Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SOLUZIONI DI SICUREZZA

Single Sign-On, accesso facilitato alle risorse di rete: ecco come funziona

Il Single Sign-On facilita l’utilizzo delle risorse di rete in quanto consente ad un utente di accedere a più applicazioni e domini aziendali utilizzando un solo set di credenziali username e password. Ecco come funziona e i consigli per implementarlo al meglio nella propria azienda

08 Lug 2019
M

Bruno Marafini

EIT Digital Master Student (Cyber security) - UNITN


Il Single Sign-On (SSO) è un processo di autenticazione che consente ad un utente di accedere a più applicazioni con un solo set di credenziali di accesso. SSO è una procedura comune nelle aziende, in cui un client accede a più risorse connesse a una rete locale (LAN).

Con il Single Sign-On l’utente effettua il login una sola volta e ottiene l’accesso a diverse applicazioni senza la necessità di immettere nuovamente le credenziali di accesso in ogni applicazione.

L’autenticazione SSO, quindi, facilita l’utilizzo delle risorse di rete senza soluzione di continuità.

C’è da dire, comunque, che i meccanismi SSO variano a seconda del tipo di applicazione. SSO, inoltre, non è adatto per i sistemi che richiedono l’accesso garantito, in quanto la perdita delle credenziali di accesso comporta la negazione dell’accesso a tutti i sistemi.

Idealmente, il Single Sign-On viene utilizzato con altre tecniche di autenticazione, ad esempio smart card e token con password monouso.

Come funziona il Single Sign-On

Fondamentalmente, l’autenticazione con SSO si basa su una relazione di fiducia tra domini (siti Web). Con l’accesso Single Sign-On, questo è ciò che accade quando si tenta di accedere ad un’applicazione oppure ad un sito Web:

  • il sito Web verifica innanzitutto se l’utente è già stato autenticato dalla soluzione SSO, caso in cui consente di accedere al sito;
  • in caso contrario, ci viene inviata la soluzione SSO per l’accesso;
  • immettiamo il singolo nome utente/password utilizzato per l’accesso aziendale;
  • la soluzione SSO richiede l’autenticazione dal provider di identità o dal sistema di autenticazione utilizzato dall’azienda. Verifichiamo la nostra identità e notifichiamo la soluzione SSO;
  • la soluzione SSO passa i dati di autenticazione al sito Web e consente di tornare a tale sito;
  • dopo l’accesso, il sito passa i dati di verifica dell’autenticazione con l’utente mentre ci si sposta all’esterno del sito per verificare di essere autenticati ogni volta che si passa a una nuova pagina.

Ciò che accade con il Single Sign-On è che i dati di verifica dell’autenticazione assumono la forma di token. Nelle due immagini seguenti viene esplicitata questa procedura.

L’utente richiede l’accesso.

Il sito Web reindirizza l’utente al sito Web SSO per accedere. L’utente accede con un singolo nome utente e password.

Il sito Web SSO verifica il provider di identità dell’utente, come ad esempio Active Directory.

All’utente viene concesso l’accesso e quindi fa richiesta di accesso ad un nuovo sito.

Quando l’utente tenta di accedere a un sito Web diverso, il nuovo sito Web verifica con la soluzione SSO. Poiché l’utente è stato autenticato, verifica l’identità dell’utente nel nuovo sito Web senza richiedere un accesso aggiuntivo.

Come funziona l’autenticazione senza SSO?

Senza Single Sign-On, ogni sito Web gestisce il proprio database di utenti e le proprie credenziali. Questo è ciò che accade quando si tenta di accedere ad un’app o ad un sito Web:

  • il sito Web controlla innanzitutto se siamo già stati autenticati: se sì, ci dà accesso;
  • se non l’abbiamo fatto, ci chiede di accedere e controlla il nostro nome utente e la password rispetto alle informazioni nel suo database utente;
  • dopo l’accesso, il sito invia i dati di verifica dell’autenticazione durante la navigazione nel sito, per verificare di essere autenticati ogni volta che si passa ad una nuova pagina.

