Italiano
  • SSO
  • IdP
  • SAML
  • Enterprise SSO
  • OIDC

SSO vs SAML, spiegati per tutti

SSO e SAML sono spesso utilizzati in modo vago e possono essere interpretati in modi diversi. In questo articolo, chiariremo questi concetti, spiegheremo come si relazionano tra loro e forniremo esempi concreti per renderli più facili da comprendere.

Guamian
Guamian
Product & Design

SSO e SAML sono spesso utilizzati in modo vago e possono essere interpretati in modi diversi. In questo articolo, chiariremo questi concetti, spiegheremo come si relazionano tra loro e forniremo esempi concreti per renderli più facili da comprendere.

Cos'è l'SSO?

SSO (Single Sign-On) è un processo di autenticazione che consente a un utente di effettuare un unico accesso e accedere a più applicazioni o servizi senza dover effettuare nuovamente il login per ciascuno di essi. Tuttavia, questa definizione generale può riferirsi a diversi scenari in cui viene utilizzato l'SSO.

Ci sono vari scenari in cui l'SSO entra in gioco.

Social SSO

A volte, le persone si riferiscono al login sociale come social SSO. Ad esempio, gli utenti possono utilizzare l'accesso con Google per creare un account in una nuova app, utilizzando direttamente l'identità e le informazioni memorizzate in Google. In questo scenario, l'utente gestisce la propria identità.

Il social SSO rende più facile per gli utenti controllare le loro informazioni, riducendo i passaggi tediosi nel processo di creazione e accesso all'account. Il social SSO si basa tipicamente su protocolli standard aperti come OAuth 2.0 e OIDC.

sign-in-social-linking.png

Enterprise SSO

Per prima cosa, suddividiamo i concetti di Identity Provider e Service Provider in termini semplici.

  1. L'Identity Provider (IdP) è come il "guardiano" della tua identità. È il sistema che memorizza le tue informazioni di accesso e verifica chi sei. Pensalo come un'autorità di fiducia che dice: "Sì, questa persona è chi dice di essere". Esempi includono Google Workspace, Microsoft Entra e Okta Workforce Identity.
  2. Il Service Provider (SP) è l'"applicazione" o il "servizio" a cui vuoi accedere una volta che la tua identità è verificata. È il luogo in cui stai cercando di effettuare il login, come un'app o un sito web. Ad esempio, Zoom, Slack o gli strumenti interni della tua azienda sono tutti provider di servizi.

In termini semplici, l'Identity Provider dimostra chi sei e il Service Provider ti offre l'accesso ai suoi servizi una volta confermata la tua identità.

L'Enterprise SSO è utilizzato in scenari più orientati al business e, suddiviso da quei due termini spiegati sopra, ci sono due casi tipici: SSO iniziato da IdP e SSO iniziato da SP. Anche se i termini possono sembrare tecnici, gli scenari sono in realtà piuttosto semplici.

IdP-initiated SSO

Pensa a quando, come dipendente, ti integri con le applicazioni e le risorse dell'azienda. In genere, il reparto HR creerà un account per te. Poi utilizzerai quell'account per accedere a una piattaforma come Okta o Google Workspace. Una volta effettuato l'accesso, verrai indirizzato a un portale aziendale, dove potrai accedere a tutte le applicazioni dell'azienda, come i sistemi di gestione stipendi, gli strumenti di collaborazione, Workday e altro ancora.

idp-initiated-sso-portal.png

SP-initiated SSO

Passiamo ora ad un'altra prospettiva. A volte, è necessario iniziare dalla pagina di accesso di un prodotto specifico. Ad esempio, se vuoi utilizzare Zoom per una riunione online con i tuoi colleghi, vedrai un'opzione per "Accedi con SSO". Questo scenario è noto come SSO iniziato da SP.

sso-button-sign-in.png

Quali problemi risolve l'Enterprise SSO

Il primo vantaggio dell'Enterprise SSO è che consente alle aziende di gestire facilmente, in modo flessibile e sicuro le identità dei collaboratori.

Supponiamo che gestisci un'azienda e tutti i tuoi dipendenti abbiano bisogno di accedere ai prodotti e servizi che hai acquistato. Poiché le risorse prodotte dall'azienda appartengono all'azienda, è necessario un sistema di identità aziendale di proprietà. Se i dipendenti dovessero utilizzare identità personali per accedere alle risorse aziendali, ciò creerebbe sfide di sicurezza e gestione.

D'altra parte, in uno scenario come l'SSO iniziato da SP, i dipendenti accedono a più applicazioni e servizi di proprietà dell'azienda. Quando i dipendenti iniziano o terminano il lavoro, il reparto HR deve creare e eliminare numerosi account su tutti i prodotti e servizi dell'azienda, il che è laborioso e richiede tempo.

L'Enterprise SSO semplifica questo processo attraverso un sistema di identità universale, e strumenti come SCIM (System for Cross-domain Identity Management) e provisioning Just-in-Time lo rendono ancora più efficiente.

Per l'SSO iniziato da IdP, è utile per i produttori di prodotti che vogliono essere "pronti per l'impresa". Ad esempio, se sei una startup che inizialmente si concentra su consumatori individuali, e in seguito una grande impresa vuole utilizzare il tuo prodotto, potrebbero richiedere ai dipendenti di effettuare il login utilizzando, ad esempio, Microsoft Entra. In questo caso, avresti bisogno di integrare l'Enterprise SSO nel tuo prodotto per chiudere l'accordo.

Cos'è SAML?

