Che cos'è SAML?

Scopri come SAML (Security Assertion Markup Language), il protocollo standard del settore, rafforza le misure di sicurezza e migliora l'esperienza di accesso.

Definizione di SAML

SAML è la tecnologia di base che consente agli utenti di effettuare il login una sola volta utilizzando un set di credenziali e di accedere a più applicazioni. I provider di identità, come Azure Active Directory (Azure AD), eseguono la verifica degli utenti nel momento in cui accedono e poi utilizzano il protocollo SAML per trasmettere i dati di autenticazione al provider di servizi che gestisce il sito, il servizio o l'app a cui gli utenti desiderano accedere.

Perché viene usato il protocollo SAML?

Il protocollo SAML aiuta a rafforzare la sicurezza nelle aziende e a semplificare il processo di accesso per dipendenti, partner e clienti. Le organizzazioni lo usano per abilitare il processo Single Sign-On, che consente alle persone di utilizzare un solo nome utente e una sola password per accedere a più siti, servizi e app. La riduzione del numero di password da ricordare non solo semplifica la vita di queste persone, ma diminuisce anche il rischio di furto di una di tali password. Le organizzazioni possono anche impostare standard di sicurezza per le autenticazioni in tutte le app su cui è attivo SAML. Ad esempio, possono richiedere l'autenticazione a più fattori prima di permettere alle persone di accedere alla rete e alle app locali, come Salesforce, Concur e Adobe. 

 

Il protocollo SAML aiuta le aziende ad affrontare i seguenti casi d'uso:

 

Gestione unificata delle identità e degli accessi di Azure:

La gestione di autenticazioni e autorizzazioni in un singolo sistema consente ai team IT di ridurre in modo significativo il tempo dedicato al provisioning degli utenti e all'entitlement dell'identità.

 

Abilitazione Zero Trust:

Una strategia di sicurezza Zero Trust richiede alle organizzazioni di verificare ogni richiesta di accesso e di limitare la fruibilità di informazioni sensibili solo alle persone che ne hanno bisogno. I tecnici possono utilizzare il protocollo SAML per impostare criteri, come l'autenticazione a più fattori e l'accesso condizionale, per le proprie app. Inoltre, possono abilitare misure di sicurezza più stringenti, come l'obbligo di reimpostare la password, quando un utente risulta a rischio elevato in base al proprio comportamento, dispositivo o località.

 

Arricchimento dell'esperienza dei dipendenti:

Oltre a semplificare l'accesso per i dipendenti, i team IT possono anche personalizzare le pagine del login per creare un'esperienza coerente su tutte le app. I dipendenti risparmiano anche tempo grazie a procedure self-service che consentono loro di reimpostare facilmente le password.

Che cos'è un provider di protocollo SAML?

Un provider di protocollo SAML è un sistema che condivide i dati relativi alle autenticazioni delle identità e alle autorizzazioni con altri provider. Esistono due tipi di provider di protocollo SAML:

  • Provider di identità che autenticano e autorizzano gli utenti. Forniscono la pagina di accesso su cui le persone inseriscono le proprie credenziali. Inoltre, applicano criteri di sicurezza, come la richiesta dell'autenticazione a più fattori o la reimpostazione della password. Una volta che un utente viene autorizzato, i provider di identità trasmettono i dati ai provider di servizi. 
  • Provider di servizi, ovvero le app e i siti web a cui le persone desiderano accedere. Anziché richiedere alle persone di accedere a ogni singola app, i provider di servizi abilitano le proprie soluzioni all'uso dell'autorizzazione SAML e si affidano a provider di identità per verificare queste ultime e ad autorizzare l'accesso. 

Come funziona l'autenticazione SAML?

Nell'autenticazione SAML, i provider di servizi e i provider di identità condividono i dati relativi all'accesso e all'utente per verificare l'autenticazione di ogni persona che richiede l'accesso. In genere prevede i seguenti passaggi:

  1. Un dipendente inizia a lavorare effettuando l'accesso tramite la pagina del login fornita dal provider di identità.
  2. Il provider di identità esegue l'autenticazione del dipendente confermando una combinazione di informazioni, come nome utente, password, PIN, dispositivo o dati biometrici.
  3. Il dipendente avvia un'app del provider di servizi, come Microsoft Word o Workday. 
  4. Il provider di servizi comunica con il provider di identità per verificare che il dipendente abbia l'autorizzazione ad accedere a tale app.
  5. Il provider di identità invia l'autorizzazione e l'autenticazione.
  6. Il dipendente accede all'app senza eseguire di nuovo il login.
     

Che cos'è un'asserzione SAML?

Un'asserzione SAML è il documento XML contenente i dati che confermano al provider di servizi il completamento dell'autenticazione della persona che effettua l'accesso.

 

Può essere di tre tipi:

  • Asserzione dell'autenticazione, che identifica l'utente e include l'orario in cui la persona ha effettuato l'accesso e il tipo di autenticazione utilizzato, come la password o l'autenticazione a più fattori
  • Asserzione dell'attribuzione, che trasmette il token SAML al provider. Questa asserzione include dati specifici sull'utente.
  • Asserzione di decisione per l'autorizzazione, che indica al provider di servizi se l'autenticazione dell'utente è stata eseguita o negata a causa di un errore relativo alle credenziali o dell'assenza dei permessi per tale servizio. 

SAML vs OAuth

Sia il protocollo SAML che OAuth semplificano l'accesso delle persone a più servizi evitando di effettuare il login per ciascuno di essi. Tuttavia, i due protocolli utilizzano tecnologia e processi diversi. SAML impiega XML per consentire alle persone di utilizzare le stesse credenziali per accedere a più servizi, mentre OAuth trasmette i dati relativi all'autorizzazione tramite JWT o JavaScript Object Notation.


