SSO (Single Sign-On)

Scopri come il single sign-on (autenticazione singola) semplifica l'autenticazione, migliora l'esperienza utente, rafforza la sicurezza e supporta un approccio zero trust.

Vista dall'alto di una donna e di un uomo che guardano un tablet
Che cos'è il Single Sign-On?

Il Single Sign-On (SSO) (Autenticazione singola) è uno schema di autenticazione che consente agli utenti di accedere a una sessione una volta, utilizzando un unico set di credenziali di accesso, e di ottenere l'accesso sicuro a più applicazioni e servizi correlati durante tale sessione senza dover effettuare nuovamente l'accesso. 

SSO viene comunemente utilizzato per gestire l'autenticazione in intranet o extranet aziendali, portali per studenti, servizi cloud pubblici e altri ambienti in cui gli utenti devono spostarsi tra più applicazioni per svolgere il proprio lavoro. Viene inoltre utilizzato sempre più spesso nei siti Web e nelle app rivolti ai clienti, come i siti bancari e di e-commerce, per combinare applicazioni di fornitori di terze parti in esperienze utente senza interruzioni.


Come funziona SSO

Il single sign-on (SSO) si basa su una relazione di fiducia digitale tra un gruppo di applicazioni, siti Web e servizi correlati e affidabili, chiamati  provider di servizi,  e una soluzione SSO, chiamata  provider di identità. La soluzione SSO è spesso parte di una soluzione  IAM (gestione identità e accessi)  più ampia. 

In generale, l'autenticazione SSO funziona come segue:

  1. Un utente accede a una delle applicazioni attendibili o a un portale centrale che collega tutte le applicazioni attendibili (ad esempio un portale per i dipendenti o un sito Web di studenti universitari) utilizzando le credenziali di accesso SSO.
  2. Quando l'utente viene autenticato correttamente, la soluzione SSO genera un token di autenticazione della sessione contenente informazioni specifiche sull'identità dell'utente: un nome utente, un indirizzo e-mail, ecc. Questo token viene archiviato con il browser Web dell'utente o sul server SSO o IAM.
  3. Quando l'utente tenta di accedere a un'altra delle applicazioni attendibili, l'applicazione verifica con il server SSO o IAM per determinare se l'utente è già autenticato per la sessione. In tal caso, la soluzione SSO convalida l'utente firmando il token di autenticazione con un certificato digitale e all'utente viene concesso l'accesso all'applicazione. In caso contrario, all'utente viene richiesto di immettere nuovamente le credenziali di accesso.

Il processo può variare a seconda di diversi fattori. Ad esempio, un utente che è stato inattivo per un periodo specificato potrebbe dover accedere nuovamente quando tenta di accedere a un'altra app. Oppure, se un utente autenticato accede ad un'app o un servizio che tratta informazioni particolarmente sensibili, all'utente potrebbe essere richiesto un fattore di autenticazione aggiuntivo, come un codice inviato al telefono cellulare o all'email dell'utente (vedere "SSO adattivo" di seguito).

 


Vantaggi di SSO

Ovviamente, SSO fa risparmiare agli utenti tempo e problemi. Prendiamo ad esempio gli utenti aziendali: invece di accedere a più applicazioni più volte al giorno, con SSO sono spesso in grado di accedere all'intranet o all'extranet aziendale solo una volta per accedere tutto il giorno a tutte le applicazioni di cui hanno bisogno.

Ma riducendo drasticamente il numero di password che gli utenti devono ricordare e il numero di account utente che gli amministratori devono gestire, SSO rafforza la posizione di sicurezza delle organizzazioni. In particolare, SSO può