SAML (Security Assertion Markup Language) è un protocollo standard aperto utilizzato per l'autenticazione e l'autorizzazione. Insieme a OAuth e OIDC, il SAML è ampiamente utilizzato nei sistemi di gestione delle identità, in particolare nella gestione delle identità dei dipendenti. Provider di identità commerciali come Okta e Microsoft Entra supportano comunemente il SAML come uno dei loro protocolli standard.

Alcuni sistemi più vecchi e fornitori di login social offrono anche supporto per SAML, quindi avere SAML integrato nel tuo sistema può aiutare a garantire la compatibilità con una gamma più ampia di provider di identità e la crescita dell'ecosistema futuro.

Quando è necessario il SAML?

Il SAML è spesso utilizzato in scenari di Enterprise SSO. Ad esempio, considera questa situazione:

Il tuo team di vendite contatta gli sviluppatori del prodotto e dice: "Abbiamo un grande cliente, e richiedono il login SAML. Dobbiamo supportare questa tecnologia."

Per gli ingegneri che non sono familiari con SAML o IAM (Identity and Access Management), il loro primo passo sarebbe probabilmente cercare "SAML" o "login SAML".

In definitiva, l'obiettivo è integrare l'Enterprise SSO nel tuo prodotto, rendendolo "pronto per l'impresa" per soddisfare le esigenze di clienti più importanti che si affidano a tecnologie come SAML per l'autenticazione sicura.

Come funziona il SAML

Ecco una suddivisione semplificata dei due tipi:

Flusso iniziato da SP

  1. L'utente tenta di accedere alla risorsa dell'SP.
  2. L'SP reindirizza l'utente all'IdP con una richiesta di autenticazione SAML.
  3. L'utente effettua il login presso l'IdP ed è autenticato.
  4. L'IdP genera un'asserzione SAML con l'identità dell'utente e, possibilmente, dati di autorizzazione.
  5. L'IdP invia l'asserzione SAML indietro all'SP, tipicamente tramite il browser dell'utente.
  6. L'SP elabora l'asserzione, la convalida e concede/nega l'accesso all'utente.

Flusso iniziato da IdP

  1. L'utente è già loggato all'IdP e seleziona un servizio/risorsa dal portale dell'IdP.
  2. L'IdP genera un'asserzione SAML basata sulla sessione corrente dell'utente, contenente identità e attributi.
  3. L'IdP invia l'asserzione direttamente all'SP, senza la richiesta precedente dell'SP.
  4. L'SP elabora l'asserzione, ne convalida l'integrità e estrae l'identità e gli attributi dell'utente.
  5. L'SP concede o nega l'accesso in base all'asserzione.

Per vedere come funziona SAML da una prospettiva tecnica, controlla Come funziona SAML

La differenza tra SAML e SSO

Le definizioni di SAML e SSO sono spesso confuse, ma ecco la semplice suddivisione:

  1. L'SSO è un processo di autenticazione utilizzato da app e software, che consente agli utenti di effettuare un unico accesso e accedere a più servizi.
  2. Il SAML è un protocollo tecnico utilizzato principalmente nella gestione delle identità aziendali per scambiare in modo sicuro i dati di autenticazione.

Immagina questo: entri nel tuo ufficio al mattino, e invece di dover accedere separatamente a ciascuna applicazione, come la tua email, calendario, strumenti di gestione dei progetti, semplicemente effettui un unico accesso e hai accesso a tutto. Questa esperienza senza soluzione di continuità è l'SSO (Single Sign-On). È come avere una chiave universale che apre tutte le porte agli strumenti del tuo lavoro.

Ma come funziona l'SSO?

Qui entra in gioco il SAML (Security Assertion Markup Language). Pensa al SAML come a un messaggero di fiducia tra il tuo sistema di login (chiamato Identity Provider, o IdP) e le app che vuoi utilizzare (chiamate Service Providers, o SP). Quando effettui il login tramite SSO, il SAML invia in modo sicuro un "prova" della tua identità dall'IdP all'app, confermando che sei chi dici di essere.

Quindi, in breve:

  1. L'SSO è l'esperienza utente: un solo login per accedere a più app.
  2. Il SAML è il protocollo dietro le quinte che rende possibile quell'esperienza senza soluzione di continuità gestendo in modo sicuro la verifica dell'identità.

Mentre l'SSO migliora la comodità, il SAML garantisce che tutto rimanga sicuro e connesso, permettendoti di accedere a tutto senza ulteriori pensieri.

L'Enterprise SSO utilizza altri protocolli?

Sì, oltre al SAML, l'OIDC è un altro protocollo comunemente utilizzato negli scenari di Enterprise SSO. Ad esempio, nel connettore aziendale di Logto, supporta sia Microsoft Entra (OIDC) che Microsoft Entra (SAML).

standard connector.png

Dovrei utilizzare l'SAML SSO?

Se stai vendendo a clienti aziendali, è importante considerare di supportare il SAML il prima possibile. Ma non concentrarti solo sul supportare il protocollo SAML: pensa all'intero flusso di autenticazione dell'Enterprise SSO. Ecco alcuni scenari chiave da considerare:

  1. Permetti ai tuoi clienti di auto-onboardare e configurare l'Enterprise SSO.
  2. Assicurati che i dipendenti possano unirsi automaticamente alle organizzazioni corrette in applicazioni multi-tenant (questo può essere fatto con il provisioning Just-in-Time e SCIM).
  3. Implementa un flusso di login end-to-end compatibile con il tuo processo di login rivolto ai consumatori.

Implementare SAML e Enterprise SSO con Logto

Logto fornisce flussi di Enterprise SSO end-to-end e supporta molteplici famosi connettori SAML. Può essere integrato in tanti scenari comuni di cui avrai bisogno. Esplora tutte le funzionalità di Logto, da Logto Cloud a Logto OSS, sul sito web di Logto.