Abilitare l'accesso SSO per le app cloud

Problema aziendale

Le imprese fanno un uso sempre crescente di applicazioni cloud. Con l'estensione del Single Sign-On (SSO) alle applicazioni cloud, i dipendenti possono utilizzare le proprie credenziali aziendali per accedere ad app Software as a Service (SaaS) o ad app in-house ospitate nella cloud.

Il servizio SSO fornisce un punto singolo di autenticazione tramite un Provider di identità (IdP). Gli utenti possono accedere alle applicazioni cloud di terze parti, ma le loro credenziali non vengono archiviate da queste ultime. In molti casi, le credenziali per le app di terze parti non esistono.

La tua azienda vuole aumentare la sicurezza applicando SSO e allo stesso tempo fornendo ai suoi utenti la praticità di tale servizio. Un IdP deve autenticare l'accesso a tutte le applicazioni cloud della tua azienda.

Soluzioni

Per fornire agli utenti un accesso basato su SSO a specifiche applicazioni cloud, l'IdP Cloud Identity supporta i protocolli OpenID Connect (OIDC) e Security Assertion Markup Language 2.0 (SAML).

Cloud Identity ha un ampio catalogo di app SAML. Gli utenti di G Suite possono scaricare le app OIDC dal G Suite Marketplace. Benché la maggior parte delle applicazioni cloud supporti solo uno di questi protocolli, alcune li supportano entrambi.

App nel catalogo SAML

Vantaggi

  • Lo standard SAML è ben consolidato nell'impresa.
  • Solo gli amministratori possono installare le app, perciò possono controllare quali app sono a disposizione dei dipendenti.
  • Il provider SaaS di terze parti e Google lavorano insieme sul connettore e Google convalida le app nel catalogo.
  • L'installazione è facile e veloce.

Svantaggi

  • La configurazione di un'app SAML è un po' più complicata rispetto a quella di un'app OIDC.
  • Non tutte le app aziendali supportano SAML e alcune di esse fanno pagare di più per le funzionalità SAML.

Applicazioni OIDC di G Suite Marketplace

Vantaggi

  • OIDC è un protocollo più leggero e moderno rispetto a SAML.
  • Gli amministratori e gli utenti possono installare le app, ma gli utenti potranno installare solo quelle autorizzate dall'amministratore.
  • Le applicazioni di G Suite Marketplace estendono le funzionalità di G Suite. Poiché le app utilizzano l'API dei Servizi Google principali, sono ben integrate con i prodotti Google. Le app vengono esaminate per verificarne la conformità ai requisiti di G Suite Marketplace.

Svantaggio

  • OIDC non è molto adottato da applicazioni aziendali.

Consigli

Esplora i cataloghi SAML e G Suite Marketplace. Alcune app sono presenti in entrambi i cataloghi. In tal caso, se sei un cliente G Suite e la tua politica IT aziendale supporta OIDC, ti consigliamo di utilizzare l'app di G Suite Marketplace.

Se l'app che vuoi non è in nessun catalogo e supporta SAML, installala come app SAML personalizzata. Tieni presente che, poiché le app SAML personalizzate sono configurate per l'organizzazione che le installa, non sono disponibili nel catalogo SAML generale.

Installa le app di cui hanno bisogno le varie organizzazioni nella tua azienda, quindi assegna ogni applicazione solo alle organizzazioni a cui serve.

Provider di identità di terze parti

Se disponi di un IdP di terze parti, puoi comunque configurare SSO per le app di terze parti presenti nel catalogo di Cloud Identity. L'autenticazione dell'utente viene effettuata nell'IdP di terze parti e Cloud Identity gestisce le app cloud.

Per utilizzare Cloud Identity per SSO, i tuoi utenti hanno bisogno di un account Cloud Identity. Accedono tramite il tuo IdP di terze parti o utilizzando una password sui propri account Cloud Identity.

Esempio

Oltre all'elenco di app aziendali, i dipendenti dell'Azienda A utilizzano vari tipi di applicazioni cloud nel proprio lavoro quotidiano:

  • Suite di collaborazione
  • Messaggistica e comunicazione
  • Videoconferenze
  • Gestione dei rapporti con i clienti (CRM)
  • Risorse umane (HR)
  • Assistenza clienti

L'Azienda A utilizzava un IdP in loco auto-ospitato. Per aumentare la sicurezza, ridurre i costi di assistenza e incrementare la scalabilità, desidera passare a Cloud Identity come suo IdP principale. Ha in programma di autenticare tutte le applicazioni cloud confrontandole con la loro identità Google utilizzando SAML e OIDC.

Il reparto IT configura le app cloud per SSO:

  • Crea un elenco di app cloud utilizzate dai dipendenti.
  • Individua queste app nei cataloghi di G Suite Marketplace o SAML.
  • Configura il servizio SSO per queste app, attivandolo per ciascuna una alla volta.
  • Assegna le applicazioni appropriate alle organizzazioni specifiche, ad esempio:
    • Le app di messaggistica, HR e collaborazione all'organizzazione di livello più alto (in modo che siano accessibili a tutti)
    • CRM all'organizzazione di vendita
    • L'app di assistenza clienti all'Assistenza

L'implementazione di token di sicurezza varia a seconda dell'organizzazione.

I dipendenti accedono a Cloud Identity. Mediante SSO, possono accedere alle app cloud di cui hanno bisogno utilizzando le proprie credenziali Cloud Identity.

Accedere ad applicazioni cloud mediante SSO.