Passa al contenuto principale
Immagine
motivo esagonale viola

Tradizionalmente, per l'accesso a un account utente erano necessarie due credenziali di accesso: un nome utente e una password. Ora però, con decine di applicazioni, risorse e servizi da considerare, fornire un accesso sicuro non è così semplice.

La buona notizia? Invece di dover ricordare o gestire più password, clienti e dipendenti possono accedere ai sistemi essenziali utilizzando un solo set di credenziali utente. In breve, questo è il Single Sign-On (SSO).

Prosegui la lettura per scoprire tutto ciò che devi sapere sull'autenticazione SSO, inclusi la sua importanza, il funzionamento i e come proteggere la tua configurazione SSO.

Cos'è l'SSO?

Il Single Sign-On è una funzione di gestione delle identità federate che consente agli utenti di accedere a più applicazioni con un solo set di credenziali di accesso. Ad esempio, quando un dipendente inserisce le proprie credenziali di identità per accedere alla propria workstation, l'autenticazione SSO fornisce anche l'accesso alle applicazioni, al software, ai sistemi e alle risorse basate sul cloud.

Allo stesso modo, supponiamo che una persona acceda a un servizio Google come Gmail. L'SSO l'autentica automaticamente, consentendo al suo account utente di accedere ad altre applicazioni Google, come YouTube o Google Sheets. E, quando esce da una di queste applicazioni, la persona viene automaticamente disconnessa dalle altre.

Perché l'SSO è importante?

Fondamentalmente, una soluzione SSO è un servizio di autenticazione, che costituisce una parte cruciale della gestione di identità e accessi (IAM). A sua volta, è anche una base particolarmente preziosa per il modello di sicurezza Zero Trust, un framework che si oppone alla fiducia implicita e richiede l'autenticazione continua degli utenti.

Perché è importante? Se un sistema non distingue un utente da un'entità, non c'è modo di consentire o limitare le sue azioni, creando un grave rischio per la sicurezza dei dati. Ciò è ancora più problematico se si considera la proliferazione di applicazioni e servizi cloud, ognuno dei quali richiede un proprio set di credenziali utente.

Secondo le ultime stime, l'impresa media utilizza 210 servizi di collaborazione e cloud distinti e, al lavoro, il dipendente medio utilizza 36 servizi cloud. Sono molte le password da gestire e, purtroppo, molte organizzazioni hanno un'infrastruttura IT troppo frammentata per governarle in modo adeguato.

Per fortuna, è qui che entra in gioco l'implementazione del SSO. Ridurre le password multiple a un unico set di credenziali di accesso non solo migliora l'esperienza dell'utente, ma promuove anche una migliore salvaguardia della sicurezza informatica per tutti.

Quali sono i vantaggi dell'SSO?

L'implementazione del servizio di SSO può offrire numerosi vantaggi a utenti, aziende e clienti. Ad esempio:

Migliore esperienza utente, produttività e risparmio sui costi

Ridurre le password multiple a un unico set di credenziali di accesso non solo migliora l'esperienza dell'utente, ma promuove anche una migliore igiene della sicurezza informatica per tutti. Ciò è particolarmente importante in un ambiente di lavoro ibrido, dove le applicazioni più importanti sono sempre più spesso on-premise o nel cloud.

In definitiva, questo flusso di lavoro accelerato si traduce in un aumento della produttività dei dipendenti. Inoltre, anche un piccolo risparmio di tempo come l'SSO può avere un impatto finanziario tangibile. Secondo una ricerca, il risparmio di tre minuti del tempo di un dipendente può far risparmiare a un'azienda di 5.000 persone circa 1,5 milioni di dollari all'anno.

Inoltre, una soluzione SSO può ridurre al minimo le attività improduttive, come le richieste di reimpostazione della password da parte dell'help desk IT.

