Con Single Sign-On si fa riferimento ad una procedura che si interpone fra i meccanismi di autenticazione delle applicazioni e l’utenza.

L’utente fa il primo, e tendenzialmente unico, accesso al sistema con una propria username e password con la complessità e i modi definiti dalle politiche aziendali. I successivi accessi ad ulteriori procedure: posta, ERP, sistemi legacy, ecc, sono gestiti in modo automatico e trasparente all’utente, dal SSO.

Operare scelte che riducono le fonti di autorizzazione e, di conseguenza, il numero di utenti da gestire è molto utile, come utile è formare l'utente e renderlo conscio dei processi di identificazione, che non sono necessariamente uno strumento di controllo, ma una esigenza di sicurezza.

L’accounting consente di tracciare l’utilizzo delle risorse. Chi ha fatto cosa. Importante anche per legge per conoscere,  ad esempio gli accessi dell’amministratore di sistema (L. 133/200 del 27 Novembre 2008). I requisiti di legge sono i minimi richiesti, ma molto utile è anche correlare dati per scoprire se un account ha fatto accessi in orari o da luoghi ‘strani’ o la verifica di azioni sospette come un accesso da una rete pubblica mentre l’utente risulta, dalla timbratura cartellini, ancora presente in azienda.

L’autorizzazione, seppur integrata con l’autenticazione, è un processo molto differente. Una volta riconosciuto l’utente, bisogna accertarsi che questo possa accedere alle sole risorse che gli competono. Le informazioni necessarie per questo processo sono strettamente legate all’applicativo e alle prestazioni dello stesso: ogni volta che si desidera accedere ad un dato occorre verificare l’autorizzazione dell’utente.

L’autenticazione ha lo scopo di riconoscere l’utente. Normalmente si fa ricorso ad una username, in genere pubblica, e di una password, il segreto.

Per garantire la sicurezza la password deve rispondere a politiche di complessità di cambio periodico e ovviamente di segretezza. Purtroppo il proliferare di password e la scarsa formazione dell’utente porta a scrivere il segreto su post-it incollati sotto la tastiera, se non sopra il video,  o la condivisione della password con colleghi, facendo crollare i livelli di sicurezza.

I processi di Autenticazione, Autorizzazione e Accounting sono fondamentali e vitali per la sicurezza aziendale. Con queste attività, normalmente note come AAA, si tutela l’accesso ai dati aziendali, l’accesso fisico ai locali e l’uso di risorse in genere.

L’azione di login di un utente è solo una piccola parte di un processo più ampio e complesso.

La molteplicità delle risorse utilizzate nelle attività aziendale complicano la vita all’IT manager, troppo spesso unico responsabile della sicurezza di accesso alle risorse.