Homepage
Torna alla panoramica

Single-Sign-On

Il Single Sign-On (SSO) è un metodo di autenticazione che consente agli utenti di accedere una sola volta e di accedere contemporaneamente a più applicazioni e servizi, senza dover effettuare il login separatamente su ogni sistema. La verifica dell'identità avviene centralmente tramite un cosiddetto Identity Provider, che gestisce le credenziali e le trasmette ai rispettivi servizi quando necessario. Le basi tecniche più diffuse per l'SSO sono i protocolli SAML, OIDC e LDAP.

Il funzionamento tecnico si basa sul fatto che l'Identity Provider, dopo l'autenticazione riuscita, trasmette una conferma di autenticazione firmata digitalmente al rispettivo servizio. Questo si fida della dichiarazione dell'Identity Provider e concede l'accesso senza verificare o memorizzare autonomamente le credenziali. Le informazioni di accesso non vengono quindi mai trasmesse ai singoli servizi, il che riduce notevolmente il rischio di violazioni dei dati causate da password deboli o riutilizzate.

Un ente pubblico con più applicazioni specializzate, una connessione VPN e un sistema interno di gestione documentale può configurare l'SSO in modo che i dipendenti si autentichino una sola volta al mattino sul proprio dispositivo di lavoro e accedano poi a tutti i sistemi autorizzati senza ulteriori inserimenti di password. Per il reparto IT ciò significa meno interventi per il ripristino delle password e una chiara panoramica su quali account possono accedere a quali servizi.

Il vantaggio decisivo dell'SSO risiede nella combinazione tra maggiore usabilità e sicurezza più elevata. Meno password significano meno superficie di attacco, e la gestione centralizzata tramite un Identity Provider rende più semplice revocare in un unico passaggio l'accesso a tutti i sistemi per i dipendenti che lasciano l'organizzazione, riducendo notevolmente il rischio di account orfani.

L'SSO esprime il suo pieno potenziale quando è strettamente integrato con la gestione centralizzata dei dispositivi. Chi incorpora directory utenti, SAML e OIDC in un'infrastruttura IT conforme alla protezione dei dati riduce al contempo notevolmente l'onere amministrativo.