Maggiore sicurezza grazie a una maggiore salvaguardia delle password

Almeno il 45% delle violazioni è dovuto alla compromissione delle credenziali di accesso e, nella maggior parte dei casi, alla scarsa sicurezza delle password. Quando le persone devono ricordare diverse combinazioni nome utente e password, alla fine iniziano a riutilizzare le stesse per vari account.

Questo si chiama "affaticamento da password". È un grosso rischio per la sicurezza perché significa che se un account viene compromesso, possono esserlo anche tutti gli altri servizi. In altre parole, gli aggressori potrebbero utilizzare la stessa password per violare le altre applicazioni della vittima.

L'implementazione dell'SSO riduce l'affaticamento da password riducendo tutti gli accessi a uno solo. Anche se un malintenzionato potrebbe accedere ad altri servizi in caso di compromissione di un account, l'SSO teoricamente semplifica per le persone creare, ricordare e utilizzare password forti.

Tuttavia, in realtà, non è sempre così. Ecco perché è meglio supportare la tua soluzione SSO con misure di sicurezza aggiuntive, ma ne parleremo più avanti.

Applicazione dei criteri e gestione delle identità più semplice

L'SSO fornisce un unico punto di accesso per le password, semplificando per i team IT l'applicazione delle politiche e delle regole di sicurezza. Ad esempio, la reimpostazione periodica delle password è molto più semplice da gestire con l'SSO, in quanto ogni utente ha una sola credenziale da cambiare.

Inoltre, se implementata correttamente, la gestione federata delle identità memorizza le credenziali di accesso internamente in un ambiente controllato. Al contrario, le organizzazioni memorizzano le combinazioni tradizionali di nome utente e password all'esterno con poca visibilità su come vengono gestite, ad esempio in un'applicazione di terze parti. Ciò rende più difficile garantire che le credenziali siano gestite secondo le prassi ottimali di sicurezza dei dati.

Come funziona l'SSO?

illustrazione del Single Sign-On (SSO) L'SSO viene spesso definito una funzione di "federazione di identità". In termini semplici, la federazione di identità è un sistema di fiducia tra due parti per autenticare gli utenti e scambiare le informazioni necessarie per autorizzare il loro accesso a determinate risorse. Nella maggior parte dei casi, questo comporta l'utilizzo di Open Authorization (OAuth), un framework che dà alle applicazioni la possibilità di garantire un accesso sicuro senza rivelare le informazioni di login.

In generale, il flusso di lavoro di autenticazione SSO è un processo rapido e semplice:

  1. In primo luogo, l'utente richiede l'accesso a una risorsa all'interno della configurazione SSO, avviando il processo di login.
  2. Il fornitore di servizi della risorsa, ad esempio il sito web host, reindirizza l'utente a un provider di identità, come Entrust.
  3. Il provider di identità verifica l'identità dell'utente controllandone le credenziali utilizzando uno dei numerosi protocolli SSO.
  4. Se l'utente viene verificato correttamente, il provider di identità genera un token SSO (noto anche come token di autenticazione). In breve, si tratta di una risorsa digitale che rappresenta la sessione autenticata dell'utente.
  5. Il provider di identità invia il token SSO al fornitore di servizi, che ne verifica la validità. Se necessario, l'applicazione, il sistema o il provider di servizi possono verificare ulteriormente l'identità dell'utente emettendo una richiesta di autenticazione aggiuntiva.
  6. Una volta verificato, il fornitore di servizi concede all'utente l'accesso alla propria risorsa o applicazione.

Ora l'utente può utilizzare tutte le altre applicazioni impostate nella configurazione SSO. Se ha una sessione attiva, la soluzione SSO utilizza lo stesso token di autenticazione per concedere l'accesso.

