Che cosa sono Single Sign-On (SSO) e Social Login: una guida completa

Ultimo aggiornamento: 07/11/2025
Autore: Isaac
  • SSO consente l'accesso Single Sign-On a più applicazioni ed è rafforzato da MFA e policy basate sul rischio.
  • Protocolli chiave: SAML, OAuth 2.0, OpenID Connect, Kerberos e JWT; LDAP funge da directory.
  • Microsoft Entra ID offre SSO federato, basato su password, collegato o disabilitato, a seconda dell'app.
  • SSO non è Active Directory: AD gestisce le identità; SSO orchestra l'accesso tra i servizi.

quindi accedi

Il Single Sign-On, meglio noto come SSO, è diventato una componente essenziale dell'esperienza digitale moderna. Consente a una persona di identificarsi una sola volta e, da quel momento in poi, di accedere a più applicazioni senza dover ripetere le credenziali. La praticità è enorme e, se implementata correttamente, alza anche l'asticella della sicurezza..

Tuttavia, non è tutto rose e fiori: se un account SSO finisce nelle mani sbagliate, l'intruso potrebbe ottenere l'accesso a un gran numero di servizi. Per questo motivo, l'SSO richiede password complesse, buone pratiche di sicurezza e, soprattutto, l'autenticazione a più fattori per chiudere ulteriori porte agli aggressori..

Che cos'è l'SSO e perché è importante?

SSO è un metodo di autenticazione mediante il quale un utente effettua l'accesso una sola volta e ottiene l'accesso a più sistemi correlati ma indipendenti. L'idea è semplice: meno password da ricordare, meno difficoltà e un'esperienza più fluida su app e siti web.Un esempio tipico è l'ecosistema di Googledove un login può aprire l'accesso a servizi come Gmail o YouTube senza dover ripetere le credenziali.

Questo approccio si adatta ai framework di gestione delle identità e degli accessi ed è molto spesso integrato con modelli di identità federate. Il risultato è un'esperienza unificata che, se progettata in modo intelligente, migliora la produttività senza compromettere la sicurezza..

Come funziona: SP, IdP e il flusso di base

L'SSO coinvolge due attori principali: il fornitore del servizio, ovvero l'applicazione o il sito a cui vogliamo accedere, e il fornitore di identità, che autentica l'utente. La fiducia tra le due parti, orchestrata attraverso standard e token, è al centro del modello.

  1. La persona accede a un'applicazione o a un sito che funge da fornitore di servizi.
  2. Tale provider invia una richiesta di autenticazione o un token al provider di identità.
  3. Il sistema di identità risponde con le informazioni necessarie per confermare l'autenticazione SSO.
  4. Se applicabile, all'utente viene chiesto di identificarsi e di compilare i campi richiesti.
  5. Una volta convalidate le credenziali, l'accesso viene concesso e la sessione viene estesa ad altre applicazioni connesse senza dover riavviare il sistema.

Vale la pena notare che i servizi SSO solitamente non memorizzano l'identità completa; In generale, confrontano le credenziali con un servizio di gestione delle identità sottostante ed emettono o verificano i token..

Rischi in materia di SSL e come mitigarli

Il rischio principale è l'effetto domino: con credenziali compromesse, un aggressore potrebbe accedere a più applicazioni contemporaneamente. La prima linea di difesa è rappresentata da password lunghe e complesse, ben protette ovunque siano archiviate..

A questo si aggiunge la raccomandazione quasi unanime del settore: 2FA o MFA. Aggiungi un fattore aggiuntivo, come un codice sul tuo cellulare, un lettore di impronte digitali USB o un documento di identità, riduce drasticamente l'esposizione a credenziali rubate.

SSO e autenticazione a più fattori: alleati naturali

Registrazione all'accesso SSO

L'SSO semplifica l'accesso, mentre l'autenticazione a più fattori aggiunge livelli di verifica che bloccano l'accesso non autorizzato. Combinandoli si ottiene una postura di sicurezza molto più forte con un impatto minimo sull'esperienza dell'utente.

