SSO aziendale: Cos'è, come funziona e perché è importante

Che cos'è l'SSO aziendale?#

Prima di addentrarci nella definizione, è importante chiarire la differenza tra SSO e SSO aziendale, poiché ciò può spesso causare confusione.

• L'SSO (Single Sign-On) è un termine generale che si riferisce alla possibilità di un utente di effettuare l'accesso una sola volta e accedere a più applicazioni o risorse senza dover effettuare nuovamente l'accesso.
• L'SSO aziendale è un tipo specifico di SSO progettato per i dipendenti all'interno di un'organizzazione.

Ancora incerto? Guardiamo un esempio:

Un sito di shopping online chiamato Amazed ha due applicazioni web: una per clienti e una per proprietari di negozi. I clienti accedono all'app di shopping per acquistare prodotti, mentre i proprietari accedono all'app per gestire i loro negozi. Entrambe le app utilizzano lo stesso provider di identità per l'autenticazione. Di conseguenza, gli utenti devono effettuare l'accesso una sola volta per accedere a entrambe le app, fornendo un'esperienza di Single Sign-On.

Internamente, Amazed utilizza più applicazioni per la comunicazione del team, la gestione dei progetti e il supporto clienti. Per semplificare i flussi di lavoro quotidiani, Amazed implementa l'SSO aziendale per i suoi dipendenti. Con l'SSO aziendale, i dipendenti possono accedere a tutte le applicazioni interne con un unico login.

Tipicamente, le soluzioni SSO aziendali forniscono anche una dashboard centralizzata per permettere ai dipendenti di accedere a tutte le applicazioni con un clic. Questa dashboard è spesso chiamata dashboard SSO.

In breve, entrambi gli scenari sono esempi di Single Sign-On. La differenza è che il primo esempio è un SSO generico, mentre il secondo è un SSO aziendale. Questi sono casi d'uso tipici per il Customer IAM (Gestione delle Identità e degli Accessi dei Clienti) e il Workforce IAM, rispettivamente.

Come funziona l'SSO aziendale?#

L'SSO aziendale funziona collegando più applicazioni a un provider di identità centralizzato. La connessione può essere unidirezionale (dall'applicazione al provider di identità) o bidirezionale (tra l'applicazione e il provider di identità). Vari standard e protocolli, come SAML, OpenID Connect e OAuth 2.0, sono utilizzati per queste connessioni.

Indipendentemente dal protocollo, il flusso di lavoro di base è solitamente simile:

1. L'utente accede a un'applicazione (ad es., app di comunicazione) che richiede autenticazione.
2. L'applicazione reindirizza l'utente al provider di identità per l'autenticazione.
3. L'utente accede al provider di identità.
4. Il provider di identità invia una risposta di autenticazione all'applicazione.
5. L'applicazione verifica la risposta e concede l'accesso all'utente.

Quando l'utente accede a un'altra applicazione (ad es., app di gestione progetti) collegata allo stesso provider di identità, viene automaticamente loggato senza bisogno di inserire nuovamente le credenziali. In questo caso, il passaggio 3 viene saltato e poiché i passaggi 2, 4 e 5 avvengono in background, l'utente potrebbe non notare nemmeno il processo di autenticazione.

Questo processo è chiamato SSO avviato dal fornitore di servizi (SP-Initiated SSO), dove l'applicazione (SP) avvia il processo di autenticazione.

In un altro scenario, il provider di identità fornisce una dashboard centralizzata per consentire agli utenti di accedere a tutte le applicazioni connesse. Un flusso di lavoro semplificato è:

1. L'utente accede al provider di identità.
2. Il provider di identità visualizza un elenco di applicazioni a cui l'utente può accedere.
3. L'utente clicca su un'applicazione (ad es., app di supporto clienti) per accederci.
4. Il provider di identità reindirizza l'utente all'applicazione con informazioni di autenticazione.
5. L'applicazione verifica le informazioni e concede l'accesso all'utente.

Questo processo è chiamato SSO avviato dal provider di identità (IdP-Initiated SSO), dove il provider di identità (IdP) avvia il processo di autenticazione.