Esistono diversi tipi di SSO?

illustrazione di SAML

Sì, esistono vari protocolli e standard SSO. Ogni configurazione SSO funziona in modo leggermente diverso, ma tutte seguono lo stesso processo generale. Alcuni fra i più comuni includono:

  • Security Access Markup Language (SAML, Linguaggio di markup per l'accesso alla sicurezza): La configurazione SSO SAML è uno standard aperto per la codifica del testo nel linguaggio macchina e la trasmissione di informazioni sull'identità. Rispetto ad altri, è un protocollo di autenticazione ampiamente applicabile, mentre altri sono progettati per casi d'uso specifici di accesso sicuro. Security Assertion Markup Language è anche lo standard principale utilizzato per scrivere token SSO.
  • Autorizzazione aperta (OAuth): L'OAuth è un protocollo standard aperto che crittografa le informazioni sull'identità e le trasmette tra le applicazioni, consentendo così agli utenti di accedere ai dati di altre app senza verificare manualmente la propria identità.
  • OpenID Connect (OIDC): Come estensione di OAuth, l'OIDC consente a diverse applicazioni di utilizzare una sessione di accesso. Per fare un esempio comune, molti servizi ti permettono di accedere utilizzando un account Facebook o Google al posto delle tue credenziali utente.

L'SSO è sicuro?

Il Single Sign-On può fornire un'ottima esperienza utente, ma non è di per sé una soluzione perfetta. Gli hacker possono sfruttare la comodità dell'SSO se il controllo degli accessi e le politiche sulle password non sono sufficienti.

Se la tua autenticazione SSO consiste in un'unica password senza autenticazione a più fattori per più applicazioni, hai reso i tuoi utenti più produttivi, ma hai moltiplicato i rischi. Ad esempio, se un malintenzionato compromette un account SSO, può avere accesso libero alle altre applicazioni della stessa configurazione.

Per ridurre i rischi, è meglio che le organizzazioni integrino l'SSO con ulteriori livelli di sicurezza, come ad esempio:

  • L'autenticazione adattiva basata sul rischio, che rappresenta una sfida ulteriore quando i dati contestuali indicano una potenziale minaccia. Se qualcuno tenta di accedere da un dispositivo sconosciuto o non gestito, lo schema di autenticazione può chiedere di fornire informazioni aggiuntive, come un codice di accesso unico.
  • L'autenticazione senza password basata su credenziali, che sostituisce le password tradizionali con la biometria o i token per un accesso rapido e senza attriti. E la parte migliore? Nessuna password, niente da rubare, nessun modo per superare le difese.

Come si implementa l'autenticazione basata su SSO?

L'SSO può rappresentare un grande vantaggio per la produttività, ma comporta anche dei rischi. Pertanto, per garantire che l'implementazione SSO sia quanto più sicura possibile, prendi in considerazione le seguenti migliori prassi:

  1. Delinea le tue applicazioni: Identifica quali software, sistemi, applicazioni e servizi devono essere inclusi nella tua configurazione SSO.
  2. Scegli un Gestore dell'identità: Cerca una soluzione SSO flessibile, indipendente dalla piattaforma e compatibile con tutti i browser. Ma soprattutto, assicurati che il tuo provider di identità offra anche diverse funzionalità di sicurezza per garantire che la tua implementazione sia ben protetta.
  3. Verifica i privilegi utente: Nello spirito dello schema Zero Trust, basa le tue decisioni di controllo degli accessi sul concetto di "accesso con privilegi minimi". L'idea è che ogni utente riceve solo le autorizzazioni minime necessarie per svolgere le proprie responsabilità lavorative. In questo modo, se perde il controllo del proprio account, un hacker non potrà utilizzare determinate applicazioni.

Cosa diversifica Entrust SSO?

La nostra piattaforma di Gestione di accessi e identità Entrust Identity supporta l'SSO, quindi i tuoi utenti possono accedere a tutte le applicazioni con un'unica credenziale forte invece di gestire le credenziali per ogni singola applicazione cloud, in locale e legacy. Ancora meglio, fornisce tutte le funzionalità fondamentali per realizzare un'architettura Zero Trust, tra cui:

  • Autenticazione multifattoriale
  • Accesso senza password
  • Flessibilità di implementazione
  • Integrazione senza problemi
  • Gestione centralizzata

Soprattutto, Gartner ha riconosciuto Entrust come Challenger nel Magic Quadrant™ 2023 per la gestione degli accessi, evidenziando la nostra capacità di esecuzione e la completezza della nostra visione.