Identità federata, SSO e stesso accesso

Gestione delle identità federate

La federazione delle identità consente alle applicazioni di diversi provider di condividere e convalidare le identità tramite un framework comune. Ciò consente a qualcuno di accedere a un'applicazione e poi ad altre senza dover effettuare nuovamente l'accesso quando esiste un rapporto di trust tra i domini..

  Truffa videochiamata WhatsApp: come funziona e come proteggersi

SSO contro federazione di identità

La federazione è un insieme più ampio di strumenti per la gestione e l'autenticazione delle identità tra domini e provider. SSO è una funzionalità specifica all'interno di tale framework, che può essere limitata ai servizi di un singolo fornitore o sfruttata da più fornitori..

Stesso accesso o stesse credenziali

Il concetto di "stesso accesso" si riferisce all'utilizzo delle stesse credenziali sincronizzate su dispositivi diversi, come se si trattasse di un gestore di password che riempie i punti di accesso. Non è la stessa cosa dell'SSO perché richiede l'accesso a ciascuna applicazione, anche se con credenziali identiche..

SSO rispetto allo stesso accesso

In SSO, un'autenticazione iniziale è sufficiente per passare da un servizio all'altro; nello stesso accesso, l'utente ripete l'accesso ogni volta, utilizzando le stesse chiavi. In pratica, l'SSO riduce le richieste e centralizza la verifica; lo stesso accesso standardizza le credenziali ma non elimina i nuovi accessi.

Protocolli e tecnologie chiave

SAML

Questo linguaggio basato su XML descrive come impacchettare e trasportare asserzioni di autenticazione e autorizzazione tra un fornitore di identità e un fornitore di servizi. SAML è diffuso negli ambienti aziendali ed è molto utile per le applicazioni Internet che utilizzano lo stesso standard..

SAML da solo non garantisce l'integrità del messaggio; si basa su meccanismi complementari come le firme digitali per garantire che il contenuto non sia stato modificato. Da qui l'importanza di implementare le firme e di una rigorosa convalida delle asserzioni.

Kerberos

Nato al MIT nell'ambito del Progetto Athena, Kerberos definisce un'architettura completa di autenticazione e autorizzazione basata sulla crittografia simmetrica. È iniziato con la crittografia DES e oggi adotta AES, offrendo chiavi più lunghe e round che rafforzano la sicurezza.

La sua natura di chiave simmetrica richiede una terza parte affidabile per gestire chiavi e ticket, rendendolo perfetto per reti aziendali, LAN e VPN. È meno utilizzato su Internet aperto e negli ambienti Microsoft è l'opzione predefinita rispetto a NTLM..

OAuth2.0

Si tratta di un framework di autorizzazione, non di un framework di autenticazione, progettato per consentire a un'applicazione client di accedere a risorse protette per conto dell'utente. Il processo coinvolge il client, un server di autorizzazione che emette i token e il server delle risorse che convalida tali token..

Le autorizzazioni possono essere modificate in base al contesto o al tipo di dispositivo, variando ambito e privilegi. Ad esempio, una smart TV di solito non necessita dello stesso livello di accesso di un computer portatile..

OpenID Connect

OIDC aggiunge la gestione delle identità tramite OAuth, utilizzando i servizi JSON e REST per essere nativo su Internet. Utilizza la crittografia a chiave pubblica e i token web JSON, semplificando l'integrazione e la verifica su larga scala..

J.W.T.

I token Web JSON sono compatti, firmati e adatti all'invio in intestazioni e URL. Forniscono un token ID dopo l'autenticazione e token di accesso per le risorse, con convalida basata su certificati X.509..

Per impostazione predefinita, i JWT non sono crittografati, quindi devono viaggiare su connessioni sicure e non devono includere dati sensibili. Questo modello si adatta alle architetture REST in cui lo stato viaggia con ogni richiesta.

LDAP

Il protocollo di accesso alle directory leggero è stato creato per individuare le risorse su una rete locale e memorizzare gli attributi di utenti e gruppi. Non è adatto all'uso generale di Internet e la sua autenticazione predefinita è debole senza protezione TLS..