Perché l'SSO aziendale è importante?#

SSO aziendale nel Workforce IAM#

Gestione centralizzata#

Il principale vantaggio dell'SSO aziendale non è solo la comodità per i dipendenti, ma anche una maggiore sicurezza e conformità per le organizzazioni. Invece di gestire molteplici credenziali per diverse applicazioni e configurare autenticazioni e autorizzazioni separatamente per ciascuna di esse, le organizzazioni possono centralizzare la gestione delle identità degli utenti, delle politiche di controllo degli accessi e dei registri delle attività.

Ad esempio, quando un dipendente lascia l'azienda, il dipartimento IT può disabilitare l'account del dipendente nel provider di identità, revocando immediatamente l'accesso a tutte le applicazioni. Questo è cruciale per prevenire accessi non autorizzati e violazioni dei dati, un processo noto come gestione del ciclo di vita.

Controllo degli accessi#

Le soluzioni SSO aziendali spesso includono funzionalità di controllo degli accessi, come il controllo degli accessi basato su ruoli (RBAC) e il controllo degli accessi basato sugli attributi (ABAC). Queste funzionalità consentono alle organizzazioni di definire politiche di accesso dettagliate basate su ruoli, attributi e altre informazioni contestuali, assicurando che i dipendenti abbiano il giusto livello di accesso alle risorse appropriate.

Per un confronto dettagliato tra RBAC e ABAC, consulta RBAC e ABAC: I modelli di controllo degli accessi che dovresti conoscere.

Maggiore sicurezza#

Un altro vantaggio è la capacità di imporre metodi di autenticazione forti, come l'autenticazione multi-fattore (MFA), l'autenticazione senza password e l'autenticazione adattativa, su tutte le applicazioni. Questi metodi aiutano a proteggere i dati sensibili e a conformarsi alle normative del settore.

Per maggiori informazioni sulla MFA, consulta Esplorare MFA: Un'analisi dell'autenticazione dalla prospettiva del prodotto.

SSO aziendale nel Customer IAM#

Il termine "SSO aziendale" appare anche nelle soluzioni Customer IAM. Cosa significa in questo contesto? Torniamo all'esempio Amazed: alcuni proprietari di negozi sono costituiti come aziende. Un proprietario di negozio, Banana Inc., implementa l'SSO aziendale per i suoi dipendenti. Come parte dell'accordo, Banana Inc. richiede che Amazed imponi l'SSO aziendale per tutti gli indirizzi email da Banana Inc. (es. *@banana.com) quando accedono all'app per proprietari.

In questo caso, Amazed deve integrare il suo provider di identità con il provider di identità di Banana Inc. per abilitare l'SSO aziendale per i dipendenti di Banana Inc. Questa integrazione, spesso eseguita tramite protocolli standard come SAML, OpenID Connect o OAuth, è comunemente nota come connessione SSO aziendale, connettore SSO aziendale o federazione SSO.

Per una spiegazione dettagliata del Customer IAM, consulta la nostra serie CIAM:

• CIAM 101: Autenticazione, Identità, SSO
• CIAM 102: Autorizzazione e Controllo degli Accessi Basato sui Ruoli

Sii pronto per l'azienda#

Negli scenari B2B (business-to-business), l'SSO aziendale è una funzione indispensabile per i fornitori di SaaS come Amazed per supportare i loro clienti aziendali. Non si tratta solo di comodità; si tratta di sicurezza e conformità per entrambe le parti. L'SSO aziendale può imporre che tutte le identità gestite dal cliente aziendale si autentichino attraverso il provider di identità dell'azienda, assicurando che l'azienda mantenga il controllo sui suoi utenti, dati, accessi e politiche di sicurezza.

L'SSO aziendale è un fattore chiave per raggiungere la prontezza aziendale, ovvero la capacità di soddisfare le esigenze dei clienti aziendali. Tuttavia, la gestione delle identità e degli accessi, soprattutto nel contesto dei clienti aziendali, è complessa e richiede un investimento significativo in tempo, risorse ed esperienza. I fornitori di SaaS moderni spesso scelgono piattaforme IAM per gestire queste complessità.

Note finali#

L'SSO aziendale è potente. Beneficia tutti i soggetti coinvolti: dipendenti, organizzazioni e clienti. Il dipartimento IT gode di una riduzione del carico di lavoro, i dipendenti evitano la fatica delle password grazie all'autenticazione senza password e i clienti apprezzano l'esperienza utente migliorata. Se stai costruendo o pianificando di supportare i clienti aziendali con un prodotto SaaS, considera Logto per una soluzione completa e facile da usare per gli sviluppatori.