I dati di verifica dell’autenticazione vengono in genere passati come cookie con i dati di sessione o come token, che non tengono traccia della sessione e sono più veloci da elaborare. Nelle due immagini viene esplicitata questa procedura.

L’utente richiede l’accesso al sito Web.

All’utente viene concesso l’accesso e quindi fa richiesta di accesso ad un nuovo sito.

I vantaggi dell’autenticazione Single Sign-On

Alla luce di quanto detto finora, sono evidenti i vantaggi dell’autenticazione basata sul metodo SSO:

  • riduce “l’affaticamento delle password: ricordare una password invece di molte, semplifica la vita degli utenti. Come beneficio principale, dà un maggiore incentivo a creare password robuste;
  • semplifica la gestione di nomi e password: quando si verificano cambiamenti del personale, SSO riduce sia lo sforzo IT che le possibilità di errore;
  • migliora la protezione dell’identità: con SSO le aziende possono rafforzare la sicurezza dell’identità con tecniche quali l’autenticazione a due fattori (2FA) e l’autenticazione a più fattori (MFA);
  • aumenta la velocità ove necessario: in ambienti come ospedali, industrie della difesa e servizi di emergenza, dove un gran numero di persone e reparti richiedono un accesso rapido e libero alle stesse applicazioni, SSO è particolarmente utile;
  • alleggerisce i carichi di lavoro dell’help desk: un minor numero di utenti che richiedono aiuto con password perse consente di risparmiare denaro e migliora la sicurezza;
  • riduce i rischi per la sicurezza per i clienti, i fornitori e le entità partner: le connessioni tra le aziende alleate presentano sempre vulnerabilità, che SSO può ridurre;
  • sono disponibili soluzioni SSO efficaci: non c’è motivo per qualsiasi organizzazione di creare un proprio sistema o di sviluppare una profonda conoscenza riguardo SSO.

Le sfide del Single Sign-On

Ci sono ancora molte sfide aperte che SSO deve affrontare al giorno d’oggi:

  • password ultra-robuste dovrebbero essere utilizzate come principali: se un account SSO viene violato, anche altri con lo stesso metodo di autenticazione possono essere messi in pericolo;
  • quando SSO non funziona, l’accesso a tutti i siti connessi viene interrotto: questo è un motivo importante per prestare grande attenzione nella scelta di un sistema SSO;
  • quando il nostro provider di identità non è funzionante, il nostro SSO si comporta allo stesso modo: la vulnerabilità del provider riguardo qualsiasi tipo di interruzione diventa anche la vostra vulnerabilità, ed è probabilmente al di fuori del vostro controllo;
  • se un hacker viola il nostro account utente del provider di identità, tutti i sistemi collegati potrebbero essere aperti agli attacchi: questo può essere un classico singolo punto di fallimento e dovrebbe essere controllato nel processo di pianificazione;
  • la configurazione di SSO può richiedere più tempo del previsto: ogni ambiente è diverso, pertanto possono essere necessari passaggi aggiuntivi per l’implementazione;
  • SSO è rischioso per i computer multiutente: cosa succede quando un utente è connesso ed un altro deve utilizzare la macchina?
  • l’accesso ridotto (RSO) potrebbe essere necessario per supportare diversi livelli di accesso: con RSO potrebbero essere necessari server di autenticazione aggiuntivi;
  • SSO, utilizzando i servizi di social networking, può creare conflitti: questo può essere il caso di luoghi di lavoro che bloccano i siti di social media e le connessioni governative in cui è coinvolta la censura;
  • alcuni siti collegati a SSO possono fornire i dati utente a entità di terze parti – questo è un punto che richiede particolare attenzione.

Considerando tutto, i vantaggi di SSO superano significativamente le ragioni della cautela, ma è necessaria una guida professionale ed esperta durante la pianificazione e l’implementazione per sfruttare i benefici riducendo al minimo gli svantaggi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5