È lunedì, sei in ufficio. Non sono ancora arrivati tutti, ma tu hai quella scadenza che ti perseguita da settimane e non c’è tempo da perdere.
Mentre gli altri sono ancora al bar a gustare una brioche fumante, tu, con la sola compagnia del tuo caffè, accedi al tuo pc. O meglio, ci provi. Perché dopo aver immesso le credenziali ciò che vedi è l’antipatica schermata: «Password errata». Ma com’è possibile? È quella! Deve essere quella! Poi ricordi che proprio venerdì scorso la precedente password era scaduta e avevi dovuto impostarne una nuova. Dopo dieci minuti fermo a fissare il pc con il vuoto totale in mente, hai un’illuminazione e finalmente sei dentro.
Adesso basterà loggarti nel tuo CRM. Vieni salutato da una finestra: «La password è scaduta. Sceglierne una nuova. La password deve contenere almeno 8 caratteri, almeno un carattere speciale e almeno un numero». Nel momento stesso in cui hai generato la tua nuova indecifrabile password l’ha già dimenticata, ma a questo penserai domani: l’importante è che anche stavolta sei dentro.
A questo punto, provi ad accedere alla mail e noti che il tuo collega ha svuotato la cache del browser: tutte le password salvate sono sparite e tu non ne ricordi neanche una. Lì ti arrendi, alzi il telefono e chiami il reparto IT implorando il loro aiuto.
Ma, se ci fosse un’alternativa a perdere la pazienza e tempo prezioso dietro all’autenticazione a sistemi e siti indispensabili per il tuo lavoro? Se questo racconto ti suona familiare dovresti considerare il Single Sign-On (SSO).
Cos’è il SSO
Il Single Sign-On (SSO) è un sistema di gestione di accesso che permette agli utenti di entrare in più account, software, sistemi e risorse utilizzando credenziali uniche. Per esempio, quando un impiegato inserisce le proprie credenziali per fare accesso alla propria postazione di lavoro, automaticamente si logga anche nelle proprie app, risorse e software in cloud.
Sostanzialmente, l’autenticazione con SSO si basa su una relazione di fiducia tra domini (siti web). SSO è un accordo di gestione federata delle identità (Federated Identity Management- FIM) che si riferisce specificamente alla gestione dell’accesso. La federazione delle identità permette un’interoperabilità che garantisce all’utente l’utilizzo di un singolo set di credenziali di login per fare accesso a multiple applicazioni e servizi.
Come funziona il SSO
Il Single Sign On è attuato principalmente utilizzando i seguenti differenti protocolli, progettati per scopi diversi e utilizzati in contesti diversi:
- Il protocollo SAML (Security Assertion Markup Language) è uno standard per lo scambio di informazioni di autenticazione, utilizzato per verificare che un utente sia chi dice di essere. In particolare SAML 2 è la seconda versione di questo standard e rappresenta una delle soluzioni più diffuse per l’autenticazione SSO su Internet (ad esempio è usata anche da SPID).
- Il protocollo OAuth (Open Authorization) è uno standard per la delega dell’autorizzazione. Con OAuth, un utente può concedere ad una applicazione terza l’accesso a una risorsa (es. i dati del suo profilo o i messaggi sul suo social network). In pratica OAuth è utilizzato per stabilire cosa un utente può fare o vedere; gestisce dunque l’autorizzazione.
Gestire gli accessi alle applicazioni con un solo set di credenziali è possibile anche integrandosi all’IdP tramite il protocollo LDAP. In questo caso però è più corretto parlare di Same Sign-On perché, sebbene si possa accedere a più tool con le medesime credenziali, queste devono essere re-inserite ogni volta che si accede a una differente applicazione. Questa metodologia di accesso è sempre meno utilizzata perché prevede che, per validarsi, l’utente inserisca le credenziali in un form presentato dall’applicazione che poi dialoga con l’Identity Provider, questo include pertanto le applicazioni all’interno del perimetro di gestione dell’identità riducendo la sicurezza.
