Che cos'è il Single sign-on (SSO) e perché è importante?

Single sign-on (SSO) è un sistema di identificazione degli utenti che consente loro di utilizzare un unico set di credenziali su più siti e applicazioni web.

In passato, per l'accesso a un account utente erano necessarie due credenziali di accesso: un nome utente e una password. Gestire decine di credenziali di accesso rallenta le persone e aumenta i rischi. L'accesso Single sign-on (SSO) risolve questo problema consentendo agli utenti di effettuare l'accesso una sola volta per accedere a tutte le app e ai sistemi necessari.

Ma ora, invece di dover ricordare o gestire più password, clienti e dipendenti possono accedere ai sistemi essenziali utilizzando un solo set di credenziali utente. 

Prosegui la lettura per scoprire tutto ciò che devi sapere sull'autenticazione SSO, inclusi la sua importanza, il funzionamento i e come proteggere la tua configurazione SSO.

• L'accesso Single sign-on (SSO) consente agli utenti di utilizzare un unico set di credenziali su più piattaforme e applicazioni.
• L'SSO è sempre più fondamentale per la sicurezza dei sistemi e dei dati, poiché aumentano gli attacchi basati sull'IA e altre tattiche sofisticate.
• Le organizzazioni scelgono gli standard SSO in base ai propri ambienti e alle funzioni del sistema.
• I vantaggi dell'SSO includono un'esperienza utente migliorata, una maggiore sicurezza e una gestione semplificata delle identità.
• L'aggiunta dell'MFA, l'igiene delle password e altri livelli di sicurezza migliorano l'efficacia dell'SSO.
• Le tendenze future che potrebbero influenzare l'SSO includono i progressi nel campo della biometria, le identità decentralizzate e le minacce basate sull'intelligenza artificiale.

L'SSO consente agli utenti di accedere a più applicazioni con un solo set di credenziali di accesso. Ad esempio, quando un dipendente inserisce le proprie credenziali di identità per accedere alla propria workstation, l'autenticazione SSO fornisce anche l'accesso alle applicazioni, al software, ai sistemi e alle risorse basate sul cloud.

L'SSO supporta una maggiore sicurezza nelle organizzazioni che gestiscono informazioni private o sensibili, come la pubblica amministrazione, il settore biofarmaceutico e quello sanitario, garantendo al contempo un'esperienza utente fluida su diverse piattaforme o istituzioni correlate. Ad esempio, un impiegato di banca potrebbe utilizzare l'SSO per accedere una sola volta e navigare nel CRM dell'azienda, nel proprio account di posta elettronica e nel portale delle risorse umane. Livelli di sicurezza come l'autenticazione multifattoriale (MFA) contribuiscono a completare questo aspetto.

Perché l'SSO è importante?

L'SSO è essenziale per le organizzazioni perché migliora la sicurezza, semplifica le operazioni e migliora l'esperienza utente consentendo l'accesso a più applicazioni con un unico set di credenziali. Ciò riduce l'affaticamento da password e il rischio di phishing o compromissione delle credenziali, soprattutto se abbinato all'autenticazione multifattoriale. L'SSO semplifica inoltre il provisioning e il deprovisioning degli utenti, riduce i costi di assistenza IT e supporta la conformità attraverso il controllo centralizzato degli accessi e il monitoraggio delle attività. In quanto componente fondamentale della Gestione di accessi e identità (IAM) e del modello Zero Trust, l'SSO garantisce un'autenticazione sicura, efficiente e scalabile in tutti gli ambienti aziendali.

L'SSO è ancora più importante data la proliferazione di app e servizi cloud utilizzati nei luoghi di lavoro. Secondo le stime più recenti, un'azienda media utilizza circa 1.400 applicazioni basate sul cloud. Limitare il numero di credenziali utilizzate dai dipendenti con il SSO riduce significativamente le vulnerabilità della sicurezza informatica.