  • Sostituire l'affaticamento da password con una sola password complessa. Gli utenti con molte password da gestire spesso cadono nell'utilizzo delle stesse password brevi e deboli, o lievi variazioni delle stesse, per ogni applicazione. Un hacker che cracca una di queste password può facilmente accedere a più applicazioni. SSO può spesso ridurre decine di password brevi e deboli a un'unica password lunga, complessa e complessa che è più facile da ricordare per gli utenti e molto più difficile da decifrare per gli hacker.
  • Aiuta a prevenire abitudini di archiviazione delle password non sicure. SSO può ridurre o eliminare la necessità di gestori di password, password archiviate in fogli di calcolo, password scritte su note adesive e altri supporti di memoria, il che rende più facile rubare o scoprire le password per le persone sbagliate.
  • Riduce di molto le chiamate all'help desk. Secondo l'analista del settore Gartner, dal 20 al 50 per cento delle chiamate dell'help desk IT sono legate a password dimenticate o reimpostate. La maggior parte delle soluzioni SSO consente agli utenti di memorizzare facilmente le password da soli, con l'assistenza dell'help desk.
  • Dai agli hacker un bersaglio più piccolo. Secondo il rapporto IBM Cost of a Data Breach 2021, le credenziali compromesse sono state il vettore di attacco iniziale più frequente per una violazione dei dati, rappresentando il 20% di tutte le violazioni dei dati, e le violazioni iniziate con credenziali compromesse sono costate alle vittime in media 4,31 milioni di dollari. Meno password significano meno potenziali vettori di attacco.
  • Semplifica la gestione, il provisioning e la disattivazione degli account utente. Con SSO, gli amministratori hanno un controllo più centralizzato sui requisiti di autenticazione e sulle autorizzazioni di accesso. E quando un utente lascia l'organizzazione, gli amministratori possono rimuovere le autorizzazioni e rimuovere l'account utente in pochi passaggi.
  • Aiuta a semplificare la conformità normativa. SSO soddisfa o semplifica il rispetto dei requisiti normativi sulla protezione delle informazioni sull'identità personale (PII) e sul controllo dell'accesso ai dati, nonché i requisiti specifici di alcuni regolamenti, come HIPAA, relativi ai timeout delle sessioni. 

Rischi SSO

Il rischio principale di SSO è che se le credenziali di un utente sono compromesse, possono concedere a un utente malintenzionato l'accesso a tutte o la maggior parte delle applicazioni e delle risorse sulla rete.

Richiedere agli utenti di creare password lunghe e complesse, crittografarle e proteggerle con cura ovunque siano archiviate, contribuisce notevolmente a prevenire questo scenario peggiore. Ma la maggior parte degli esperti di sicurezza consiglia di implementare SSO con autenticazione a più fattori, o AMF. L'autenticazione a più fattori (AMF) richiede agli utenti di fornire almeno un fattore di autenticazione oltre a una password, ad esempio un codice inviato a un telefono cellulare, un'impronta digitale o una carta d'identità. Poiché queste credenziali aggiuntive sono quelle che gli hacker non possono facilmente rubare o falsificare, MFA può ridurre drasticamente i rischi relativi alle credenziali compromesse in SSO.


Variazioni SSO

Lo schema SSO descritto sopra, un unico accesso e un insieme di credenziali utente che forniscono l'accesso alla sessione a più applicazioni correlate, è talvolta chiamato SSO semplice o puro. Altri tipi di SSO, o metodi di autenticazione simili a SSO, includono:

  • SSO adattivo inizialmente richiede un nome utente e una password all'accesso, ma successivamente richiede fattori di autenticazione aggiuntivi o un nuovo accesso quando emergono rischi aggiuntivi, ad esempio quando un utente effettua l'accesso da un nuovo dispositivo o tenta di accedere a dati o funzionalità particolarmente sensibili.
  • SSO federato - più correttamente chiamato FIM (Federated Identity Management), è un superset di SSO. Sebbene l'SSO si basi su una relazione di fiducia digitale tra le applicazioni all'interno del dominio di una singola organizzazione, FIM estende tale relazione a terze parti fidate, fornitori e altri provider di servizi esterni all'organizzazione. Ad esempio, FIM potrebbe consentire ai dipendenti che hanno effettuato l'accesso di accedere ad applicazioni Web di terze parti, come Slack o WebEx, senza un accesso aggiuntivo o con un semplice accesso solo con nome utente.
  • Accesso social consente agli utenti di utilizzare le stesse credenziali che utilizzano per accedere ai siti di social media più diffusi per accedere ad applicazioni di terze parti. L'accesso ai social semplifica la vita degli utenti. Per i provider di applicazioni di terze parti, l'accesso social può scoraggiare comportamenti indesiderati (ad es. accessi falsi, abbandono del carrello) e fornire informazioni preziose per migliorare le loro app.

