Al giorno d’oggi, quasi tutti i siti web richiedono l’autenticazione per poter accedere ai loro contenuti, applicazioni e funzioni. Purtroppo, più pagine si visitano o servizi si utilizzano, più la giungla delle password diventa confusa. Con l’aiuto di Single Sign-On, è possibile accedere a diverse risorse o servizi dopo un unico login, risparmiando così accessi separati. In questo articolo spieghiamo come funziona la procedura, quali vantaggi e svantaggi presenta l’SSO rispetto ad altri metodi di autenticazione e dove si può trovare in pratica.
In pratica, nel single sign-on si distingue principalmente tra soluzioni di portale, sistemi di ticket e soluzioni locali.
Sebbene anche SUSP utilizzi gli stessi dati di login per diversi servizi, a differenza di SSO, per ogni servizio è necessario un login separato che includa l’immissione di dati di accesso.
L’SSO riduce il rischio di cadere vittima di phishing o di un attacco man-in-the-browser. Tuttavia, se i dati di accesso finiscono nelle mani sbagliate, le conseguenze possono essere di vasta portata.
Definizione: cosa significa Single Sign-On e come funziona?
Single Sign-On (SSO) si traduce vagamente come “accesso singolo” e descrive una procedura con cui si ottiene l’accesso a diverse applicazioni, servizi o risorse attraverso un unico processo di autenticazione. Invece di più account e password, è sufficiente un unico record di accesso.
A questo scopo, l’SSO assegna un’identità globale, valida contemporaneamente per diversi servizi e nota a tutte le applicazioni coinvolte. Inoltre, il sistema dispone di tutti i vostri dati di accesso e li conferma ai servizi e alle applicazioni interessate.
Buono a sapersi: Il concetto di identità elettronica centralizzata o collegata che abbraccia più sistemi è chiamato “identità federata”.
1.1 Sistemi di autenticazione SSO
I meccanismi possono essere implementati in modi diversi. Fondamentalmente, tuttavia, esistono tre diversi sistemi di autenticazione:
- OpenID è un sistema di autenticazione SSO open source decentralizzato, adatto principalmente ai servizi basati sul web. Per utilizzarlo, l’utente ha bisogno di un cosiddetto account OpenID (URL identificativo), che riceve da un fornitore di identità OpenID (ad esempio Google). Questo viene utilizzato per autenticare l’utente in tutti gli altri servizi SSO. Il fornitore di OI associato trasmette quindi un token che serve come prova dell’identità dell’utente al sito web in questione.
- Negli ultimi anni il protocollo OAuth2 è diventato una sorta di standard per l’autorizzazione dei client nelle API ed è ora utilizzato anche da molti grandi provider come Google, Facebook o Twitter. Invece di autenticarsi direttamente con un sito web come OpenID, l’utente delega questo compito a un client. Quest’ultimo accede al sito web con un token del provider OI. Questo ha il vantaggio di non dover trasferire i propri dati direttamente al sito web in questione.
- Il protocollo di Single Sign-On basato sul web SAML (Security Assertion Markup Language) è la più vecchia delle tre procedure. Fornisce al browser dell’utente un cookie di sessione criptato, comprensivo di data di scadenza, con il quale l’utente può verificare in modo univoco se stesso agli altri servizi. I servizi stessi possono trovarsi nella rete locale o in Internet.
Il login rimane fino a quando l’utente non si disconnette con il suo account centrale (“single sign-off”) o viene avviato un logout automatico dopo un periodo di tempo predefinito.
Buono a sapersi: L’autenticazione non è la stessa cosa dell’autorizzazione. Purtroppo, spesso si crea confusione a causa della somiglianza dei due termini. Mentre l’autenticazione serve a identificare un utente attraverso i suoi dati di accesso, l’autorizzazione concede a un servizio il diritto di utilizzare determinati dati del profilo.
Quali sono i vantaggi e gli svantaggi del Single Sign-On rispetto ad altri metodi di autenticazione?