Sebbene tutti i protocolli SSO seguano lo stesso processo generale, alcuni funzionano in modo leggermente diverso a seconda del caso d'uso e di altri fattori. Alcuni degli standard SSO più comuni includono:

• Security Access Markup Language (SAML, Linguaggio di markup per l'accesso alla sicurezza): La configurazione SSO SAML è uno standard aperto per la codifica del testo nel linguaggio macchina e la trasmissione di informazioni sull'identità. Rispetto ad altri, è un protocollo di autenticazione ampiamente applicabile, mentre altri sono progettati per casi d'uso specifici di accesso sicuro. Security Assertion Markup Language è anche lo standard principale utilizzato per scrivere token SSO.
• Autorizzazione aperta (OAuth): L'OAuth è un protocollo standard aperto che crittografa le informazioni sull'identità e le trasmette tra le applicazioni, consentendo così agli utenti di accedere ai dati di altre app senza verificare manualmente la propria identità.Tuttavia, non gestisce direttamente l'autenticazione, ma viene spesso utilizzato in combinazione con OIDC per casi d'uso SSO.
• OpenID Connect (OIDC): Come estensione di OAuth, OIDC autentica l'identità dell'utente, consentendo a più applicazioni di utilizzare un'unica sessione di accesso.
• Kerberos: Questo protocollo di autenticazione di rete utilizza ticket crittografati invece di password per abilitare il SSO tramite un Key Distribution Center (KDC).

Questi standard e protocolli SSO vengono utilizzati per diverse configurazioni, a seconda della funzione e dell'ambiente digitale:

• L'SSO di livello aziendale offre un'esperienza di accesso unificata per i sistemi interni di un'organizzazione, consentendo agli utenti di navigare senza soluzione di continuità tra più database, piattaforme e applicazioni.
• L'SSO federato collega le identità tra diverse organizzazioni o domini.
• L'SSO basato su cloud fornisce l'accesso SSO a più servizi e app basati su cloud, come AWS o Office 365.
• L'SSO per dispositivi mobili consente agli utenti di accedere a più app mobili con un unico login.
• L'SSO social consente agli utenti di accedere a un'app o a una piattaforma utilizzando un account di social media, come Facebook o LinkedIn.

Considerazioni chiave nella scelta di un protocollo SSO

Quando si seleziona un protocollo SSO, è necessario guardare oltre le specifiche tecniche e valutare l'adeguatezza rispetto agli obiettivi della propria organizzazione in materia di sicurezza, conformità ed esperienza degli utenti:

• Livello di sicurezza e modello di minaccia: abbina i punti di forza del protocollo ai tipi di attacchi da cui devi maggiormente proteggerti, come i tentativi di phishing o il furto di credenziali.
• Allineamento normativo: verifica che il protocollo supporti gli standard di conformità che devi rispettare, come GDPR, HIPAA o FedRAMP.
• Integrazione con i sistemi esistenti: cerca protocolli che funzionino senza problemi con i tuoi attuali provider di identità, applicazioni e infrastrutture, senza dover ricorrere a costose riprogettazioni.
• Scalabilità e prestazioni: valuta come il protocollo gestisce la crescita, sia in termini di volume di utenti che di numero di servizi integrati.
• Esperienza utente: bilancia la sicurezza con un processo di accesso rapido e intuitivo per dipendenti, partner o cittadini.
• Supporto fornitori e comunità: un protocollo ben supportato con uno sviluppo attivo e modelli di implementazione comprovati riduce il rischio nel tempo. 

Scegliere il protocollo giusto è una decisione tanto aziendale quanto tecnica. La soluzione giusta proteggerà la tua organizzazione, manterrà la conformità e semplificherà la vita alle persone che vi fanno affidamento ogni giorno.

L'SSO viene spesso definito una funzione di "federazione di identità". In termini semplici, la federazione di identità è un sistema di fiducia tra due parti per autenticare gli utenti e scambiare le informazioni necessarie per autorizzare il loro accesso a determinate risorse. Nella maggior parte dei casi, questo comporta l'utilizzo di Open Authorization (OAuth), un framework che dà alle applicazioni la possibilità di garantire un accesso sicuro senza rivelare le informazioni di login.