In OAuth, le persone scelgono di accedere a un servizio utilizzando un'autorizzazione di terze parti, come il proprio account Google o Facebook, piuttosto che creare un nuovo nome utente o una nuova password per il servizio. L'autorizzazione viene trasmessa e, allo stesso tempo, la password dell'utente viene protetta.

Il ruolo di SAML per le aziende

Il protocollo SAML aiuta le aziende a migliorare la produttività e la sicurezza nei propri ambienti di lavoro ibridi. Sempre più persone lavorano da remoto, per questo è essenziale consentire loro di accedere facilmente alle risorse aziendali ovunque si trovino. Tuttavia, senza i controlli di sicurezza appropriati, tale facilità di accesso aumenta il rischio di violazioni. Grazie al protocollo SAML, le organizzazioni possono semplificare il processo di accesso per i dipendenti e, al contempo, applicare criteri sicuri, come l'autenticazione a più fattori e l'accesso condizionale, a tutte le app utilizzate da questi ultimi.


Innanzitutto, occorre che le organizzazioni investano in un provider di identità, come Azure AD. Azure AD protegge gli utenti e i dati attraverso un sistema di sicurezza integrato e unifica la gestione delle identità in una singola soluzione. I processi self-service e Single Sign-On consentono ai dipendenti di garantire la produttività in modo semplice e pratico. Inoltre, Azure AD include un'integrazione SAML predefinita con migliaia di app, come Zoom, DocuSign, SAP Concur, Workday e Amazon Web Services (AWS).

Scopri di più su Microsoft Security

Domande frequenti

|

Il protocollo SAML include i seguenti componenti:

  • I provider di identità che autenticano e autorizzano gli utenti. Forniscono la pagina di accesso su cui le persone inseriscono le proprie credenziali e applicano criteri di sicurezza, come la richiesta dell'autenticazione a più fattori o la reimpostazione della password. Una volta che un utente viene autorizzato, i provider di identità trasmettono i dati ai provider di servizi.
  • I provider di servizi, ovvero le app e i siti web a cui le persone desiderano accedere. Anziché richiedere alle persone di accedere a ogni singola app, i provider di servizi abilitano le proprie soluzioni all'uso dell'autorizzazione SAML e si affidano a provider di identità per verificare queste ultime e ad autorizzare l'accesso.
  • I metadati descrivono la modalità con cui i provider di identità e i provider di servizi scambiano le asserzioni, inclusi gli endpoint e la tecnologia.
  • L'asserzione rappresenta i dati che confermano al provider di servizi il completamento dell'autenticazione della persona che effettua l'accesso.
  • I certificati di firma garantiscono la fiducia tra il provider di identità e il provider di servizi confermando che l'asserzione non è stata manipolata durante la trasmissione tra i due provider.
  • Il clock di sistema conferma lo stesso orario sia per il provider di servizi che per il provider di identità in modo da proteggere contro gli attacchi playback.

Il protocollo SAML offre i seguenti vantaggi alle organizzazioni, ai propri dipendenti e partner:

  • Esperienza utente migliore. Il protocollo SAML consente alle organizzazioni di abilitare la procedura Single Sign-On in modo che dipendenti e partner possano effettuare il login solo una volta e accedere a tutte le proprie app. Ciò facilita il lavoro e lo rende più pratico poiché occorre ricordare meno password. Inoltre, i dipendenti non devono effettuare l'accesso ogni volta che cambiano dispositivo.
  • Maggiore sicurezza. Un numero minore di password riduce il rischio di compromissione degli account. In più, i team di sicurezza possono utilizzare il protocollo SAML per applicare criteri sicuri a tutte le proprie app. Ad esempio, possono richiedere l'autenticazione a più fattori per effettuare l'accesso o applicare criteri di accesso condizionale per definire le app e i dati a cui le persone possono accedere.
  • Gestione unificata. L'uso del protocollo SAML consente ai tecnici di gestire i criteri di identità e sicurezza in una singola soluzione piuttosto che utilizzare console di gestione separate per ciascuna app. Ciò semplifica notevolmente il provisioning degli utenti.

SAML è una tecnologia standard open-source basata su XML che consente ai provider di identità, come Azure Active Directory (Azure AD) di trasmettere i dati di autenticazione a un provider di servizi, come un'app SaaS.

 

Il servizio Single Sign-On viene utilizzato quando le persone effettuano il login una sola volta e ottengono l'accesso a vari siti web e app. SAML abilita il servizio Single Sign-On, ma è possibile implementare quest'ultimo con altre tecnologie.

LDAP (Lightweight Directory Access Protocol) è un protocollo di gestione delle identità utilizzato per l'autenticazione e l'autorizzazione delle identità degli utenti. Molti provider di servizi supportano LDAP, quindi potrebbe essere una buona soluzione per il servizio Single Sign-On. Tuttavia, trattandosi di una tecnologia obsoleta, non funziona con le applicazioni Web.

 

SAML è una tecnologia più recente, pertanto è disponibile sulla maggior parte delle applicazioni web e cloud, aspetto che la rende la soluzione più comune per la gestione centralizzata delle identità.

L'autenticazione a più fattori è una misura di sicurezza che richiede alle persone di utilizzare più di un fattore per verificare la propria identità. In genere, implica l'uso di un oggetto posseduto dalla persona, come un dispositivo, e di un'informazione nota a quest'ultima, come una password o un PIN. Il protocollo SAML consente ai tecnici di applicare l'autenticazione a più fattori a più siti web e app. Possono scegliere di applicare questo livello di autenticazione a tutte le app integrate in SAML o solo ad alcune.