Cos'è SSO (Single Sign On)?


Crea un account AWS
Che cos'è SSO? Perché la tecnologia SSO è importante? Come funziona la tecnologia SSO? Quali sono i tipi di SSO? La tecnologia SSO è sicura? Qual è la differenza tra la tecnologia SSO e altre soluzioni di gestione degli accessi? Qual è l'aiuto offerto da AWS con la tecnologia SSO?

Che cos'è SSO?

Il single sign-on (SSO) è una soluzione di autenticazione che consente agli utenti di accedere a più applicazioni e siti Web con un'unica autenticazione. Considerando che oggi gli utenti accedono spesso alle applicazioni direttamente dai loro browser, le organizzazioni stanno dando la priorità a strategie di gestione degli accessi volte a migliorare sia la sicurezza sia l'esperienza utente. La tecnologia SSO offre entrambi gli aspetti, in quanto, una volta convalidata la loro identità, gli utenti possono accedere a tutte le risorse protette da password senza ripetere i login.

Perché la tecnologia SSO è importante?

L'utilizzo della tecnologia SSO per semplificare gli accessi degli utenti comporta diversi vantaggi sia per gli utenti sia per le organizzazioni.

Maggiore sicurezza delle password 

Se non si adotta un sistema SSO, è necessario ricordare diverse password per i vari siti Web. Ciò potrebbe spingere all'adozione di prassi di sicurezza non consigliate, ad esempio l'uso di password semplici o ripetitive per diversi account. Inoltre, al momento di accedere a un servizio, gli utenti potrebbero dimenticare le credenziali o digitarle in modo errato. La tecnologia SSO elimina i problemi legati alla memorizzazione delle password e invita gli utenti a creare una password efficace utilizzabile per più siti Web.

Miglioramento della produttività 

I dipendenti spesso usano più di un'applicazione aziendale che richiede un'autenticazione separata. Inserire manualmente nome utente e password per ogni applicazione rappresenta una perdita di tempo e un limite alla produttività. La tecnologia SSO semplifica il processo di convalida dell'utente per le applicazioni aziendali e agevola l'accesso alle risorse protette.

Riduzione dei costi 

Nel tentativo di ricordare numerose password, gli utenti aziendali talvolta dimenticano le credenziali di accesso. Ciò porta a frequenti richieste di recupero o reimpostazione della password e determina un aumento del carico di lavoro per i team IT interni. L'implementazione della tecnologia SSO limita i casi di password dimenticata e quindi riduce al minimo le risorse di supporto destinate a gestire le richieste di reimpostazione.

Miglioramento dell'assetto di sicurezza

Grazie alla massima riduzione del numero di password per utente, la tecnologia SSO facilita il controllo degli accessi utente e fornisce un controllo degli accessi solido a tutti i tipi di dati. In tal modo si limita il rischio di eventi di sicurezza riguardanti le password e allo stesso tempo si aiutano le organizzazioni a rispettare le normative in materia di sicurezza dei dati.

Offerta di un'esperienza cliente migliore 

I fornitori di applicazioni cloud utilizzano la tecnologia SSO per offrire agli utenti finali un'esperienza di accesso e una gestione delle credenziali ottimizzate. Gli utenti devono gestire meno password e possono comunque accedere in sicurezza alle informazioni e alle applicazioni necessarie per svolgere il lavoro quotidiano.

Come funziona la tecnologia SSO?

La tecnologia SSO stabilisce un rapporto di fiducia tra l'applicazione o il servizio e un fornitore di servizi esterno, anche detto gestore dell'identità digitale (IdP). Ciò avviene grazie a una serie di fasi di autenticazione, convalida e comunicazione che ha luogo tra l'applicazione e un servizio SSO centralizzato. Di seguito sono elencati i componenti importanti delle soluzioni SSO.

