Abilitare l'accesso SSO per le app cloud

Problema aziendale

Le imprese fanno un uso sempre crescente di applicazioni cloud. Estendendo il Single Sign-On (SSO) alle app cloud, i dipendenti possono utilizzare le proprie credenziali aziendali per accedere ad app Software as a Service (SaaS) o ad app interne ospitate nel cloud.

Il servizio SSO fornisce un punto singolo di autenticazione tramite un Provider di identità (IdP). Gli utenti possono accedere alle app cloud di terze parti, ma le loro credenziali non vengono archiviate nella terza parte. In molti casi, le credenziali per le app di terze parti non esistono.

La tua azienda vuole aumentare la sicurezza applicando SSO e allo stesso tempo fornendo ai suoi utenti la praticità di tale servizio. L'IdP deve autenticare l'accesso a tutte le app cloud della tua azienda.

Soluzioni

Per fornire agli utenti un accesso basato su SSO a determinate app cloud, Cloud Identity come IdP supporta i protocolli OpenID Connect (OIDC) e Security Assertion Markup Language 2.0 (SAML).

Cloud Identity ha un ampio catalogo di app SAML. Gli utenti di G Suite possono scaricare le app OIDC da G Suite Marketplace. Benché la maggior parte delle applicazioni cloud supporti solo uno di questi protocolli, alcune li supportano entrambi.

App nel catalogo SAML

Vantaggi

  • Lo standard SAML è ben consolidato nell'impresa.
  • Solo gli amministratori possono installare le app, perciò possono controllare quali app sono a disposizione dei dipendenti.
  • Il provider SaaS di terze parti e Google lavorano insieme sul connettore e Google convalida le app nel catalogo.
  • L'installazione è facile e veloce.

Svantaggi

  • La configurazione di un'app SAML è un po' più complicata rispetto a quella di un'app OIDC.
  • Non tutte le app aziendali supportano SAML e alcune di queste app addebitano un costo maggiore per le funzionalità SAML.

Applicazioni OIDC di G Suite Marketplace

Vantaggi

  • OIDC è un protocollo più leggero e moderno rispetto a SAML.
  • Gli amministratori e gli utenti possono installare le app, ma gli utenti possono installare solo quelle autorizzate dall'amministratore.
  • Le applicazioni di G Suite Marketplace estendono le funzionalità di G Suite. Poiché le app utilizzano l'API dei servizi Google principali, sono ben integrate con i prodotti Google. Le app vengono esaminate per verificarne la conformità ai requisiti di G Suite Marketplace.

Svantaggio

  • OIDC non è molto adottato da applicazioni aziendali.

Consigli

Esplora i cataloghi SAML e G Suite Marketplace. Alcune app sono presenti in entrambi i cataloghi. In questo caso, se sei un cliente G Suite e la tua politica IT aziendale supporta OIDC, ti consigliamo l'app G Suite Marketplace.

Se l'app che ti interessa non è presente in nessun catalogo e supporta SAML, installala come app SAML personalizzata. Poiché le app SAML personalizzate sono configurate per l'organizzazione che le installa, non saranno disponibili nel catalogo SAML generale.

Installa le app di cui hanno bisogno le varie organizzazioni nella tua azienda, quindi assegna ogni applicazione solo alle organizzazioni a cui serve.

Provider di identità di terze parti

Se hai un IdP di terze parti, puoi comunque configurare il servizio SSO per le app di terze parti nel catalogo di Cloud Identity. L'autenticazione dell'utente viene effettuata nell'IdP di terze parti e Cloud Identity gestisce le app cloud.

Per utilizzare Cloud Identity per SSO, i tuoi utenti hanno bisogno di un account Cloud Identity. Accedono tramite il tuo IdP di terze parti o utilizzando una password sui propri account Cloud Identity.

Esempio

Oltre all'elenco di app aziendali, i dipendenti dell'Azienda A utilizzano vari tipi di applicazioni cloud nel proprio lavoro quotidiano:

  • Suite di collaborazione
  • Messaggistica e comunicazione
  • Videoconferenze
  • Gestione dei rapporti con i clienti (CRM)
  • Risorse umane (HR)
  • Assistenza clienti

L'azienda A utilizzava un IdP on-premise ospitato personalmente. Per aumentare la sicurezza, ridurre i costi di assistenza e aumentare la scalabilità, l'azienda vuole passare a Cloud Identity come provider di identità principale. I dipendenti vogliono la comodità di utilizzare un singolo set di credenziali di accesso per accedere a tutte le loro app cloud. L'azienda ha intenzione di autenticare tutte le app cloud in base alla propria identità Google utilizzando SAML e OIDC.

Il reparto IT configura le app cloud per SSO:

  • Crea un elenco di app cloud utilizzate dai dipendenti.
  • Individua queste app nei cataloghi di G Suite Marketplace o SAML.
  • Configura il servizio SSO per queste app, attivandolo per ciascuna una alla volta.
  • Assegna le app appropriate a organizzazioni specifiche, ad esempio:
    • App di messaggistica, RU e collaborazione all'organizzazione di primo livello (in modo che siano accessibili a tutti)
    • CRM all'organizzazione di vendita
    • L'app di assistenza clienti all'Assistenza

L'implementazione di token di sicurezza varia a seconda dell'organizzazione.

I dipendenti accedono a Cloud Identity. Mediante SSO, possono accedere alle app cloud di cui hanno bisogno utilizzando le proprie credenziali Cloud Identity.

Accedere ad applicazioni cloud mediante SSO.