Uno dei maggiori vantaggi dell’SSO è sicuramente il tempo risparmiato. L’autenticazione unica evita infatti di digitare continuamente nuovi nomi utente e password. Questo non solo vi rende più produttivi, ma aumenta anche la sicurezza, poiché la frase viene trasmessa una sola volta e non dovete gestire un lungo elenco di password (spesso ancora più insicure). Una singola password è di solito più facile da ricordare, quindi può essere un po’ più complicata.
Se si desidera bloccare o modificare l’accesso di un utente, non è più necessario effettuare configurazioni lunghe e soggette a errori su diversi accessi in diversi database. Le modifiche corrispondenti vengono invece apportate all’identità complessiva e quindi replicate su tutte le istanze coinvolte.
Un altro vantaggio: poiché i dati vengono memorizzati in un unico luogo, l’SSO riduce anche il rischio di attacchi di phishing e di attacchi man-in-the-browser.
Il single sign-on non ha solo vantaggi
Ma nonostante tutti gli aspetti positivi, la procedura presenta anche alcuni svantaggi che naturalmente non vogliamo ignorare. Ad esempio, l’SSO può essere utilizzato solo con i servizi che il sistema è in grado di gestire. Tuttavia, diventa davvero pericoloso se i dati di accesso dovessero finire nelle mani sbagliate, in quanto ciò consente di accedere a più sistemi contemporaneamente.
Inoltre, la disponibilità dei vari servizi e applicazioni dipende direttamente dal Single Sign-On. In parole povere, ciò significa che se il sistema è difettoso o non funziona correttamente per qualche altro motivo, non è possibile utilizzarlo parzialmente. Per inciso, questo vale anche per gli utenti bloccati. Se il vostro login è bloccato per un servizio SSO (ad esempio a causa di ripetuti inserimenti errati), non avrete più accesso a tutti gli altri.
Quali tipi di SSO esistono e dove si possono trovare in pratica?
Graziealla loro grande facilità d’uso, le procedure di SSO si trovano sia nel settore privato che in quello professionale e sul mercato si è ormai affermata un’intera gamma di servizi con cui è possibile realizzarle. Si tratta prevalentemente di uno dei tre approcci seguenti:
3.1 Soluzioni di portale
Il nome lo suggerisce già: Con una soluzione di portale, si accede a un portale in cui sono integrate diverse applicazioni, servizi e processi. Con la registrazione, l’identità dell’utente viene verificata una volta e l’utente riceve l’accesso a tutti i contenuti, le funzioni e le risorse.
Un tipico esempio di soluzione di portale è il vostro account Google: Con un solo login è possibile utilizzare Gmail e la piattaforma Cloud, fare acquisti nel Play Store o personalizzare Maps, tra le altre cose.
3.2 Sistemi di ticket
Il sistema di ticket è una soluzione SSO che consiste in una rete di servizi noti tra loro. Per l’accesso, si effettua una sola volta il login e si riceve un biglietto virtuale. Si utilizza questo biglietto per identificarsi agli altri partecipanti. Il sistema vi certifica quindi come “affidabili” e vi rilascia per gli altri partecipanti.
I più noti rappresentanti della categoria dei sistemi a ticket includono, ad esempio, il Liberty Alliance Project e il servizio di autenticazione Kerberos.
3.3 Soluzioni locali
Con le soluzioni locali, i dati di accesso e le password vengono memorizzati in una posizione centrale (ad esempio un supporto dati esterno, un computer di rete dell’azienda o nel cloud) e crittografati con un unico nome utente e una cosiddetta “meta password”.
A questo scopo, di solito si utilizza un client SSO, che viene installato sulla postazione di lavoro utilizzata regolarmente. Questo è configurato in modo tale da recuperare automaticamente le informazioni dalla rispettiva fonte e inserirle nella schermata di login attualmente aperta.
I servizi di password di Apple (Safari) e Google (Chrome), ad esempio, sono client SSO di questo tipo.