Scarica il report per avere maggiori informazioni sul motivo per cui Entrust è pronto ad aiutarti a sfruttare un'implementazione SSO sicura.

Domande frequenti

Che cos'è il Single Sign-On e a cosa serve?

Il Single Sign-On (SSO) è un metodo di autenticazione che consente agli utenti di accedere in modo sicuro a più applicazioni e siti web con un unico set di credenziali. Elimina la necessità per gli utenti di ricordare più nomi utente e password. Fornisce inoltre un modo semplice per accedere a tutti i propri account senza dover reinserire le credenziali ogni volta. Con l'SSO è possibile utilizzare un unico nome utente e un'unica password per accedere a tutti i servizi associati, consentendo agli utenti di avere un'esperienza sicura e continua in tutte le applicazioni.

Quali sono i vantaggi dell'SSO?

L'SSO presenta numerosi vantaggi, tra cui:

  • Esperienza utente finale migliorata: Elimina la necessità per gli utenti di ricordare più nomi utente e password, semplificando l'accesso alle risorse necessarie.
  • Maggiore sicurezza: Riduci il rischio di riutilizzo delle password e di phishing, rendendo più difficile l'accesso alle informazioni sensibili da parte di utenti non autorizzati.
  • Migliore produttività: Consenti agli utenti di accedere più rapidamente alle risorse necessario, il che può portare a un aumento della produttività e dei ricavi.
  • Gestione utenti migliorata: Semplifica il processo di gestione e mantenimento di più account utente, rendendo più efficiente il lavoro per i team IT.
  • Risparmi sui costi: Riduci i costi associati alla gestione di più nomi utente e password, alle violazioni dei dati e agli incidenti di sicurezza.

Entrust offre una soluzione SSO che si integra facilmente con i sistemi e le applicazioni esistenti.

Come funziona l'SSO?

L'SSO funziona creando un server di autenticazione centrale, noto come Identity Provider (IdP), che viene utilizzato per autenticare gli utenti di più applicazioni o servizi. Una volta che l'utente è stato autenticato dall'IdP, può accedere a tutte le applicazioni o ai servizi che può utilizzare senza necessità di ulteriori nomi utente e password.

Per impostare l'SSO, un'organizzazione in genere configura il servizio SSO e quindi lo integra con le applicazioni o i servizi che desidera utilizzare. Dopo la configurazione, quando un utente tenta di accedere a un'applicazione o a un servizio, verrà reindirizzato all'IdP per accedere. Una volta effettuato l'accesso, potrà accedere alle applicazioni o ai servizi per i quali ha l'autorizzazione all'uso senza dover inserire nuovamente le proprie credenziali di accesso.

Entrust supporta diversi metodi di SSO, come SAML, OpenID Connect e OAuth2. Forniamo istruzioni dettagliate su come configurare il servizio SSO con il provider di identità, insieme a supporto e guida durante tutto il processo.

Ci sono rischi per la sicurezza dell'SSO?

Anche se l'SSO può migliorare la sicurezza riducendo il rischio di riutilizzo della password, esistono ancora rischi per la sicurezza di cui le organizzazioni dovrebbero essere consapevoli.

