Single Sign-On: cos'è, come funziona e perché ne hai bisogno

Pubblicato: 2022-05-07

È probabile che tu abbia effettuato l'accesso a qualcosa tramite Single Sign-On nell'ultima settimana, ma capisci come funziona e perché la tua azienda dovrebbe utilizzarlo?

Qual è la parte più preziosa del tuo sito web?

Il tuo dolce algoritmo per la compressione di file video? La tua collezione in continua crescita di IP originali? O forse l'esperienza di gioco che i tuoi utenti ottengono mentre si fanno strada attraverso un luogo che è fondamentalmente la Terra di Mezzo ma che, per motivi legali, non è sicuramente la Terra di Mezzo?

Dal punto di vista di un hacker, niente di tutto ciò ha importanza. Gli hacker cercano dati personali. Nomi, indirizzi, e-mail e password: dettagli sull'identità di un utente che possono essere successivamente utilizzati per phishing, attacchi ransomware e furto di identità.

Le password e altri dettagli di accesso potrebbero essere in cima alla lista in questi giorni. L'azienda di design per la casa Houzz ha perso oltre 48 milioni di password l'anno scorso. Anche Zynga, il produttore di giochi noto per "Words with Friends" e "Draw Something", è stato colpito da un attacco alla sicurezza, con una stima di 218 milioni di credenziali utente rubate.

Sfortunatamente, quando si tratta di violazioni della sicurezza, la prevenzione non è mai possibile al 100%. Tuttavia, ci sono modi per ridurre le possibilità che gli utenti subiscano il furto delle password in caso di violazione. Benvenuto in Single Sign-On, una struttura di gestione dell'identità che risolve una serie di problemi aziendali comuni.

Che cos'è il Single Sign-On (SSO)?

Il Single Sign-On (SSO) è un sistema di identificazione che consente ai siti Web di utilizzare altri siti attendibili per verificare gli utenti. Ciò libera le aziende dalla necessità di conservare le password nei loro database, riduce la risoluzione dei problemi di accesso e riduce i danni che un hack può causare.

I sistemi SSO funzionano come un provider di identità, una specie di carta d'identità. Ad esempio, se vieni fermato per eccesso di velocità, l'ufficiale di polizia non deve conoscerti personalmente; possono semplicemente guardare la tua licenza e vedere che il tuo stato garantisce la tua identità.

Allo stesso modo, con SSO, il tuo sito web non ti obbliga a dimostrare la tua identità controllando al suo interno. Invece, verifica con un provider SSO (come LinkedIn, Microsoft o Google) per vedere se può verificare la tua identità. Se può, il sito ci crede sulla parola.

Tecnicamente, gran parte di ciò che viene chiamato single sign-on è in realtà un mix di SSO puro e delega o federazione. C'è una sorta di confusione tra tutte le piattaforme, soprattutto quando i fornitori di identità come servizio entrano nel mix.

Useremo SSO qui, con callout quando le distinzioni contano davvero.

Come funziona SSO?

Spiegare il sistema a grandi linee è semplice, ma spiegare il processo di implementazione di SSO richiede un po' più di background. Normalmente, quando accedi a un sistema, il provider di servizi o il dominio (sito web.com, in questo esempio) ti autenticherà da solo. Così:

1. Come utente, visiti una pagina intermittente su website.com che controlla se sei già loggato. Se lo sei, l'autenticazione SSO è completa e il sistema ti invierà a ciò che volevi veramente (il tuo posta in arrivo, per esempio).

2. Se non hai già effettuato l'accesso, ti viene presentata una schermata di accesso.

3. Rilasci le tue credenziali di accesso (e-mail e password) nel modulo, website.com controlla tali credenziali rispetto al suo database e quindi sei connesso o rifiutato.

4. Se hai effettuato l'accesso, website.com emetterà una sorta di tracker. Questo potrebbe essere sul server o potrebbe essere inviato a te come token.

Ora, ogni volta che ti sposti nel sito, il sistema controlla solo che il tracker, e quindi la tua autenticazione, sia aggiornato.

Se dovessi fare la stessa cosa con SSO in atto, sarebbe più simile a questo:

1. Come utente, visiti una pagina intermittente (un portale SSO) su website.com che controlla se hai già effettuato l'accesso. Se lo sei, ti porta a quello che volevi veramente: la tua casella di posta di Gmail, per esempio.

2. Se non hai già effettuato l'accesso, website.com ti offre opzioni per l'autenticazione tramite un provider di identità di terze parti (Google, Amazon, Facebook, ecc.). Scegli il tuo provider preferito e quindi accedi con quel provider, diciamo Google.

3. Google verifica che sei tu, controlla che website.com sia il sito che afferma di essere, quindi ti autentica in base al database delle password di Google ed emette un token di ritorno a website.com.

