L’SSO non è una soluzione miracolosa: perché la maggior parte delle organizzazioni lo integra con la gestione delle password

Con la crescita su vasta scala dei servizi cloud, molte aziende scelgono di gestire l’autenticazione dei dipendenti con il Single Sign-On (SSO). Ma l’SSO non risolve tutte le sfide legate all’autenticazione, tutt’altro.

L’SSO aiuta a consolidare l’autenticazione tra le applicazioni, semplificando l’esperienza degli utenti grazie alla riduzione del numero di accessi e password da ricordare, e aumentando la sicurezza aziendale garantendo un’autenticazione forte per più applicazioni. Oggi, la maggior parte delle aziende utilizza uno di due protocolli di asserzione per implementare l’SSO: Security Assertion Markup Language (SAML) o OpenID Connect (OIDC).

In un recente sondaggio condotto tra amministratori IT e leader aziendali, Bitwarden ha rilevato che la stragrande maggioranza delle organizzazioni utilizza l’SSO per proteggere le proprie applicazioni, ma la maggior parte ha ancora molte applicazioni non supportate dall’SSO. Gli intervistati hanno osservato che le applicazioni legacy spesso non supportano l’SSO e che molti fornitori di applicazioni SaaS offrono l’SSO solo con gli abbonamenti “enterprise” più costosi.

Di conseguenza, molte applicazioni non sono coperte dall’SSO. E non si tratta di applicazioni marginali. Molti intervistati valutano il rischio per la sicurezza delle applicazioni non SSO come significativo e un quinto ha già riscontrato incidenti di sicurezza legati a queste applicazioni.

In breve, come ha affermato un intervistato, l’SSO non è una “soluzione miracolosa”. Deve essere integrato con un’altra soluzione e, secondo molti intervistati, un password manager offre il meglio di entrambi i mondi.

Risultati principali

• L’89% delle organizzazioni utilizza l’SSO, ma la maggioranza (57%) ha fino a 50 applicazioni che non lo supportano ancora.

• Oltre la metà (62%) degli intervistati afferma che il solo SSO non è sufficiente perché la propria organizzazione raggiunga un’autenticazione sicura.

• Le applicazioni di shadow IT sono la principale sfida per le organizzazioni quando devono proteggere l’autenticazione alle applicazioni non SSO, citata dal 65%.

• Gli intervistati affermano che Bitwarden Password Manager è efficace nel proteggere le applicazioni non supportate dall’SSO: l’85% cita l’aumento della sicurezza e l’83% la riduzione del rischio legato alle credenziali come principali vantaggi, mentre il 70% indica accessi semplificati.

L’SSO è diventato sempre più popolare dall’inizio dell’era del cloud. Migliora il livello di sicurezza delle organizzazioni e potenzia l’esperienza degli utenti finali. Non sorprende quindi che l’89% degli intervistati nel nostro studio affermi che la propria organizzazione utilizza l’SSO.

Uno dei motivi per cui l’SSO fa una tale differenza è l’enorme volume di applicazioni che le aziende devono supportare. Due terzi (66%) delle organizzazioni gestiscono più di 100 applicazioni in tutta l’organizzazione e il 27% ne gestisce più di 300.

Tuttavia, molte di queste applicazioni non supportano l’autenticazione tramite SSO. La maggioranza delle organizzazioni nel nostro sondaggio (57% degli intervistati) afferma di avere fino a 50 applicazioni che non lo supportano ancora, e il 14% ha più di 100 applicazioni non supportate dall’SSO.

«L’SSO semplifica l’accesso dei nostri utenti consentendo loro di autenticarsi una sola volta e accedere a più sistemi», ha dichiarato un intervistato. «Tuttavia, non copre tutte le applicazioni, come sistemi legacy, strumenti di terze parti o shadow IT».

Microsoft Entra ID è di gran lunga la scelta più diffusa per implementare l’SSO: il 40% degli intervistati lo utilizza per proteggere l’autenticazione nella propria organizzazione. Un altro 12% usa Okta e il 7% Google Identity.

Indipendentemente dalla piattaforma utilizzata e nonostante i suoi limiti, l’SSO offre vantaggi significativi. Come ha affermato un responsabile: «Usare l’SSO per tutte le applicazioni supportate centralizza l’autenticazione, semplifica la gestione del ciclo di vita e rafforza la sicurezza».

Con così tante applicazioni ancora non supportate dall’SSO, non sorprende che ben oltre la metà (62%) degli intervistati affermi che l’SSO da solo non è sufficiente perché la propria organizzazione raggiunga una postura di autenticazione sicura.

Il rischio delle applicazioni non SSO è reale. Quasi un quinto degli intervistati (18%) ha dichiarato che la propria organizzazione ha subito un incidente di sicurezza legato a un’applicazione o a un account non protetto dall’SSO. Sorprendentemente, una quota leggermente superiore (19%) non sa nemmeno se abbia subito o meno un incidente, probabilmente perché molte di queste applicazioni non SSO rientrano nello “shadow IT”, al di fuori del controllo e della supervisione dei team IT.

Di conseguenza, la maggior parte delle organizzazioni utilizza metodi aggiuntivi per garantire la sicurezza delle applicazioni. Le soluzioni di gestione delle password e di autenticazione a più fattori (MFA) sono le principali tecniche utilizzate dalle organizzazioni per proteggere le applicazioni al di fuori dell’SSO.

Un intervistato ha riassunto così il proprio approccio: «Assicurarsi che il provider SSO venga utilizzato ovunque possibile, applicare una 2FA forte e usare il gestore di password come complemento sicuro per gli account che non possono essere integrati con l’SSO».