A differenza di LDAP i protocolli OAuth e SAML assicurano che le credenziali dell’utente non siano condivise con le applicazioni e i sistemi ai quali l’utente fa accesso, e che siano fornite direttamente e solo all’IdP. Questi protocolli inoltre permettono di accedere a più applicazioni all’interno di una singola sessione di autenticazione realizzando concretamente un Single Sign-On.
Il SSO tramite protocollo SAML
Vediamo nel concreto come funziona il SSO tramite protocollo SAML:
- Accesso al SP: l’utente accede alla URL dell’applicazione (Service Provider o SP).
- Redirect all’IdP: il SP crea una richiesta SAML e la invia all’Identity Provider (IdP), reindirizzando l’utente ad una pagina web gestita dall’IdP. L’Identity Provider controlla la richiesta SAML e verifica se l’utente è già loggato (accertandosi se è presente una sessione attiva) o se invece deve essere autenticato. Nel primo caso si passa al punto 4, altrimenti si prosegue.
- Autenticazione: l’IdP mostra all’utente un form per l’inserimento di username e password. L’utente compila i campi e l’IdP, verifica le credenziali autenticando l’utente e attivando una nuova sessione.
- Redirect al SP: l’IdP ridireziona l’utente all’applicazione fornendo una risposta SAML (token SAML) che afferma l’identità dell’utente. Il token SAML è sostanzialmente un documento XML crittografato e firmato digitalmente. La crittografia garantisce la sicurezza dei dati trasportati impedendo che vengano visualizzati da terze parti durante il trasporto. La firma digitale garantisce l’integrità del token e l’autenticità dell’Identity Provider che lo ha emesso.
- Verifica: la firma digitale viene effettuata utilizzando un certificato digitale rilasciato da un’Autorità di Certificazione affidabile e viene verificata dal Service Provider tramite l’utilizzo della chiave pubblica corrispondente. Il SP, dopo aver verificato la validità della risposta SAML, legge le informazioni riguardo l’utente che si è autenticato e fornisce l’accesso alle proprie funzionalità in base ai suoi permessi.
Riassumendo, con il Single Sign-On, l’autenticazione su molteplici applicazioni è possibile in forma veloce e sicura con un’unica coppia di credenziali; ciò evita che ogni sito o applicazione Web gestisca le proprie credenziali, generando difficoltà e incertezza per l’utente.
Perché il Single Sign-On è così importante?
Secondo un recente studio, in media un’azienda utilizza circa 210 programmi e servizi in Cloud, e l’impiegato medio ne usa circa 36 sul lavoro. Servirsi di un solo set di credenziali sicure per accedere a tutte queste applicazioni e servizi garantisce un livello di sicurezza maggiore e una migliore esperienza lavorativa per tutti.
Il SSO è una soluzione che migliora la gestione degli accessi perché:
- Semplifica vita e lavoro degli utenti richiedendo che si memorizzi una sola coppia di credenziali.
- Aumenta la velocità della gestione dei workflow.
- Migliora la sicurezza perché le aziende possono definire centralmente le regole di sicurezza per le nuove password ed abilitare l’autenticazione a due o più fattori per rendere ancora più efficace la protezione dei propri dati sensibili.
- Migliora la gestione del cambiamento delle credenziali da parte dell’ufficio IT quando si verificano cambiamenti del personale.
- Permette all’help desk di dedicarsi a risolvere problematiche più complesse perché meno utenti chiederanno aiuto con le password o il ripristino delle medesime.
Sistema SSO in COMsy Platform
Le aziende che utilizzano la COMsy Platform si trovano a gestire quotidianamente una grande mole di dati, la cui protezione e cura è fondamentale.
La COMsy Platform, servendosi di un sistema di gestione di accesso all’avanguardia, il Single Sign-On, permette l’utilizzo di un solo set di credenziali sicure e risponde alla necessità di poter lavorare serenamente mentre si utilizza la propria piattaforma gestionale. In particolare, il sistema permette di configurare tutti i parametri necessari all’abilitazione del SSO tramite SAML2, se si dispone di un IdP remoto come Azure, oppure tramite LDAP.
In conclusione, SSO, come altri strumenti integrati nella COMsy Platform, concorre a rendere più sicuro il sistema ed agevolarne la fruibilità con conseguente impatto positivo sull’intero business aziendale.