Che cos'è l'SSO Web e come funziona?
Pubblicato: 2019-08-12L'utente medio aziendale, secondo Security Magazine, gestisce 191 password per uso professionale e decine di altre per uso privato. Un'organizzazione con 50.000 dipendenti può avere fino a 10 milioni di password utilizzate dai propri dipendenti. Con così tante password, le violazioni della sicurezza che proliferano dagli attacchi informatici derivano principalmente da vulnerabilità causate dalle password.
I rischi derivano da password utilizzate troppo semplici, facili da indovinare, utilizzate per più di un sistema e non modificate con sufficiente frequenza. Le migliori pratiche per la sicurezza includono il non utilizzare la stessa password su più sistemi. La maggior parte dei professionisti conosce questa regola. Tuttavia, il 61% degli utenti aziendali medi ammette di utilizzare la stessa password ovunque.
Un altro problema di questa password gonfia è che i dipendenti sprecano un'enorme quantità di tempo a digitare le password.
Una soluzione per il problema della gestione delle password è eliminare la necessità di usarne così tante. Invece di utilizzare un gruppo di password per accedere a diversi servizi online, è possibile utilizzare un metodo di autenticazione centralizzato che deriva da un sistema "Web-based single sign-on" (Web SSO).
Che cos'è l'SSO Web?
Un sistema Web SSO consente a un utente di accedere utilizzando il servizio Web SSO con un set di credenziali per l'autenticazione, che sono un nome utente e una password univoci. Quindi, questa autenticazione consente loro di accedere a molte altre applicazioni basate sul Web e siti Web protetti da password.
I servizi online e i siti Web che consentono l'autenticazione SSO si affidano a un provider di terze parti affidabile per verificare l'identificazione degli utenti.
Come funziona il Single Sign-On Web?
Un sistema Web Single Sign-On si basa su una relazione di fiducia tra i sistemi online e i siti Web.
Di seguito sono riportati i passaggi eseguiti dai sistemi Web SSO per l'autenticazione quando un utente accede a un servizio online o a un sito Web protetto da password:
- Verifica dell'accesso : il primo passaggio consiste nel verificare se l'utente ha già effettuato l'accesso al sistema di autenticazione. Se l'utente ha effettuato l'accesso, l'accesso viene concesso immediatamente. In caso contrario, l'utente viene indirizzato al sistema di autenticazione per l'accesso.
- Accesso utente : per ogni sessione, l'utente deve prima accedere al sistema di autenticazione con un nome utente e una password univoci. Il sistema di autenticazione utilizza un token per la sessione che rimane attivo fino al logout dell'utente.
- Conferma dell'autenticazione : dopo il processo di autenticazione, le informazioni di autenticazione vengono trasmesse al servizio Web o al sito Web che richiede la verifica dell'utente.
SSO Web e protezione delle password
Web SSO differisce dall'avere un deposito protetto di password diverse per vari servizi online. Il vaulting delle password protegge più password con un unico nome utente e password. Tuttavia, ogni volta che un utente accede a un nuovo servizio online, è necessario un accesso al servizio. Anche se i campi del modulo vengono compilati automaticamente dall'insieme di credenziali delle password, è comunque necessaria una procedura di accesso.
Con Web SSO, una volta che un utente è stato autenticato, non è necessario accedere a nessun servizio Web che utilizza quel sistema di autenticazione. Questo è chiamato processo di autenticazione "accedi una volta/usa tutto".
Creazione di una singola soluzione di accesso da zero
Per alcuni utilizzi è possibile creare da zero una semplice soluzione di login unico. Un esempio del codice sorgente che utilizza Java è fornito su codeburst.io per coloro che sono inclini a provare questo metodo. Funziona utilizzando i token. Un token è un insieme di caratteri casuali e unici creati per un uso una tantum che sono difficili da indovinare.
L'accesso di un utente al sistema Web SSO crea una nuova sessione e un token di autenticazione globale. Questo token viene fornito all'utente. Quando questo utente accede a un servizio Web che richiede un accesso, il servizio Web ottiene una copia del token globale dall'utente e quindi verifica con il server SSO per verificare se l'utente è autenticato.
Se l'utente ha già effettuato l'accesso al sistema SSO, il token viene verificato come autentico dal server SSO, che restituisce un altro token al servizio Web con le informazioni dell'utente. Questo è chiamato token locale. Lo scambio di token avviene automaticamente in background senza il coinvolgimento dell'utente.
Soluzioni di accesso singolo per siti Web popolari
Per usi più avanzati, sono disponibili molte solide soluzioni di accesso singolo. L'autenticazione tramite le soluzioni di accesso singolo del sito Web include questi popolari sistemi SSO basati sul Web recensiti da Capterra:
- LastPass
- ADSelfService Plus
- Cloud di accesso di nuova generazione
- Single Sign-On SAP
- JumpCloud DaaS
- Un segno
- Bluink Enterprise
- SecureAuth
- Profilo SSO del browser Web SAML
- OpenID
Vantaggi di Web SSO
Il Single Sign-On basato sul Web è utile perché è conveniente. È più facile, veloce e le richieste di aiuto per la password sono ridotte. Gli utenti non devono ricordare più password e non devono più accedere individualmente a ogni servizio basato sul Web.