Consente di ampliare i dati dei dipendenti e dei beni, ma non gestisce in modo fluido le autorizzazioni molto dettagliate. Oggi è combinato con altri livelli per coprire esigenze di controllo degli accessi più precise.

  Suggerimenti chiave per la sicurezza delle macro di Excel

Autenticazione con smart card e passkey

I sistemi di smart card e le chiavi di accesso si basano sulla crittografia a chiave pubblica, in cui una chiave privata sicura sul dispositivo firma le transazioni e una chiave pubblica viene condivisa per la convalida. I dispositivi moderni si integrano TPMSecure Enclave o equivalenti come Android Knox per la salvaguardia delle chiavi.

Se un dispositivo viene smarrito e un aggressore conosce la password del proprietario, la crittografia da sola non impedirà l'utilizzo del dispositivo. Le smart card consentono di trasferire una coppia di chiavi riutilizzabili tra dispositivi tramite un lettore o la tecnologia NFC. Nel mondo delle passkey esistono già piattaforme che offrono SDK e componenti per integrarle con SSO in tempi molto rapidi..

SSO cloud e on-premise con Microsoft Sign In ID

In Microsoft Entra ID, l'opzione SSO varia a seconda della modalità di autenticazione dell'applicazione. L'ideale sarebbe pianificare la strategia prima di creare o incorporare le applicazioni e utilizzare il portale delle applicazioni per una gestione più semplice..

Federato

Quando l'SSO è configurato tra diversi provider di identità, lo chiamiamo federazione. È l'opzione più completa, basata su protocolli come SAML 2.0, WS Federation o OpenID ConnectIn questo schema, Microsoft Entra autentica l'utente con il proprio account e l'applicazione considera attendibile tale risultato.

Ci sono situazioni in cui l'opzione SSO non viene visualizzata in un'applicazione aziendale: se l'app è stata registrata tramite la sezione di registrazione dell'applicazione, l'autenticazione è configurata con OpenID Connect e l'opzione potrebbe non essere visualizzata nella navigazione dell'applicazione aziendale. In tal caso, OIDC si affida a OAuth 2.0 per autorizzare senza esporre le credenzialiInoltre, non sarà disponibile quando l'app risiede presso un altro tenant o quando l'account non dispone di autorizzazioni sufficienti come amministratore dell'applicazione cloud, amministratore dell'applicazione o proprietario dell'entità del servizio.

Basato su password

Le applicazioni locali possono optare per l'SSO basato su password, soprattutto quando si utilizza Application Proxy. Dopo il primo accesso con nome utente e password, il sistema riproduce in modo sicuro le credenziali tramite un'estensione del browser o un'app mobileQuesta funzionalità è utile quando si desidera sfruttare l'accesso esistente nell'applicazione e consentire a un amministratore di gestire le password senza che l'utente le conosca.

Collegato

L'accesso collegato contribuisce a garantire un'esperienza coerente durante una migrazione. Consente di pubblicare collegamenti a diverse applicazioni sul portale, sebbene non offra un vero SSO tramite Microsoft LoginIn questo caso, l'MFA e l'accesso condizionale non possono essere applicati all'app collegata e nell'applicazione di destinazione deve esistere un account, fornito automaticamente o manualmente.

Disabilitato

Quando l'SSO è disabilitato, gli utenti potrebbero dover effettuare l'autenticazione due volte, prima su Microsoft Sign In e poi sull'applicazione. Questa è un'opzione valida se l'app non deve ancora essere integrata, è in fase di test o se si desidera forzare l'autenticazione su un'applicazione locale che non la richiede.Nota: se l'app utilizza SAML avviato dal provider e l'SSO è disabilitato, gli utenti potrebbero comunque riuscire ad accedere al di fuori del portale dell'applicazione; per impedirlo, è necessario disabilitare la funzionalità di accesso dell'utente.

a applicazioni Nel cloud, si consigliano protocolli di federazione. Negli ambienti locali, Application Proxy facilita l'accesso remoto e la pubblicazione sicura. La scelta del metodo dipenderà da dove è ospitata l'app, da come instrada il traffico e dai protocolli supportati..