In generale, il flusso di lavoro di autenticazione SSO è un processo rapido e semplice:

1. In primo luogo, l'utente richiede l'accesso a una risorsa all'interno della configurazione SSO, avviando il processo di login via web o con un'app per dispositivo mobile.
2. Il fornitore di servizi della risorsa, ad esempio il sito web host, reindirizza l'utente a un provider di identità, come Entrust.
3. Il provider di identità verifica l'identità dell'utente controllandone le credenziali utilizzando uno dei numerosi protocolli SSO.
4. Se l'utente viene verificato correttamente, il provider di identità genera un token SSO (noto anche come token di autenticazione). In breve, si tratta di una risorsa digitale che rappresenta la sessione autenticata dell'utente.
5. Il provider di identità invia il token SSO al fornitore di servizi, che ne verifica la validità. Se necessario, l'applicazione, il sistema o il provider di servizi possono verificare ulteriormente l'identità dell'utente emettendo una richiesta di autenticazione aggiuntiva.
6. Una volta verificato, il fornitore di servizi concede all'utente l'accesso alla propria risorsa o applicazione.

Ora, l'utente può utilizzare tutte le altre applicazioni configurate nell'impostazione SSO a meno che la sessione non scada o sia necessaria una nuova autenticazione.

L'implementazione del servizio di SSO può offrire numerosi vantaggi a utenti, aziende e clienti. Ad esempio:

Migliore esperienza utente, produttività e risparmio sui costi

Ridurre più password a un unico set di credenziali utente semplifica gli accessi e riduce la necessità per i dipendenti di tenere traccia di più account. Ciò è particolarmente importante in un ambiente di lavoro ibrido, dove le applicazioni più importanti sono sempre più spesso on-premise o nel cloud.

In definitiva, questo flusso di lavoro accelerato si traduce in un aumento della produttività dei dipendenti. Inoltre, anche un piccolo risparmio di tempo come con l'SSO o lMFA può avere un impatto finanziario tangibile. Secondo la ricerca, la reimpostazione delle password richiede in media ai dipendenti 10 minuti. Se ogni dipendente di un'organizzazione di 100 persone deve reimpostare la propria password solo due volte all'anno, si tratta di oltre 33 ore sprecate, quasi un'intera settimana di lavoro.

Inoltre, una soluzione SSO può ridurre al minimo le attività improduttive, come le richieste di reimpostazione della password da parte dell'help desk IT.

Maggiore sicurezza grazie a una maggiore salvaguardia delle password

In una ricerca, il 41% degli accessi riusciti sui siti web riguardava password rubate, precedentemente trapelate durante violazioni dei dati. Quando le persone devono ricordare diverse combinazioni nome utente e password, alla fine iniziano a riutilizzare le stesse per vari account.Inoltre, potrebbero non preoccuparsi di cambiare le password anche se vengono avvisati che le loro credenziali sono state rubate o sono a rischio.

Questo fenomeno è chiamato "affaticamento da password" ed è un altro motivo per cui l'SSO è importante: È un grosso rischio per la sicurezza perché significa che se un account viene compromesso, possono esserlo anche tutti gli altri servizi. In altre parole, gli aggressori potrebbero utilizzare la stessa password per violare le altre applicazioni della vittima.

L'implementazione dell'SSO riduce l'affaticamento da password riducendo tutti gli accessi a uno solo. anche se un account viene compromesso, gli amministratori possono intervenire rapidamente per bloccarne l'accesso, limitando l'entità del potenziale danno ai sistemi o la quantità di dati rubati.

Tuttavia, in realtà, non è sempre così che accade. Ecco perché è meglio supportare la tua soluzione SSO con misure di sicurezza aggiuntive, ma ne parleremo più avanti.