4. Website.com ottiene il token da Google, verificando la tua identità. Ora ti associa al resto dei tuoi dati utente (preferenze, cronologia, carrello degli acquisti e così via) e sei pronto.

  • In un vero sistema SSO , navigherai da un sito all'altro con accesso completo.
  • In un sistema delegato , Google restituirà sia una verifica dell'identità che una serie di usi autorizzati. Website.com potrebbe avere accesso al tuo nome e alla tua email, ad esempio, ma non mostrare la tua posizione o età. (Vedi l'esempio sotto.)


Un esempio del flusso di reindirizzamento durante l'utilizzo di SSO da Auth0 (Source)

Grande! Ma perché qualcuno dovrebbe preoccuparsi di questo?

I vantaggi per gli utenti

Ci sono alcuni vantaggi principali per gli utenti che interagiscono con SSO.

  • Convenienza. Gli utenti devono ricordare solo un insieme di dettagli di accesso. Collegando il tuo sito ai loro accessi su Google, ti assicuri che anche gli utenti sporadici possano ricordare come accedere; accedono semplicemente a Google.
  • Trasparenza. Gli utenti sanno cosa viene condiviso da un sistema all'altro, almeno in un sistema delegato. È come quando si installa una nuova applicazione sul telefono e viene richiesta l'autorizzazione per accedere alle foto, ai contatti e al conto bancario. Se non sei soddisfatto di queste opzioni, puoi disattivarle.
  • Velocità. Con SSO, gli utenti non devono passare attraverso lunghi processi di registrazione e autorizzazione. Poiché Google ha già eseguito tutta la verifica e-mail e la raccolta dei dati, i nuovi utenti possono registrarsi il più rapidamente possibile per accedere a Google.
  • Sicurezza. Gli utenti ottengono anche la tranquillità che deriva dal sapere che il proprietario del sito Web Marlon Rando non ha la password memorizzata in chiaro da qualche parte nel ristagno di Internet. Google continua ad essere il principale punto di fiducia, che consente all'utente di provare cose nuove senza paura.

I vantaggi per il tuo business

Questa è un'ottima notizia per i tuoi utenti, ma cosa c'è per te, il proprietario del sito web?

  • Più registrazioni di utenti. SSO fornisce una barriera all'ingresso più bassa, così i nuovi clienti possono registrarsi in modo facile e sicuro, affidandosi a un marchio noto. Facebook sta gestendo il processo, quindi non si preoccupano del tuo sistema e marchio sconosciuti. La fiducia aumenta, il che aumenta le conversioni.
  • Meno lavoro sul dietro. Ciò significa che non dovrai armeggiare con le password. Sebbene sia importante ridurre il rischio di pirateria informatica, ancora più importante è non dover reimpostare le password delle persone ogni cinque minuti. Tutta l'autenticazione e il sollevamento di password pesanti sono gestiti dall'autenticatore di fiducia.
  • Raccolta dati. Puoi anche attingere a più informazioni come Google o Facebook o chiunque le metta a disposizione. Sono tutti i vantaggi della raccolta dei dati senza tutti i problemi ad essa associati.
  • Rischio ridotto. Alla fine, stai rimuovendo quella torta allettante dal davanzale. Gli hacker hanno meno incentivi a colpire il tuo sito se non ospiti molti dettagli di accesso. È anche meno probabile che un gruppo di utenti con password terribilmente deboli facciano breccia nella sicurezza generale del tuo sito.

In breve, l'adozione di una soluzione SSO può semplificare la vita a te e ai tuoi clienti.

SSO + MFA: comodità senza sacrificare la sicurezza

SSO è conveniente, ma ha le sue insidie. Vale a dire, se un account SSO viene violato, possono essere presi di mira anche altri con lo stesso sistema di autenticazione. Un modo per contrastare questo rischio è implementare l'autenticazione a più fattori (MFA).

Autenticazione a più fattori

Un metodo di autenticazione utente che richiede agli utenti di fornire due o più fattori di verifica.

SSO combinato con MFA fa un lavoro molto migliore nella protezione degli account utente rispetto al solo SSO. Inoltre, fornire agli utenti l'efficienza e la facilità offerte da MFA e SSO significa ridurre la possibilità di reimpostare la password o di chiamare l'help desk.

Iniziare

Se la tua azienda è tecnicamente incline, vale a dire, impieghi ingegneri software di una certa fascia, puoi anche controllare il protocollo OAuth, che è alla base di molte delle soluzioni commerciali sul mercato.

Se stai cercando uno strumento da integrare con il tuo attuale stack tecnologico, puoi sfogliare la directory di gestione dell'identità di Capterra per un elenco completo di provider SSO, dove puoi utilizzare lo strumento di filtro (lato sinistro dello schermo) per sfogliare MFA- prodotti specifici. Il nostro software di autenticazione e le directory Single Sign-On sono entrambi ottimi posti per trovare strumenti SSO e MFA.