  Sicurezza nell'utilizzo dell'IA in locale: una guida pratica e i rischi nascosti

Esperienza utente e portale applicativo

La maggior parte degli utenti desidera effettuare l'accesso e iniziare a lavorare senza preoccuparsi dei protocolli. Il portale delle applicazioni, denominato My Applications, centralizza l'accesso e riduce la necessità di immettere continuamente password..

Avviato da IdP vs. avviato da SP

In un flusso avviato dal provider di identità, la sessione inizia quando l'IdP invia un'asserzione al provider di servizi. Se avviato dall'SP, l'utente accede prima all'app, che lo reindirizza all'IdP per l'autenticazione e il ritorno in modo sicuro..

Previdenza sociale: vantaggi e precauzioni

Piattaforme come Google, Facebook LinkedIn ti consente di utilizzare le tue credenziali per accedere a servizi di terze parti. La comodità è innegabile, ma una vulnerabilità nella piattaforma dei social media potrebbe avere un effetto domino su altri account collegati; ad esempio, vedi come Segnala il tuo accesso a Gmail.

SSO aziendale e SSO web

Nelle grandi organizzazioni, l'Enterprise SSO o eSSO opera entro i confini della rete aziendale. Puoi affidarti alla crittografia simmetrica, preferire SAML e combinare più fattori di autenticazione per dispositivi e accessi più sicuri.Con l'avvento delle applicazioni SaaS, le aziende stanno decidendo se adottare framework più orientati a Internet come OAuth o richiedere che queste app siano integrate nella loro struttura aziendale; molte accettano entrambi gli approcci.

Per le applicazioni web pubbliche, la combinazione OAuth più OpenID Connect è solitamente la scelta più naturale. Si tratta di standard ampiamente accettati, progettati per essere scalabili in più domini e allineati alle aspettative di sviluppo moderne..

Zero Trust, politiche adattive e best practice

I sistemi SSO robusti incorporano controlli contestuali e policy basate sul rischio: posizione, dispositivo, livello di sicurezza della rete o abitudini di utilizzo. L'applicazione dell'MFA basata sul rischio e l'adozione di decisioni adattive aiutano ad allineare l'SSO con l'approccio Zero Trust.

Per quanto riguarda la protezione dei dati, le comunicazioni devono essere crittografate con algoritmi potenti come AES 256 o RSA 2048, oltre a token di firma e asserzioni. La formazione degli utenti, la definizione di policy chiare e gli audit periodici completano il triangolo della sicurezza operativa..

SSO e Active Directory: differenze principali

SSO è una proprietà di controllo degli accessi che consente a un utente di autenticarsi una sola volta e di accedere a più sistemi correlati senza dover reinserire le credenziali. Active Directory, da parte sua, è un servizio di directory che centralizza informazioni, policy e sicurezza in un'infrastruttura Windows.

AD viene interrogato e gestito tramite LDAP e viene utilizzato per organizzare utenti, computer, gruppi e autorizzazioni su larga scala, dalle piccole reti alle grandi distribuzioni con più domini. Mentre AD memorizza e gestisce l'identità, SSO orchestra l'accesso senza interruzioni tra le applicazioni sfruttando tale identità..

L'SSO offre praticità e una gestione più pulita degli accessi, ma richiede la protezione della chiave principale con MFA e controlli basati sul rischio. Protocolli come SAML, OAuth e OpenID Connect, insieme a tecnologie come Kerberos, JWT, LDAP e smart card, consentono di realizzare soluzioni che funzionano a livello locale, nel cloud e su larga scala senza compromettere la sicurezza..

Utilizza il tuo Android come chiave di sicurezza per accedere a Windows
Articolo correlato:
Trasforma il tuo Android in una chiave di sicurezza per accedere a Windows