Cos'è SSO? | Come funziona il single sign-on

Il Single Sign-on (SSO) è un'importante tecnologia di sicurezza cloud che riduce tutti gli accessi alle applicazioni degli utenti a un unico accesso per una maggiore sicurezza e comodità.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Scoprire cos'è il Single Sign-on (SSO) e come funziona
  • Comprendere i vantaggi e i benefici in termini di sicurezza dell'utilizzo di SSO
  • Scoprire come funzionano i token di autenticazione SSO

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è il Single Sign-on (SSO)?

Il Single Sign-on (SSO) è una tecnologia che combina diverse schermate di accesso alle applicazioni in una sola. Con SSO, un utente deve inserire le proprie credenziali di accesso (nome utente, password ecc.) una sola volta su un'unica pagina per accedere a tutte le proprie applicazioni SaaS.

SSO viene spesso utilizzato in un contesto aziendale, quando le applicazioni degli utenti vengono assegnate e gestite da un team IT interno. Anche i lavoratori remoti che utilizzano le applicazioni SaaS traggono vantaggio dall'utilizzo di SSO.

Immagina se ai clienti che erano già stati ammessi in un bar venisse chiesto di mostrare la loro carta d'identità per dimostrare la loro età ogni volta che tentano di acquistare altre bevande alcoliche. Alcuni clienti potrebbero sentirsi infastiditi dai continui controlli e potrebbero persino tentare di aggirare queste misure cercando di entrare nel bar di nascosto.

Tuttavia, la maggior parte dei bar controlla l'identità di un cliente una sola volta, quindi gli serve diversi drink nel corso della serata. È un po' come un sistema SSO: invece di stabilire la propria identità più e più volte, un utente la stabilisce una sola volta e può quindi accedere a diversi servizi.

SSO è un aspetto importante di molte soluzioni di gestione delle identità e degli accessi (IAM, Identity and Access Management) o di controllo degli accessi. La verifica delle identità degli utenti è fondamentale per sapere quali autorizzazioni deve avere ogni utente. Cloudflare Zero Trust è un esempio di soluzione di controllo degli accessi che si integra con le soluzioni SSO per la gestione delle identità degli utenti.

Articolo
Aumentare la fiducia organizzativa con Zero Trust
Guida
La guida Zero Trust per garantire l'accesso alle applicazioni

Quali sono i vantaggi di SSO?

Oltre ad essere molto più semplice e comodo per gli utenti, SSO è ampiamente considerato più sicuro. Questo può sembrare controintuitivo: come può essere più sicuro l'accesso una sola volta con un'unica password invece di più volte con più password? I fautori di SSO citano i seguenti motivi:

  1. Password più complesse: poiché gli utenti devono utilizzare solo una password, SSO rende più facile per loro creare, ricordare e utilizzare password più complesse.* In pratica, in genere funziona così: la maggior parte degli utenti utilizza password più complesse con SSO.

    *Cosa rende "complessa" una password? Non è facile risalire a una password complessa. Inoltre, è abbastanza casuale, quindi non è facile sferrare con successo tentativi di violazione della password con metodo forza bruta. w7:g"5h$G@ è una password abbastanza complessa; password123 non lo è.
  2. Nessuna password ripetuta: quando gli utenti devono ricordare le password per diverse app e servizi, è probabile che si verifichi una condizione nota come "affaticamento delle password". Di conseguenza, gli utenti riutilizzeranno le password tra i servizi. L'utilizzo della stessa password per più servizi rappresenta un enorme rischio per la sicurezza perché significa che tutti i servizi hanno la stessa sicurezza di quello con la password di protezione meno complessa: se il database delle password di tale servizio è compromesso, gli autori di un attacco possono utilizzare la password per violare anche tutti gli altri servizi dell'utente. SSO elimina questo scenario riducendo tutti gli accessi a uno solo.
  3. Migliore applicazione dei criteri delle password: fornendo un unico posto per l'immissione delle password, SSO consente ai team IT di applicare facilmente le regole di sicurezza delle password. Ad esempio, alcune aziende richiedono agli utenti di reimpostare periodicamente le proprie password. Con SSO, le reimpostazioni delle password sono più facili da implementare: anziché reimpostare costantemente le password su una serie di app e servizi diversi, gli utenti devono reimpostare una sola password. (Sebbene il valore delle regolari reimpostazioni delle password sia stato messo in discussione, alcuni team IT le considerano ancora una parte importante della loro strategia di sicurezza).
  4. Autenticazione a più fattori: l'autenticazione a più fattori, o MFA, si riferisce all'uso di più fattori di identità per autenticare un utente. Ad esempio, oltre a immettere un nome utente e una password, un utente potrebbe dover collegare un dispositivo USB o inserire un codice visualizzato sul proprio smartphone. Il possesso di questo oggetto fisico è un secondo "fattore" che stabilisce che l'utente sia chi dice di essere. L'MFA è molto più sicura che fare affidamento solo su una password. SSO consente di attivare l'MFA in un unico punto anziché doverla attivare per tre, quattro o diverse decine di app, il che potrebbe non essere fattibile.
  5. Un unico punto per applicare la reimmissione delle password: gli amministratori possono imporre la reimmissione delle credenziali dopo un certo periodo di tempo per assicurarsi che lo stesso utente sia ancora attivo sul dispositivo su cui è stato eseguito l'accesso. Con SSO, hanno una posizione centrale da cui eseguire questa operazione per tutte le app interne, invece di doverla applicare su più app diverse, che alcune app potrebbero non supportare.
  6. Gestione delle credenziali interne invece dell'archiviazione esterna: in genere, le password degli utenti vengono archiviate in remoto in modo non gestito da applicazioni e servizi che possono seguire o meno le best practice di sicurezza. Con SSO, tuttavia, vengono archiviate internamente in un ambiente su cui un team IT ha un maggiore controllo.
  7. Meno tempo sprecato per il recupero delle password: oltre ai vantaggi in termini di sicurezza menzionati sopra, SSO riduce anche le perdite di tempo per i team interni. L'IT deve dedicare meno tempo ad aiutare gli utenti a recuperare o reimpostare le password per decine di app e gli utenti dedicano meno tempo ad accedere alle varie app per svolgere il proprio lavoro. Tutto questo ha il potenziale di consentire di aumentare la produttività aziendale.
Registrati
Sicurezza e velocità con qualsiasi piano Cloudflare

