Cos'è l'SSO (Single Sign-On)?

L'SSO (Single Sign-On) è un meccanismo avanzato di autenticazione utente progettato per migliorare l'esperienza utente e rafforzare la sicurezza. In sostanza, l'SSO consente agli utenti di accedere a più applicazioni o piattaforme utilizzando un unico set di credenziali, solitamente un nome utente e una password. Questo non solo elimina la necessità di ricordare più password, ma semplifica anche il processo di accesso a vari servizi. Nel tempo, il concetto di SSO si è evoluto, diversificandosi in diverse configurazioni e applicazioni, diventando una pietra miliare nel panorama dell'autenticazione digitale.

---

L'SSO opera principalmente attraverso un sistema di gestione delle identità federate, spesso definito federazione di identità. Uno dei framework più noti in questo campo è OAuth, che funge da intermediario. Invece di condividere la password di un utente, OAuth concede ai servizi di terze parti un token di accesso, proteggendo le informazioni sensibili di login dell'utente. Quando un utente tenta di accedere a una particolare applicazione, il service provider collabora con l'identity provider per autenticare le credenziali dell'utente. Una volta autenticato, l'utente può accedere liberamente all'applicazione senza ulteriori richieste.

Vari protocolli sono alla base dei servizi SSO. Kerberos, ad esempio, utilizza un meccanismo di ticket-granting ticket (TGT), garantendo che agli utenti non vengano richieste ripetutamente le credenziali. D'altra parte, il Security Assertion Markup Language (SAML) è un protocollo distinto che scambia in modo sicuro i dati di autenticazione utente e autorizzazione tra piattaforme. Inoltre, le configurazioni SSO basate su smart card utilizzano carte con dati di accesso incorporati, semplificando ulteriormente il processo di login.

---

SAML (Security Assertion Markup Language) è un robusto protocollo di autenticazione ampiamente adottato in ambienti aziendali per semplificare l'accesso degli utenti a varie applicazioni, come i sistemi CRM, attraverso un processo di single sign-on (SSO). Leggi di più su SAML qui.

Sia l'SSO che i gestori di password mirano a semplificare il processo di autenticazione utente. Tuttavia, l'SSO offre un metodo unificato per consentire agli utenti di accedere a più applicazioni con un unico set di credenziali. Al contrario, i gestori di password memorizzano le singole password per vari servizi, inserendole automaticamente su richiesta.

Sebbene l'SSO migliori la comodità per l'utente, introduce potenziali vulnerabilità di sicurezza. Se un malintenzionato ottiene l'accesso alle credenziali SSO di un utente, può infiltrarsi in tutte le applicazioni associate. Pertanto, è fondamentale rafforzare l'SSO con ulteriori livelli di sicurezza, come l'autenticazione a due fattori (2FA) o l'autenticazione a più fattori.

Piattaforme come Facebook, Google e LinkedIn offrono il Social SSO, consentendo agli utenti di accedere a piattaforme di terze parti utilizzando le proprie credenziali dei social media. Sebbene ciò offra un'esperienza di accesso fluida, comporta potenziali rischi per la sicurezza, poiché una violazione in una piattaforma potrebbe compromettere le altre.

L'integrazione delle passkey con l'SSO fornisce un metodo di autenticazione moderno e sicuro. Combinando i due, gli utenti beneficiano del login semplificato dell'SSO e della maggiore sicurezza delle passkey. Piattaforme come Corbado integrano perfettamente queste funzionalità, garantendo agli utenti un'esperienza digitale comoda ma sicura.

IdP-initiated significa che il processo di login inizia presso l'Identity Provider (IdP), che invia un'asserzione SAML al Service Provider (SP). Al contrario, l'SSO SP-initiated inizia quando un utente tenta di accedere a un servizio direttamente sul sito dell'SP, venendo reindirizzato all'IdP per effettuare il login.