Un esempio popolare di SSO web è disponibile per qualsiasi titolare di account Google Gmail. Con un unico accesso a Gmail, quegli utenti ottengono l'accesso a tutti i prodotti Google, che vengono messi a disposizione dell'utente senza dover eseguire nuovamente l'accesso fino a quando non si disconnette dal proprio account Gmail. L'apertura di Gmail consente a questi utenti di avere accesso immediato a Google Drive, Google Foto, Google Apps e alla loro versione personalizzata di YouTube.
Con il web SSO si recupera il tempo che altrimenti si perderebbe per accedere ai vari servizi. I reclami sui problemi di password sono praticamente eliminati per i servizi web. Il processo di connessione ai servizi online funziona in modo efficiente su tutti i dispositivi, incluso quello mobile, migliorando la produttività.
Gestione dell'accesso all'identità a livello aziendale
L'SSO basato sul Web può essere utilizzato da una grande organizzazione per l'autenticazione. Il web SSO consente un single sign-on per l'utente di accedere ai dati aziendali privati e ai sistemi in rete, nonché utilizzare le risorse online fornite da altre entità che accettano gli stessi protocolli di autenticazione.
Integrazione SSO con i servizi Web-Base più diffusi
I servizi di registrazione/accesso singoli esterni offrono l'integrazione con molte popolari applicazioni basate sul Web come Dropbox, Microsoft Azure Active Directory, New Relic, Salesforce, SharePoint, Slack, Zendesk e molte altre.
Facebook e Google offrono l'integrazione SSO con migliaia di sistemi basati sul web. Ogni volta che un utente desidera iscriversi a un nuovo servizio con questa funzionalità di integrazione SSO, la schermata di registrazione/accesso offrirà un processo di accesso utilizzando le informazioni di Facebook SSO, Google SSO o un non SSO opzione utilizzando l'account e-mail di un utente come nome utente e una password scelta dall'utente.
Integrazione Web SSO con Servizi Cloud
I servizi cloud hanno i loro metodi di gestione dell'accesso degli utenti cloud e possono anche accettare l'autenticazione da sistemi di terze parti. Ad esempio, Amazon Web Services (AWS), che è il più grande fornitore di servizi cloud al mondo, offre il suo sistema di gestione dell'accesso alle identità all'interno di AWS e consente l'autenticazione dell'utente da parte di sistemi di terze parti.
La connessione effettuata con i sistemi di terze parti viene realizzata tramite il connettore AWS IAM Authenticator. Questa funzione consente agli amministratori di sistema di scegliere tra molti servizi che forniscono SSO Web, come la connessione effettuata con Amazon EKS a Kubernetes o Github open source.
Rischi per la sicurezza del Single Sign-On basato sul Web
Esistono strumenti per migliorare la sicurezza IAM che aiutano le aziende a gestire il rischio. Web SSO riduce alcuni rischi aumentando altri rischi.
Ad esempio, gli attacchi di phishing sono meno efficaci perché quando un utente viene ingannato da una copia falsa di un sito Web, non accede fornendo un nome utente e una password. Se il sito Web è falso, non è considerato attendibile dal server SSO e non ottiene un token di sessione locale se tenta di inviare un token utente globale per richiederlo. In questo caso, l'accesso dal sito falso fallirà automaticamente, il che protegge l'utente dall'essere ingannato dal tentativo.
Il rischio maggiore potrebbe derivare dall'avere un unico nome utente e password per il sistema di autenticazione SSO. Questi dati riservati devono essere protetti molto bene perché se vengono rubati possono essere utilizzati per accedere a molti servizi online.
Strategie di sicurezza basate su una politica zero-trust, come l'autenticazione a più fattori, il ripristino automatico delle password, la richiesta di password complesse diverse per ogni ripristino delle password e i controlli di accesso ai dispositivi sono utili per aumentare la sicurezza del sistema SSO
Conclusione
Web SSO è molto conveniente e ampiamente utilizzato. Tuttavia, tutti i sistemi Web SSO non vengono creati allo stesso modo. L'attenta selezione del provider di autenticazione SSO è la prima regola per utilizzare questo tipo di autenticazione. Qualsiasi violazione dei dati di questa terza parte potrebbe esporre credenziali di accesso che possono accedere a molti sistemi online potenzialmente causando gravi danni.
I CTO e gli amministratori IT sono incoraggiati a condurre revisioni periodiche della sicurezza IT delle loro procedure di autenticazione SSO e a seguire una strategia zero-trust. Una revisione completa della sicurezza include una valutazione approfondita della sicurezza di eventuali terze parti che forniscono servizi di autenticazione.