Come funziona un accesso SSO?

Ogni volta che un utente accede a un servizio SSO, il servizio crea un token di autenticazione che ricorda che l'utente è verificato. Un token di autenticazione è un'informazione digitale memorizzata nel browser dell'utente o all'interno dei server del servizio SSO, come una carta d'identità temporanea rilasciata all'utente. Qualsiasi app a cui l'utente accede verrà verificata con il servizio SSO. Il servizio SSO trasmette il token di autenticazione dell'utente all'app e l'utente può accedere. Tuttavia, se l'utente non ha ancora effettuato l'accesso, gli verrà richiesto di farlo tramite il servizio SSO.

Un servizio SSO non ricorda necessariamente chi è un utente, poiché non memorizza le identità degli utenti. La maggior parte dei servizi SSO funziona controllando le credenziali degli utenti rispetto a un servizio di gestione delle identità separato.

Pensa a SSO come a un intermediario che può confermare se le credenziali di accesso di un utente corrispondono alla sua identità nel database, senza gestire il database stesso, un po' come quando un bibliotecario cerca un libro per conto di qualcun altro in base al titolo dello stesso. Il bibliotecario non ha memorizzato l'intero catalogo delle tessere della biblioteca, ma può accedervi facilmente.

Come funzionano i token di autenticazione SSO?

La capacità di passare un token di autenticazione ad app e servizi esterni è fondamentale nel processo SSO. È in questo modo che è possibile verificare le identità separatamente dagli altri servizi cloud, rendendo possibile l'SSO.

Pensa a un evento esclusivo a cui solo poche persone possono partecipare. Un modo per indicare che le guardie all'ingresso dell'evento hanno controllato e approvato un ospite è apporre un timbro sulla mano di ciascun ospite. Il personale dell'evento può controllare i timbri di ogni ospite per assicurarsi che sia autorizzato a partecipare. Tuttavia, non andrà bene qualsiasi timbro; il personale dell'evento conoscerà la forma e il colore esatti del timbro utilizzato dalle guardie all'ingresso.

Proprio come ogni timbro deve avere lo stesso aspetto, i token di autenticazione hanno i propri standard di comunicazione per garantire che siano corretti e legittimi. Lo standard principale dei token di autenticazione è chiamato SAML (Security Assertion Markup Language). Analogamente al modo in cui le pagine Web vengono compilate in HTML (Hypertext Markup Language), i token di autenticazione vengono scritti in SAML.

In che modo SSO si inserisce in una strategia di gestione degli accessi?

SSO è solo un aspetto della gestione degli accessi degli utenti. Deve essere combinato con il controllo degli accessi, il controllo delle autorizzazioni, i log delle attività e altre misure per monitorare e controllare il comportamento degli utenti nei sistemi interni di un'organizzazione. Tuttavia, l'SSO è un elemento cruciale della gestione degli accessi. Se un sistema non sa chi sia un utente, non c'è modo di consentire o limitare le azioni di tale utente.

Cloudflare si integra con le soluzioni SSO?

Cloudflare Zero Trust controlla e protegge l'accesso degli utenti alle applicazioni e ai siti Web; può fungere da sostituto per la maggior parte delle VPN. Cloudflare si integra con i provider SSO per identificare gli utenti e applicare le autorizzazioni di accesso assegnate.

Informazioni sulla gestione degli accessi