Cos'è Single Sign-On?
Il Single Sign-On (SSO) è uno schema di autenticazione che consente a un utente di autenticarsi una volta con un provider di identità centrale e poi accedere a più applicazioni e servizi indipendenti senza che gli vengano richieste nuovamente le credenziali.
Noto anche come: SSO, single sign on
SSO funziona centralizzando l'autenticazione presso un provider di identità (IdP) come Okta, Azure AD o Google Workspace. Quando un utente tenta di accedere a un'applicazione (il service provider), l'applicazione lo reindirizza all'IdP. Se l'utente si è già autenticato presso l'IdP, viene inviato all'applicazione un token o un'asserzione che conferma la sua identità, e l'accesso viene concesso senza inserire una password. Protocolli come SAML 2.0, OpenID Connect e OAuth 2.0 standardizzano questo scambio.
Dal punto di vista della sicurezza, SSO è un'arma a doppio taglio. Sul lato positivo, riduce l'affaticamento da password e il numero di credenziali che gli utenti devono gestire, diminuendo la probabilità di riutilizzo delle password. Centralizza l'applicazione delle policy di autenticazione — MFA, complessità delle password e gestione delle sessioni vengono configurati una volta presso l'IdP. E semplifica il deprovisioning: disabilitare un utente presso l'IdP revoca immediatamente l'accesso a tutte le applicazioni collegate.
Il rischio di SSO è la concentrazione: se l'IdP viene compromesso, l'attaccante ottiene l'accesso a tutto. Questo rende l'IdP un asset critico che richiede le protezioni più robuste — MFA hardware per gli amministratori, monitoraggio solido e risposta agli incidenti rigorosa. Il furto di token di sessione è un'altra preoccupazione, poiché un cookie di sessione SSO rubato può concedere accesso a più servizi contemporaneamente.
Come Vaulted usa Single Sign-On
Vaulted opera intenzionalmente senza account utente o integrazione SSO. Si tratta di una scelta di design deliberata per uno strumento di condivisione sicura dei segreti zero-knowledge: nessun account significa nessun database di credenziali da violare, nessun token di sessione da rubare e nessuna dipendenza da un provider di identità. Chiunque abbia il link può accedere al segreto cifrato, e l'accesso è controllato tramite il link stesso, la protezione opzionale con passphrase, i limiti di visualizzazione e la scadenza — non tramite autenticazione basata sull'identità.