Aggiornato: 1° marzo 2024
Collaboratori: Mark Scapicchio, Amber Forrest
Il Single Sign On, o SSO, è uno schema di autenticazione che consente agli utenti di accedere una sola volta tramite un unico set di credenziali e di accedere a più applicazioni durante la stessa sessione.
Il Single Sign On semplifica l'autenticazione degli utenti, migliora l'esperienza utente e, se implementato correttamente, migliora la sicurezza. Viene spesso utilizzato per gestire l'autenticazione e l'accesso sicuro a intranet o extranet aziendali, portali per studenti, servizi di cloud pubblico e altri ambienti in cui gli utenti devono spostarsi tra diverse applicazioni per portare a termine il proprio lavoro. Viene inoltre utilizzato sempre più spesso nei siti Web e nelle app rivolti ai clienti, come i siti bancari e di e-commerce, per combinare applicazioni di fornitori terzi in esperienze utente fluide e senza interruzioni.
L'X-Force Threat Intelligence Index offre nuovi insight sulle principali minacce per aiutarti a prepararti e rispondere più rapidamente agli attacchi informatici, alle estorsioni e altro ancora.
Registrati per il report Cost of a Data Breach
Il Single Sign On è basato su una relazione di fiducia digitale tra provider di servizi, come applicazioni, siti web, servizi, e una soluzione di provider di identità (IdP) o SSO. La soluzione SSO spesso fa parte di una soluzione di gestione delle identità e degli accessi (IAM) più ampia.
In generale, l'autenticazione SSO funziona come segue:
Un utente accede a uno dei provider di servizi o a un portale centrale (come un portale aziendale intranet o per studenti universitari) tramite le credenziali di accesso SSO.
Quando l'utente viene autenticato, la soluzione SSO genera un token di autenticazione della sessione contenente informazioni specifiche sull'identità dell'utente (nome utente, indirizzo e-mail, ecc.). Questo token viene memorizzato nel browser web dell'utente o nel sistema SSO.
Quando l'utente tenta di accedere a un altro fornitore di servizi affidabile, l'applicazione verifica con il sistema SSO per determinare se l'utente è già autenticato per la sessione. In tal caso, la soluzione SSO convalida l'utente firmando il token di autenticazione con un certificato digitale e all'utente viene concesso l'accesso all'applicazione. In caso contrario, all'utente viene richiesto di immettere nuovamente le credenziali di accesso.
Abbonati per ricevere aggiornamenti in materia di sicurezza
Il processo SSO viene descritto sopra, un singolo accesso e un insieme di credenziali utente che forniscono l'accesso alla sessione a più applicazioni correlate, talvolta detto simple SSO o pure SSO. Altri tipi di SSO includono:
L'SSO necessita di un set iniziale di credenziali di accesso, ma richiede ulteriori fattori di autenticazione o un nuovo accesso quando emergono ulteriori rischi, ad esempio quando un utente accede da un nuovo dispositivo o tenta di accedere a dati o funzionalità particolarmente sensibili.
La gestione federata delle identità, o FIM, è un superset di SSO. Mentre l'SSO si basa su una relazione di trust digitale tra le applicazioni all'interno del dominio di una singola organizzazione, FIM estende tale relazione a terze parti attendibili, fornitori e altri fornitori di servizi esterni all'organizzazione. Ad esempio, FIM potrebbe consentire a un dipendente che ha effettuato l'accesso di accedere ad applicazioni Web di terze parti (ad esempio, Slack o WebEx) senza un accesso aggiuntivo o con un semplice accesso solo con nome utente.
L'accesso social consente agli utenti finali di autenticarsi con le applicazioni utilizzando le stesse credenziali utilizzate per autenticarsi con i siti di social media più diffusi. Per i fornitori di applicazioni di terze parti, l'accesso social può scoraggiare comportamenti indesiderati (ad esempio falsi accessi, abbandono del carrello) e fornire informazioni preziose per migliorare le proprie app.
L'SSO può essere implementato tramite uno dei diversi protocolli e servizi di autenticazione.
Security Assertion Markup Language, o SAML, è il protocollo standard aperto più lungo per lo scambio di dati crittografati di autenticazione e autorizzazione tra un provider di identità e più provider di servizi. Poiché consente un maggiore controllo sulla sicurezza rispetto ad altri protocolli, SAML viene in genere utilizzato per implementare l'accesso SSO all'interno e tra domini di applicazioni aziendali o governativi.
Open Authorization, o OAuth, è un protocollo standard aperto che scambia dati di autorizzazione tra applicazioni senza esporre la password dell'utente. OAuth consente di utilizzare un unico accesso per semplificare le interazioni tra le applicazioni che in genere richiederebbero accessi separati per ciascuna di esse. Ad esempio, OAuth consente a LinkedIn di cercare tra i tuoi contatti e-mail i potenziali nuovi membri della rete.
Un altro protocollo standard aperto, OICD utilizza le API REST e i token di autenticazione JSON per abilitare un sito Web o un'applicazione per concedere agli utenti l'accesso autenticandoli tramite un altro provider di servizi.