Servizio SSO

Un servizio SSO è un servizio centrale a cui le applicazioni si affidano quando un utente effettua l'accesso. Se un utente non autenticato richiede l'accesso a un applicazione, questa lo reindirizza verso il servizio SSO. Il servizio quindi autentica e reindirizza l'utente all'applicazione originale. Il servizio generalmente viene eseguito su un server delle policy SSO dedicato.

Token SSO

Un token SSO è un file digitale che contiene informazioni che identificano l'utente, come nome utente o indirizzo e-mail. Quando un utente richiede l'accesso a un applicazione, questa scambia un token SSO con il servizio SSO per autenticare l'utente. 

 

Processo SSO

Il processo SSO si svolge come segue:

  1. Quando un utente accede a un'applicazione, questa genera un token SSO e invia una richiesta di autenticazione al servizio SSO. 
  2. Il servizio verifica se l'utente è stato precedentemente autenticato nel sistema. In caso positivo, invia all'applicazione una risposta di autenticazione confermata per concedere l'accesso. 
  3. Se invece l'utente non dispone di credenziali convalidate, il servizio SSO lo reindirizza verso un sistema di accesso centrale e gli chiede di inserire nome utente e password.
  4. Una volta inseriti i dati, il servizio convalida le credenziali e invia all'applicazione una risposta positiva. 
  5. In caso contrario, l'utente riceve un messaggio di errore e deve reinserire le credenziali. In seguito a diversi tentativi di accesso non riusciti, il servizio potrebbe impedire all'utente di ritentare per un determinato periodo di tempo. 

Quali sono i tipi di SSO?

Esistono diversi standard e protocolli che le soluzioni SSO adottano per convalidare e autenticare le credenziali utente.

SAML

SAML, ovvero Security Assertion Markup Language, è un protocollo o insieme di regole che le applicazioni utilizzano per scambiare informazioni di autenticazione con il servizio SSO. SAML si basa su XML, un linguaggio di markup particolarmente adatto ai browser, per scambiare i dati di identificazione degli utenti. I servizi SSO basati su SAML offrono una maggiore sicurezza e flessibilità, in quanto le applicazioni non devono archiviare le credenziali utente nel loro sistema.

OAuth

OAuth, oppure Open Authorization, è uno standard aperto che permette alle applicazioni di accedere in sicurezza alle informazioni utente di altri siti Web senza trasmettere loro la password. Anziché richiedere le password degli utenti, le applicazioni usano OAuth per ottenere l'autorizzazione da parte dell'utente ad accedere dati protetti da password. OAuth stabilisce la fiducia tra le applicazioni mediante API, che consente all'applicazione di inviare e rispondere a richieste di autenticazione in un framework stabilito.

OIDC

OpenID è un sistema per usare un unico insieme di credenziali utente per accedere a più siti. Consente al fornitore del servizio di assumere il ruolo per l'autenticazione delle credenziali utente. Anziché trasmettere un token di autenticazione a un gestore dell'identità digitale esterno, le applicazioni Web usufruiscono della tecnologia OIDC per richiedere ulteriori informazioni e convalidare l'autenticità dell'utente.

Kerberos

Kerberos è un sistema di autenticazione basato su ticket che consente a due o più parti di verificare reciprocamente la loro identità nella rete. Si basa sulla crittografia di sicurezza per impedire l'accesso non autorizzato alle informazioni identificative trasmesse tra server, client e centro di distribuzione delle chiavi.

La tecnologia SSO è sicura?

Sì, la tecnologia SSO è una soluzione di gestione identità e accessi avanzata e vantaggiosa. Se implementata, una soluzione single sign-on aiuta le organizzazioni nella gestione dell'accesso utente per le applicazioni e le risorse aziendali. Una soluzione SSO semplifica l'impostazione e la memorizzazione di password efficaci da parte degli utenti di applicazioni. Inoltre, il team IT può usufruire di uno strumento SSO per monitorare il comportamento degli utenti, migliorare la resilienza del sistema e ridurre i rischi di sicurezza. 

Qual è la differenza tra la tecnologia SSO e altre soluzioni di gestione degli accessi?