Applicazione dei criteri e gestione delle identità più semplice

L'SSO fornisce un unico punto di accesso per le password, semplificando per i team IT l'applicazione delle politiche e delle regole di sicurezza. Ad esempio, la reimpostazione periodica delle password è molto più semplice da gestire con l'SSO, in quanto ogni utente ha una sola credenziale da cambiare.

Inoltre, se implementata correttamente, la gestione federata delle identità memorizza le credenziali di accesso internamente in un ambiente controllato. Al contrario, le organizzazioni memorizzano le combinazioni tradizionali di nome utente e password all'esterno con poca visibilità su come vengono gestite, ad esempio in un'applicazione di terze parti. Ciò rende più difficile garantire che le credenziali siano gestite secondo le prassi ottimali di sicurezza dei dati.

Supporto per la conformità

L'SSO svolge un ruolo cruciale nell'aiutare le organizzazioni che operano in settori altamente regolamentati a soddisfare importanti standard di conformità, come quelli imposti da HIPAA, GDPR e SOC 2.

La gestione centralizzata degli accessi supporta l'applicazione coerente delle politiche di sicurezza nell'intera infrastruttura tecnologica, comprese le applicazioni connesse. Un insieme unificato di regole di sicurezza semplifica anche le autorizzazioni degli utenti, rendendo più facile controllare chi può accedere a dati e risorse sensibili in base ai requisiti di conformità.

La gestione degli accessi con SSO è utile anche per far rispettare il principio del privilegio minimo, garantendo che gli utenti possano accedere solo agli strumenti e ai sistemi di cui hanno bisogno per svolgere le loro mansioni lavorative. Queste limitazioni possono aiutare a contenere i danni in caso di violazione. 

Infine, le soluzioni SSO forniscono registri di audit dettagliati che tracciano l'attività degli utenti e che possono essere utilizzati per soddisfare i requisiti di conformità in materia di monitoraggio e rendicontazione o per eventuali indagini.

L'SSO è sicuro, ma deve essere implementato in modo efficace. Se la tua autenticazione SSO consiste in un'unica password senza autenticazione a più fattori per più applicazioni, hai reso i tuoi utenti più produttivi, ma hai moltiplicato i rischi. Ad esempio, se un malintenzionato compromette un account SSO, può avere accesso libero alle altre applicazioni della stessa configurazione.

Anche quando viene implementato l'autenticazione a più fattori (MFA), gli utenti potrebbero soffrire di "affaticamento da notifiche push", rendendoli più propensi ad approvare richieste di notifiche push false provenienti da hacker senza valutarle attentamente. 

Anche configurazioni errate dell'SSO e delle integrazioni delle app possono creare vulnerabilità, soprattutto se le organizzazioni non monitorano questo tipo di rischi per la sicurezza.

Per ridurre queste possibilità, è consigliabile che le organizzazioni integrino il SSO con ulteriori livelli di sicurezza. Entrust rafforza l'SSO con funzionalità quali:

• Revoca del token e nuova autenticazione se il sistema rileva accessi o comportamenti insoliti dai dati contestuali, ad esempio se qualcuno tenta di accedere da un dispositivo sconosciuto o non gestito.
• L'autenticazione senza password basata su credenziali, che sostituisce le password tradizionali con la biometria o i token per un accesso rapido e senza attriti. E la parte migliore? Nessuna password, niente da rubare, nessun modo per superare le difese.
• Controllo centralizzato della durata delle sessioni, che consente agli amministratori della sicurezza di impostare e applicare la durata di validità di una sessione autenticata prima che gli utenti debbano effettuare nuovamente l'autenticazione con MFA.