Sovrapposto a OAuth, l'OICD viene utilizzato principalmente per implementare gli accessi social ad applicazioni di terze parti, carrelli della spesa e altro ancora. Un'implementazione più leggera, OAuth/OIDC è spesso SAML per l'implementazione dell'SSO su dispositivi software-as-a-service (SaaS) e cloud, app mobili e Internet of Things (IoT).
Lightweight directory access protocol (LDAP) definisce una directory per l'archiviazione e l'aggiornamento delle credenziali utente e un processo per l'autenticazione degli utenti rispetto alla directory. Introdotto nel 1993, LDAP è ancora la soluzione di directory di autenticazione preferita da molte organizzazioni che implementano SSO, perché LDAP consente loro di fornire un controllo granulare sull'accesso alla directory.
Active Directory Federation Services o ADFS viene eseguito su Microsoft Windows Server per abilitare la gestione federata dell'identità, incluso Single Sign On, con applicazioni e servizi on-premise e off-premise. ADFS utilizza Active Directory Domain Services (ADDS) come provider di identità.
L'SSO fa risparmiare agli utenti tempo e fatica. Ad esempio: invece di accedere a più applicazioni più volte al giorno, con l'SSO gli utenti finali aziendali possono accedere all'intranet aziendale una sola volta per avere accesso per tutto il giorno a tutte le applicazioni di cui hanno bisogno.
Tuttavia, riducendo notevolmente il numero di password che gli utenti devono ricordare e il numero di account utente che gli amministratori devono gestire, l'SSO può offrire una serie di altri vantaggi.
Gli utenti con molte password da gestire spesso cadono nella malaugurata e rischiosa abitudine di utilizzare le stesse password brevi e deboli, o lievi variazioni delle stesse, per ogni applicazione. Un hacker che decifra una di queste password può facilmente accedere a più applicazioni. L'SSO consente agli utenti di consolidare più password brevi e deboli in un'unica password lunga e sicura, più facile da ricordare per gli utenti e molto più difficile da violare per gli hacker.
Secondo l'IBM X-Force Threat Intelligence Index 2024, il 2023 ha registrato un aumento del 71% anno su anno degli attacchi informatici che utilizzavano credenziali rubate o compromesse. L'SSO può ridurre o eliminare la necessità di password manager, password memorizzate in fogli di calcolo, scritte su foglietti adesivi e altri supporti di memoria, che costituiscono tutti obiettivi per gli hacker o rendono più facile il furto o la scoperta delle password da parte delle persone sbagliate.
Secondo l'analista di settore Gartner, il 20-50% delle chiamate all'help desk IT riguarda password dimenticate o ripristinate. La maggior parte delle soluzioni SSO consente agli utenti di reimpostare facilmente le password da soli, con l'assistenza dell'help desk.
L'SSO offre agli amministratori un controllo più semplice e centralizzato sul provisioning degli account e sulle autorizzazioni di accesso. Quando un utente lascia l'organizzazione, gli amministratori possono rimuovere le autorizzazioni e ritirare l'account utente in un minor numero di passaggi.
L'SSO può rendere più facile soddisfare i requisiti normativi in materia di protezione delle informazioni personali sull'identità (PII) e del controllo dell'accesso ai dati, nonché i requisiti specifici di alcune normative, come l'HIPAA, circa i timeout di sessione.
Il rischio principale dell'SSO è che, se le credenziali di un utente vengono compromesse, l'SSO può concedere a un utente malintenzionato l'accesso a tutte o alla maggior parte delle applicazioni e delle risorse della rete. Ma chiedere agli utenti di creare password lunghe e complesse e crittografarle e proteggerle con cura ovunque siano archiviate contribuisce notevolmente a prevenire questa ipotesi più pessimistica.
Inoltre, la maggior parte degli esperti di sicurezza consiglia l'autenticazione a due fattori (2FA) o l'autenticazione a più fattori (MFA) nell'ambito di qualsiasi implementazione SSO. 2FA o MFA richiedono agli utenti di fornire almeno un fattore di autenticazione in aggiunta a una password, ad esempio un codice inviato a un telefono cellulare, un'impronta digitale, una carta d'identità. Poiché queste credenziali aggiuntive sono quelle che gli hacker non possono facilmente rubare o falsificare, l'autenticazione a più fattori può ridurre drasticamente i rischi legati alla compromissione delle credenziali in SSO.
Aggiungi contesto, intelligence e sicurezza approfonditi alle decisioni in merito a quali utenti devono disporre dell'accesso ai dati e alle applicazioni dell'organizzazione, on-premise o nel cloud.
Centralizza il controllo degli accessi per le applicazioni cloud e on-premise.
Vai oltre l'autenticazione di base con le opzioni per l'autenticazione senza password o con l'autenticazione a più fattori.
Il report Cost of a Data Breach aiuta a prepararsi alle violazioni comprendendone le cause e i fattori che ne aumentano o riducono i costi.
La gestione delle identità e degli accessi (IAM) è la disciplina di cybersecurity che si occupa di come gli utenti accedono alle risorse digitali e di cosa possono fare con tali risorse.
L'autenticazione a più fattori richiede agli utenti di fornire almeno due prove, oltre al loro nome utente, per dimostrare la loro identità.