Single Sign On (SAP SSO)

Cosa significa?

Non si tratta di una soluzione o software ma di una tecnica che permette di effettuare una autenticazione principale ed ottenere a seguito (in caso di autenticazione correttamente superata) l'accesso ad ulteriori risorse senza utilizzare delle credenziali (es. Password).

Ad esempio? 

Immagina di accendere il tuo notebook, accedendo a Microsoft Windows (ipotizzando sia il tuo sistema operativo aziendale).

Una volta completata la fase di autenticazione per accedere a Windows, quindi al dominio aziendale, tutte le ulteriori applicazioni accedute a seguito sarà possibile accedervi senza digitare alcuna credenziale. Questo meccanismo, oltre che essere più sicuro rispetto al dover ricordare credenziali diverse sistema per sistema, permette di semplificare gli accessi alle risorse aziendale da parte delle utenze.

Questo è possibile perché nel momento della prima autenticazione (con successo) viene rilasciato un "token" che può essere interpretato dai sistemi satellite collegati ed abilitati per questa funzione come "lascia passare".

Password logon o SSO single Sign On?

L'alternativa all'utilizzo del Single Sing On (SSO) è quella, ad esempio, di utilizzare un metodo di autenticazione basato su password.

Esistono chiaramente vantaggi e svantaggi nell'adozione o meno del SSO verso l'utilizzo delle password, alcuni di questi citati qui

• Devo ricordare molte password
• Statisticamente se devo ricordare molte password cercherò di semplificare la loro complessità
• Nel caso in cui la password del primo accesso effettuato sia in qualche modo sottratta un eventuale attaccante potrebbe accedere a tutti i "sotto" sistemi collegati

 Probabilmente oggi l'adozione di meccanismi di Single Sing On, se correttamente implementati può essere un buon compromesso tra usabilità e sicurezza. Leggi qui l'approfondimento sulle password.

Ricordati che l'attivazione del Single Sing On può essere fatta considerando anche delle logiche di Multiple Factor Authentication (MFA) o anche di controlli biometrici potenzialmente.

Ma cosa fare in SAP? Quali sono gli scenari possibili?

È una tematica che può essere molto complessa, soprattutto in base alla realtà aziendale. Possono esserci molti scenari. Ad oggi non c’è una unica via per chiunque.

Deve essere svolto uno studio per capire ad esempio:

• quali sono/saranno i sistemi coinvolti (non tutti necessariamente devono essere inclusi)
• sono tutti sistemi Onpremise oppure anche Cloud?
• quale sarà la direzione dell'azienda? Più cloud oppure no?

Nel caso specifico di SAP si devono tenere in considerazioni ulteriori aspetti, ad esempio:

• ti serve SSO solo su GUI oppure anche su altro (es. browser su sistemi SAP o anche sistemi terzi)?
• nel futuro avrai sistemi On-Prem oppure solo cloud o anche cloud (quindi ibrido)?
• utilizzerai SAP via FIORI oppure via GUI? Ad esempio sfruttando S/4HANA?

Nel caso specifico dei sistemi SAP ci si può muovere su alcune vie principali ovvero:

• Acquistare degli strumenti sul mercato per effettuare Single Sign On
• Utilizzare la soluzione che SAP mette a disposizione chiamata appunto SAP Single Sing On (SAP SSO)
• Utilizzare le soluzioni cloud che SAP mette a disposizione ovvero SAP Cloud Indentity Services, in particolare la soluzione IAS (Identity Authentication Management)

Ognuna di queste soluzioni ha chiaramente vantaggi o svantaggi oppure limiti. Che tuttavia devono essere valutati in sede di studio della realtà aziendale ed obiettivi.

Da maggio 2023 è disponibile una ulteriore soluzioni per la gestione del Single Sign On in SAP chiamata "SAP Secure Login Service for SAP GUI" si tratta di un servizio della piattaforma BTP (Business Technology Platform) che sostituirà il prodotto onpremise SAP Single Sign On.