Con l’esplosione delle applicazioni web, le organizzazioni hanno cercato soluzioni Single Sign-on (SSO) per consentire un’integrazione più efficiente con i loro servizi di directory principali. Qui, esploreremo la differenza tra SAML SSO e Just-in-Time (JIT) provisioning, due concetti che influenzano il modo in cui gli utenti accedono alle applicazioni web.
Che cos’è SAML SSO?
Il protocollo SAML (Security Assertion Markup Language) è stato creato nei primi anni 2000 per consentire l’autenticazione sicura tra provider di identità e fornitori di servizi (ad esempio applicazioni Web). SAML è sicuro perché passa certificati basati su XML che sono unici per ogni applicazione piuttosto che passare le credenziali dell’utente.
Utilizzando SAML, le organizzazioni hanno creato soluzioni SSO che semplificavano il processo di accesso. Invece di creare nuovi set di credenziali per ogni applicazione Web utilizzata, gli utenti potrebbero sfruttare le credenziali di Active Directory/core directory per accedere sia alle loro macchine che alle loro applicazioni Web tramite un plug-in del browser o un portale Web.
SAML SSO si verifica tramite le sign – on avviate dal fornitore di servizi o dal fornitore di identità. Negli accessi avviati dal fornitore di servizi, gli utenti visitano direttamente il sito Web dell’applicazione e vengono reindirizzati al loro fornitore di identità da un attributo come il nome di dominio o il nome utente. Vengono quindi registrati automaticamente nell’applicazione tramite il loro provider di identità. Nelle iscrizioni avviate dal provider di identità, i dipendenti fanno clic sul portale Web SSO per accedere all’applicazione. In entrambi i casi, il fornitore di servizi non riceve o tiene traccia delle proprie credenziali.
I provider SSO offrono spesso connettori pre-costruiti e generici per offrire alle organizzazioni flessibilità nella connessione ad applicazioni sia popolari che proprietarie. I connettori predefiniti funzionano per applicazioni popolari come Slack, Salesforce, GitHub e altre migliaia, mentre i connettori generici consentono agli amministratori di compilare i campi necessari per connettersi ad applicazioni che non sono così accessibili. Queste soluzioni consentono di risparmiare tempo non solo agli utenti finali (che spendono 36 minuti al mese per le attività relative alle password, secondo LastPass), ma anche agli amministratori IT che devono gestire in modo sicuro il provisioning e le password degli utenti.
Che cos’è il provisioning just-in-Time?
Il provisioning just-in-Time utilizza anche il protocollo SAML e si riferisce a un metodo di creazione dell’account dell’applicazione.
Con JIT, gli amministratori IT non hanno più bisogno di creare account manualmente per ogni utente in ogni applicazione che utilizzano. Invece, gli account utente vengono creati la prima volta che gli utenti tentano di accedere alle applicazioni, purché dispongano di autorizzazioni per loro.
Ad esempio, gli amministratori IT possono concedere automaticamente l’accesso a Salesforce a tutti gli utenti del reparto vendite e gli account di tali utenti vengono creati la prima volta che tentano di accedere a Salesforce tramite il loro portale SSO o da un accesso avviato dal provider di servizi.
È importante notare che il fornitore di servizi (applicazione Web) deve supportare JIT affinché questa implementazione funzioni.
Confronto tra SAML SSO e JIT Provisioning
Sia SAML SSO che JIT provisioning svolgono un ruolo nel fornire un’esperienza di accesso alle applicazioni senza interruzioni per gli utenti e possono essere utilizzati in combinazione.
L’implementazione SSO dell’applicazione Web ha un effetto notevole sull’esperienza utente perché gli utenti devono inserire le proprie credenziali solo una volta per sessione per accedere a tutte le applicazioni di cui hanno bisogno per svolgere il lavoro durante il giorno.
Sebbene l’esperienza utente non cambi drasticamente quando un’organizzazione utilizza il provisioning JIT, il processo rende l’onboarding più efficiente e le operazioni IT più snelle. JIT è uno strumento dietro le quinte per acquistare amministratori IT più tempo da dedicare ad altre attività critiche.
Sia SAML SSO e JIT Provisioning anche aumentare la sicurezza organizzativa e prevenire lo sprawl identità perché assicurano agli utenti di avere una sola identità sicura per le loro macchine, altre risorse gestite da directory, e le applicazioni-piuttosto che ripetute o password simili tra i servizi — e diminuire le attività di provisioning manuale amministratori devono fare.
Per saperne di più
Se sei un amministratore IT che esplora la soluzione SSO più adatta al tuo ambiente, abbiamo compilato una “Guida all’acquisto SSO” per informare la tua ricerca.