicazione o dispositivo, sia esterno alla rete, sia già autenticato e all'interno della rete, deve confermare la propria identità prima di accedere alla risorsa di rete successiva.
Man mano che le reti diventano più distribuite, espandendosi oltre l'infrastruttura locale su più cloud privati e pubblici, un approccio zero-trust diviene essenziale per evitare che le minacce che penetrano nella rete ottengano maggiore accesso e causino più danni.
L'SSO, e in particolare l'SSO come parte di una soluzione IAM, è ampiamente considerato una tecnologia fondamentale per l'implementazione di un approccio zero-trust. La sfida fondamentale dello zero-trust è creare un'architettura di sicurezza in grado di bloccare gli aggressori che penetrano nella rete, senza ostacolare la capacità degli utenti finali autorizzati di muoversi liberamente sulla rete e portare a termine il proprio lavoro o la propria attività. Se combinato con l'autenticazione a più fattori, i controlli di accesso e autorizzazione, la microsegmentazione della rete e altre tecniche e best practice, l'SSO può aiutare le organizzazioni a raggiungere questo equilibrio.
Autentica ciascun utente con il giusto livello di autorizzazioni con la soluzione IBM Security Verify IAM.
Centralizza il controllo degli accessi per le applicazioni cloud e on-premise
IBM Security Verify ti consente di andare oltre l'autenticazione di base con le opzioni per l'autenticazione senza password o a più fattori.
Proteggi in modo proattivo gli utenti e gli asset con l'autenticazione basata sul rischio, assistita dall'AI, con IBM Security Verify.
Integra IAM su cloud con un contesto approfondito per l'autenticazione basata sul rischio per consentire un accesso sicuro e senza complicazioni.
Potenzia la protezione della privacy dei dati, consolida la fiducia dei clienti e fai crescere il tuo business.
Integra la fiducia nel rilevamento di rischi ai sistemi IAM per fornire un processo di autenticazione più intelligente con il software IBM Security Verify Trust.
Scopri le soluzioni di sicurezza personalizzate per ogni utente, ogni dispositivo e ogni connessione.
Visibilità, gestione e sicurezza per gli endpoint e gli utenti.
Comprendi il tuo scenario di sicurezza informatica e assegna una priorità alle iniziative insieme ad architetti e consulenti senior di sicurezza IBM in una sessione gratuita di design thinking, in modalità virtuale o di persona, della durata di 3 ore.
Identity and Access Management (IAM) è una parte fondamentale del programma di sicurezza che contribuisce a proteggere i dati controllando l'accesso alla rete aziendale.
Zero Trust è un framework che presuppone che la sicurezza di una rete complessa sia sempre a rischio di minacce esterne e interne.
La sicurezza dei dati aiuta a proteggere le informazioni digitali da accessi non autorizzati, danneggiamenti o furti per il loro intero ciclo di vita.
La tecnologia e le best practice della sicurezza informatica proteggono i sistemi critici e le informazioni sensibili da un volume sempre crescente di minacce in continua evoluzione.
Definizione delle minacce interne, identificazione della relativa origine e descrizione delle misure di protezione contro di esse.
La Mobile Device Management (MDM) viene utilizzata per fornire applicazioni e tool per la produttività mobile della forza lavoro, mantenendo sicuri i dati aziendali.
L'Open Source Software (OSS) è un modello di sviluppo decentralizzato che distribuisce pubblicamente il codice sorgente per consentire una collaborazione aperta e la peer production.
Un approccio integrato a una visibilità e un controllo migliori sulla tua organizzazione mobile.