Esistono diverse soluzioni di gestione accessi e identità tra cui scegliere, a seconda dei propri requisiti.

Gestione delle identità federata

La gestione delle identità federate (FIM) è un framework digitale che consente a più applicazioni di vari fornitori di condividere, gestire e autenticare l'identità utente. Ad esempio, FIM consente alla forza lavoro di accedere a un'applicazione e quindi a diverse altre applicazioni aziendali senza dover effettuare un nuovo accesso. FIM autentica le credenziali inserite dal fornitore del servizio con un gestore dell'identità digitale credibile. 

SSO e gestione delle identità federata a confronto

La gestione delle identità federata è una soluzione di autenticazione e gestione delle identità completa per le applicazioni distribuite su più domini. La tecnologia single sign-on (SSO), invece, è una funzionalità specifica all'interno di un modello FIM. Mentre il framework FIM consente agli utenti di accedere ai servizi offerti da vari fornitori con un singolo login, la tecnologia SSO è limitata ai servizi o alle applicazioni in hosting presso un unico fornitore.

Same sign-on 

La tecnologia same sign-on, anch'essa abbreviata con l'acronimo SSO, è una soluzione digitale che archivia e sincronizza le credenziali utente su dispositivi a cui l'utente accede. È simile a password vault o servizi di gestione delle password che consentono agli utenti di accedere a più applicazioni su dispositivi diversi senza ricordare le credenziali. 

Single sign-on e same sign-on a confronto

I sistemi single sign-on richiedono un'autenticazione singola da parte dell'utente. Una volta effettuato il login, l'utente può accedere ad altri servizi e applicazioni Web senza ripetere l'autenticazione. D'altro canto, la tecnologia same sign-on prevede che l'utente ripeta il processo di login ogni volta con le medesime credenziali di autenticazione.

Autenticazione a più fattori 

L'autenticazione a più fattori è un framework di autenticazione degli utenti che si basa su due o più tecnologie per verificare l'identità dell'utente. Ad esempio, gli utenti possono inserire l'indirizzo e-mail e la password in una pagina Web e digitare un codice OTP (One-Time Password) inviato al loro cellulare per consentire l'accesso sicuro. 

SSO e autenticazione a più fattori a confronto

La tecnologia SSO permette alle organizzazioni di semplificare e rafforzare la sicurezza delle password garantendo l'accesso a tutti i servizi collegati con un singolo login. L'autenticazione a più fattori fornisce ulteriori livelli di sicurezza per ridurre il rischio di accesso non autorizzato dovuto al furto di credenziali. La tecnologia SSO e l'autenticazione a più fattori possono entrambe essere integrate per migliorare l'assetto di sicurezza delle applicazioni Web.

Qual è l'aiuto offerto da AWS con la tecnologia SSO?

Il Centro identità AWS IAM è una soluzione di autenticazione cloud che consente alle organizzazioni di creare o collegare in modo sicuro le identità della forza lavoro e di gestirne l'accesso a livello centralizzato su più account e applicazioni AWS. È possibile creare identità utente o importarle da fornitori di identità esterni come Okta Universal Directory o Azure. Alcuni vantaggi del Centro identità AWS IAM sono:

  • Un dashboard centrale per gestire le identità degli account AWS o delle applicazioni aziendali.
  • Il supporto dell'autenticazione a più fattori per fornire agli utenti un'esperienza di autenticazione altamente sicura. 
  • Il supporto di integrazione con altre applicazioni AWS per l'autenticazione e l'autorizzazione senza configurazione.

Comincia a sfruttare subito la tecnologia SSO su AWS creando un account AWS gratuito.

Fasi successive di AWS SSO

Scopri ulteriori risorse correlate al prodotto
Ulteriori informazioni sui servizi di sicurezza 
Registrati per creare un account gratuito

Ottieni accesso istantaneo al piano gratuito di AWS. 

Registrati 
Inizia a lavorare con la console

Inizia subito a sviluppare nella Console di gestione AWS.

Accedi