Tecnologie correlate

SSO può essere implementato utilizzando uno qualsiasi dei numerosi protocolli e servizi di autenticazione.

SAML/SAML 2.0

SAML (Security Assertion Markup Language) è il protocollo standard aperto più antico per lo scambio di dati di autenticazione e autorizzazione crittografati tra un provider di identità e più provider di servizi. Poiché fornisce un maggiore controllo sulla sicurezza rispetto ad altri protocolli, SAML viene in genere utilizzato per implementare SSO all'interno e tra domini applicativi aziendali o governativi.

OAuth/OAuth 2.0

OAuth/OAuth 2.0 (autorizzazione aperta) è un protocollo standard aperto che scambia dati di autorizzazione tra le applicazioni senza esporre la password dell'utente. OAuth consente di utilizzare un unico accesso per semplificare le interazioni tra le applicazioni che in genere richiederebbero accessi separati per ciascuna di loro. Ad esempio, OAuth consente a LinkedIn di cercare nei contatti e-mail potenziali nuovi membri della rete.

OpenID Connect (OIDC)

Un altro protocollo standard aperto, OICD utilizza le API REST e token di autenticazione JSON per consentire a un sito Web o un'applicazione di concedere l'accesso agli utenti autenticandoli tramite un altro provider di servizi.

Sovrapposto a OAuth, OICD viene utilizzato principalmente per implementare accessi social ad applicazioni di terze parti, carrelli della spesa e altro ancora. Un'implementazione più leggera, OAuth/OIDC è spesso in SAML per l'implementazione di SSO su SaaS (software as a service) e applicazioni cloud, app mobili e dispositivi Internet of Things (IoT).

LDAP

LDAP (protocollo di accesso alla directory leggero) definisce una directory per la memorizzazione e l'aggiornamento delle credenziali utente e un processo per l'autenticazione degli utenti rispetto alla directory. Introdotto nel 1993, LDAP è ancora la soluzione di directory di autenticazione preferita da molte organizzazioni che implementano SSO, perché LDAP consente loro di fornire un controllo granulare sull'accesso alla directory.

ADFS

ADFS ( Active Directory Federation Services) viene eseguito su Microsoft Windows Server per abilitare la gestione federata delle identità, incluso il Single Sign-On (SSO), con applicazioni e servizi locali e fuori sede. ADFS utilizza Active Directory Domain Services (ADDS) come provider di identità. 


SSO e un approccio zero-trust

"Fiducia zero" adotta un approccio alla sicurezza "non fidarti mai, verifica sempre": qualsiasi utente, applicazione o dispositivo, sia esterno alla rete, sia già autenticato e all'interno della rete, deve verificare la propria identità prima di accedere alla risorsa di rete successiva a cui desidera accedere.

Man mano che le reti diventano più distribuite, coprendo l'infrastruttura locale e più cloud privati e pubblici, un approccio zero-trust è essenziale per evitare che le minacce che penetrano nella rete ottengano più accesso e causino il massimo danno.

L'SSO, e in particolare l'SSO come parte di una soluzione IAM, è ampiamente considerato una tecnologia fondamentale per l'implementazione di un approccio zero-trust. La sfida fondamentale dello zero-trust è creare un'architettura di sicurezza in grado di reprimere gli aggressori che penetrano nella rete, senza ostacolare la capacità degli utenti finali autorizzati di muoversi liberamente sulla rete e portare a termine il proprio lavoro o la propria attività. Se combinato con l'autenticazione a più fattori, i controlli di accesso e autorizzazione, la microsegmentazione della rete e altre tecniche e le best practices, l'SSO può aiutare le organizzazioni a raggiungere questo equilibrio. 

Ulteriori informazioni su Zero Trust

Soluzioni correlate

Risorse

Single Sign-On (SSO) e IBM Security

IBM Security Verify è un'unica soluzione Identity-as-a-Service (IDaaS) per la modernizzazione della forza lavoro e la trasformazione digitale dei consumatori. IBM Security Verify presenta funzionalità IAM cloud complete, tra cui Single Sign-On, autenticazione avanzata basata sul rischio, gestione adattiva degli accessi, gestione automatizzata del consenso e molto altro.