L'SSO può rappresentare un grande vantaggio per la produttività, ma comporta anche dei rischi. Pertanto, per garantire che l'implementazione SSO sia quanto più sicura possibile, prendi in considerazione le seguenti migliori prassi:

1. Delinea le tue applicazioni. Identifica quali software, sistemi, applicazioni e servizi devono essere inclusi nella tua configurazione SSO.
2. Scegli un protocollo di autenticazione. Seleziona uno standard SSO compatibile con i sistemi esistenti e conforme agli standard richiesti su tutte le piattaforme e applicazioni.
3. Scegli un Gestore dell'identità: Cerca una soluzione SSO flessibile, indipendente dalla piattaforma e compatibile con tutti i browser. Ma soprattutto, assicurati che il tuo provider di identità offra anche diverse funzionalità di sicurezza per garantire che la tua implementazione sia ben protetta.
4. Verifica i privilegi utente. Nello spirito dello schema Zero Trust, basa le tue decisioni di controllo degli accessi sul concetto di "accesso con privilegi minimi". L'idea è che ogni utente riceve solo le autorizzazioni minime necessarie per svolgere le proprie responsabilità lavorative. In questo modo, se perde il controllo del proprio account, un hacker non potrà utilizzare determinate applicazioni.
5. Collauda e monitora. Prima dell'implementazione, collauda l'SSO nel sistema per assicurarti che funzioni come previsto. Dopo l'implementazione, monitora costantemente rischi, vulnerabilità e comportamenti o attività insoliti.

Man mano che i rischi si evolvono e cambiano, anche l'SSO continuerà a evolversi con essi. Gli sviluppi e le tendenze che potrebbero influenzarne l'utilizzo in futuro includono:

• MFA migliorato. L'SSO può essere utilizzato in combinazione con scansioni della retina, riconoscimento facciale o impronte digitali per supportare l'autenticazione. L'MFA adattivo prevede controlli aggiuntivi basati su fattori quali comportamento, posizione, dispositivo o altri segnali.
• Identità decentralizzate. La blockchain e altre tecnologie emergenti riducono la dipendenza dalle credenziali archiviate centralmente, minimizzando ulteriormente i rischi e migliorando la privacy degli utenti.
• Sicurezza dei token e delle sessioni. Poiché gli aggressori prendono sempre più di mira i token di autenticazione utilizzati dal SSO tramite malware o intercettazioni, le best practice si stanno evolvendo per incorporare una rotazione più frequente dei token e periodi di convalida più brevi. È anche una buona idea monitorare in modo proattivo i segnali che indicano che i token sono stati compromessi.
• Modifiche per ambienti cloud e ibridi. La complessità della moderna tecnologia organizzativa richiede alle piattaforme SSO di fare più che mai, compreso il ridimensionamento senza soluzione di continuità tra le piattaforme, l'automazione di attività come il provisioning degli utenti e l'applicazione coerente delle politiche di sicurezza.

Un solido sistema SSO consente agli utenti di accedere in modo rapido e semplice a diverse piattaforme e app con un unico accesso, proteggendoli al contempo dai tentativi di phishing e da altri attacchi. Dovrebbe includere funzionalità di sicurezza aggiuntive come l'autenticazione multifattoriale ed essere conforme ai requisiti pertinenti in materia di privacy e sicurezza dei dati.

Gli utenti dovrebbero trovare facile la navigazione e i team IT dovrebbero essere in grado di monitorare l'attività, le impostazioni e altre funzionalità da una dashboard centralizzata per identificare in modo proattivo i problemi e reagire rapidamente alle minacce alla sicurezza.

Le soluzioni SSO di Entrust eliminano la necessità di gestire le credenziali separatamente per ogni applicazione cloud, in sede e legacy. Ma c'è di più: forniscono tutte le funzionalità fondamentali necessarie per realizzare un'architettura Zero Trust, tra cui:

• Autenticazione multifattoriale
• Accesso senza password
• Flessibilità di implementazione
• Integrazione senza problemi
• Gestione centralizzata

L'autenticazione dell'identità con SSO è una funzionalità fondamentale delle moderne soluzioni di gestione di accessi e identità e svolge un ruolo sempre più importante nella protezione delle organizzazioni da attacchi di phishing e vulnerabilità. Scopri di più sulle strategie di sicurezza incentrate sull'identità che le aziende stanno adottando per proteggere i propri dati e utenti.