Single Sign–on

Si tratta di un meccanismo che da un lato semplifica la gestione delle identità e credenziali all'interno di un'azienda, mentre dall'altro diminuisce il numero di identità che un utente deve gestire.

identità: si tratta dei dati associati ad un utente, come il suo nome, l'indirizzo di posta elettronica, il certificato digitale, la sua password;
credenziali: sono quella parte dell'identità che permette il riconoscimento dell'utente. In genere si tratta di username e password.

Da dove arriva?

Il Single Sign–on è una soluzione che cerca di porre rimedio al proliferare delle applicazioni che sono in uso da parte di una stessa persona. Ciascuno ha varie identità, ma al posto di lavoro ne usa una sola. Questa identità è memorizzata, duplicandone l'informazione, in vari programmi.

Usare la stessa password, semplifica la vita all'utente ma non lo aiuta nel caso in cui deve cambiar password. Inoltre non risolve affatto il problema sistemistico di avere una identità in ogni programma (quante cose vanno “azzerate” quando un dipendente lascia l'azienda?)

Per rispondere a queste problematiche nasce la centralizzazione dell'identità e, quindi, delle credenziali.

Quali soluzioni esistono?

Ci sono varie soluzioni che permettono la centralizzazione. Un aspetto da considerare riguarda cosa va memorizzato nell'identità. Se si tratta solo di username/password oppure se invece ci sono altri aspetti, come la posta elettronica o l'appartenenza ad alcuni gruppi di utenti (dipartimenti.)

PAM, per le sole credenziali
LDAP, per identità più sofisticate

Pluggable Authentication Modules

interfaccia unica per l'applicazione
vari backend (ldap, file, database, radius, opensc)
esegue operazioni all'autenticazione, cioè al login
si tratta di una libreria (non un server)

Lightweight Directory Access Protocol

interfaccia unica per l'applicazione
memorizza credenziali e altre informazioni (email, gruppi di appartenenza, indirizzo, ...)
richiede un server (non è una libreria)

Perché inserire più volte la password?

Una volta acceduto ad un primo sistema, si possono richiamare altre applicazioni che a loro volta richiedono il controllo dell'identità.

Ci sono sistemi che permettono di fare comunicare tra applicazioni i dati dell'identità. Non si tratta di comunicare username e password, ma di usare sistemi di autenticazione come kerberos.

Caching delle identità: JAAS (utilizza kerberos) e ssh-agent.

Java

All'interno dei portali costruiti per fornire accesso centralizzato ad una serie di applicativi ai quali prima si accedeva singolarmente, è possibile gestire l'autenticazione usando dei filtri tra il web e l'applicazione (proxy,scraper).

Per tutte quelle applicazione che sono state sviluppate in casa si può utilizzare JAAS.

Per tutte le altre si deve invece sperare che possano usare un server di autenticazione esterna o che accettino l'autenticazione del sistema operativo.