  • Singolo punto di errore: Se il sistema SSO viene compromesso, gli utenti non autorizzati potrebbero accedere a più applicazioni o servizi contemporaneamente.
  • Phishing: Se gli utenti vengono indotti con l'inganno a fornire le proprie credenziali di accesso a un sito web fasullo, gli attacchi di phishing possono comunque verificarsi, anche con l'SSO.
  • Dirottamento della sessione: Se la sessione non è adeguatamente protetta, un malintenzionato potrebbe rubare la sessione di un utente e ottenere l'accesso a diverse applicazioni o servizi.
  • Accesso di terze parti: L'SSO si affida a provider di identità di terze parti e se uno di questi viene compromesso, si potrebbe verificare una violazione della sicurezza.
  • Mancanza di Autenticazione multifattoriale: L'SSO potrebbe non fornire la sicurezza aggiuntiva dell'autenticazione a più fattori per impostazione predefinita.

La soluzione SSO di Entrust è progettata pensando alla sicurezza e viene regolarmente aggiornata per affrontare i nuovi rischi per la sicurezza non appena emergono. Aggiungiamo un ulteriore livello di protezione offrendo la più ampia gamma di autenticatori multifattoriali MFA, tra cui Grid Card, notifiche push per dispositivi mobili, credenziali ad alta garanzia basate su PKI, senza password e altro ancora.

In che modo l'SSO è diverso dai metodi di autenticazione tradizionali?

L'SSO differisce in diversi modi:

  • Autenticazione centralizzata: L'SSO utilizza un server di autenticazione centrale, noto come Identity Provider (IdP), per autenticare gli utenti di più applicazioni o servizi. I metodi tradizionali richiedono che gli utenti si registrino separatamente per ogni applicazione o servizio.
  • Singolo set di credenziali: Consente agli utenti di accedere a più applicazioni o servizi con un unico set di credenziali di accesso, eliminando la necessità di ricordare più nomi utente e password. I metodi tradizionali richiedono agli utenti di ricordare più nomi utente e password per ogni applicazione o servizio.
  • Esperienza utente finale migliorata: Migliora l'esperienza dell'utente rendendo più facile l'accesso alle risorse di cui ha bisogno, senza dover ricordare più nomi utente e password.
  • Sicurezza migliorata: Può migliorare la sicurezza riducendo il rischio di riutilizzo delle password e di phishing, rendendo più difficile l'accesso alle informazioni sensibili da parte di utenti non autorizzati.

La nostra soluzione è progettata per funzionare perfettamente con i metodi tradizionali e può essere facilmente integrata con i sistemi e le applicazioni esistenti, sia in sede che su cloud.

Quali sono le misure di sicurezza che le aziende devono adottare quando implementano l'SSO?

Quando le organizzazioni implementano il Single Sign-On devono adottare le seguenti misure di sicurezza:

  • Proteggere l'ambiente SSO: Implementare firewall, sistemi di rilevamento e prevenzione delle intrusioni e altri strumenti di sicurezza per proteggere l'ambiente SSO da accessi non autorizzati.
  • Usare l'autenticazione multifattoriale: Implementare l'autenticazione multifattoriale (MFA) come ulteriore livello di sicurezza per garantire che gli utenti siano chi dichiarano di essere. Entrust fornisce solide misure di sicurezza implementando l'autenticazione multifattoriale (MFA) come ulteriore livello di protezione. La nostra piattaforma offre un'ampia gamma di opzioni di autenticazione multifattoriale MFA, come la Grid Card, notifiche push mobili, credenziali basate su PKI ad alta sicurezza e senza password, garantendo l'accesso alle risorse protette solo per gli utenti autorizzati.
  • Monitorare l'attività dell'utente: Guarda l'attività e identifica i comportamenti sospetti per rilevare e rispondere agli incidenti di sicurezza.
  • Mantenere l'aggiornamento del software: Aggiorna regolarmente il software SSO, i provider di identità e le applicazioni con le patch di sicurezza e gli aggiornamenti più recenti.
  • Proteggere la trasmissione dei dati: Assicurati che tutti i dati trasmessi tra il server SSO e le applicazioni o i servizi siano crittografati.
  • Verificare regolarmente i controlli di accesso: Rivedi e aggiorna i controlli di accesso per garantire che solo gli utenti autorizzati abbiano accesso alle risorse protette.