Anche livelli di sicurezza aggiuntivi, insieme a comunicazione e formazione proattive, sono fondamentali per garantire che i dipendenti comprendano le best practice di autenticazione.

«L’SSO non è una soluzione miracolosa», ha dichiarato un intervistato. «Assicuratevi che siano presenti controlli aggiuntivi per proteggere i dati delle applicazioni».



Altri metodi per proteggere le applicazioni al di fuori dell’SSO o della gestione delle password

66% - 2FA o MFA

35% - Email e password gestite dai dipendenti

21% - SSO senza SAML

18% - Passkey

16% - Gestione degli accessi privilegiati

6% - Proxy applicativo

1% - Altro

Se pensi che l’SSO copra tutte le applicazioni “importanti” e che quelle escluse dalla sua copertura non siano essenziali per la sicurezza, ripensaci.

Un quarto degli intervistati ha valutato le applicazioni non supportate dall’SSO come fonte di “rischio considerevole” o “rischio elevato” per la propria organizzazione. Hanno osservato che molte erano applicazioni con un forte impatto sul business, contenevano dati sensibili, potevano essere facilmente compromesse da password deboli e, in alcuni casi, non supportavano l’MFA.

Un ulteriore 35% ha dichiarato che queste applicazioni comportavano almeno un “rischio medio”, il che significa che in totale il 55% riteneva che le applicazioni non SSO rappresentassero un rischio da medio a elevato per l’organizzazione. Nessuno ha affermato che le app non coperte dall’SSO non comportassero alcun rischio.

«Non tutte le applicazioni che potreste considerare critiche per il business supportano l’SSO nativamente», ha dichiarato un intervistato. «Cambiare questa situazione richiede tempo. Nella mia esperienza, gli utenti business non tendono a scegliere le applicazioni in base alle loro funzionalità SSO. Imporlo loro genera shadow IT».

Anche le principali applicazioni cloud a volte non dispongono del supporto SSO di cui le organizzazioni hanno bisogno. Come ha affermato un responsabile IT: «Molte piattaforme SaaS “mature” sono ancora in ritardo sull’SSO, e quasi ogni organizzazione ha ancora esigenze di autenticazione legacy che dovrebbero essere ben governate».

Questo rischio non è puramente teorico. Come indicato sopra, il 18% degli intervistati afferma che la propria organizzazione ha subito un incidente di sicurezza dovuto alla mancanza di supporto SSO.

«Anche se siete molto bravi a collegare le vostre app all’SSO, avrete comunque app che non possono essere collegate, come app legacy e app esterne (non gestite dalla vostra azienda)», ha dichiarato un intervistato.

Il problema principale per i responsabili IT che cercano di ottenere una postura di autenticazione sicura per la propria organizzazione sono le app di “shadow IT” installate dagli utenti business al di fuori della supervisione dell’IT e senza il supporto dell’IT.

Il 65% degli intervistati ha indicato lo shadow IT come la sfida principale nel tentativo di proteggere l’autenticazione per le applicazioni che non supportano l’SSO.

La seconda sfida, citata dal 43% degli intervistati, è stata la collaborazione dei dipendenti.

Superare questi due ostacoli richiede di comunicare chiaramente i vantaggi dell’SSO e la necessità (e comodità) di usare un password manager per le applicazioni che non supportano l’SSO.

Un intervistato ha osservato: “L’SSO non copre tutte le applicazioni, come i sistemi legacy, gli strumenti di terze parti o lo shadow IT. È qui che un password manager integra l’SSO, archiviando e gestendo in modo sicuro le credenziali degli account al di fuori dell’ecosistema SSO.”

Un altro intervistato ha fatto riferimento al modo in cui un password manager funziona come soluzione complementare per contribuire a garantire una sicurezza completa. “Considerate l’SSO come il controller di accesso principale per le applicazioni integrate e il password manager come una rete di sicurezza obbligatoria per tutto il resto, in particolare app legacy, segreti condivisi dai team e shadow IT, per creare una strategia completa di difesa in profondità.”

Con un password manager, gli utenti finali possono proteggere tutte le credenziali necessarie per il loro lavoro quotidiano, incluse le applicazioni non SSO sconosciute al team IT (shadow IT).



Principali sfide nella protezione delle app non SSO

58% - Visibilità delle applicazioni (shadow IT)

39% - Collaborazione dei dipendenti

30% - Troppe applicazioni

27% - Budget

16% - Supporto della leadership

5% - Altro

Bitwarden Password Manager è una soluzione potente e comoda che integra l’SSO e garantisce la sicurezza di tutte le applicazioni, sia quelle coperte dall’SSO sia quelle che non lo sono.

“Bitwarden ci supporta negli account in cui l’SSO è abilitato e aggiunge un’ulteriore opzione 2FA sotto forma di autenticatore o passkey”, ha affermato un intervistato.

Oltre 3/4 degli intervistati (77%) afferma che Bitwarden Password Manager è “efficace” o “molto efficace” nel proteggere le applicazioni non supportate dall’SSO.

L’85% ha dichiarato che Bitwarden Password Manager aumenta la sicurezza delle proprie organizzazioni quando viene utilizzato insieme all’SSO, mentre l’83% afferma che ha ridotto il rischio legato alle credenziali nelle proprie organizzazioni.

È una soluzione comoda che semplifica la vita anche agli utenti. Il 70% degli intervistati afferma che i propri utenti beneficiano di accessi semplificati dopo l’adozione di Bitwarden Password Manager.

“Ci sono alcune cose che l’SSO semplicemente non copre”, ha detto un intervistato. “Usare Bitwarden con un account dell’organizzazione consente agli utenti di condividere le credenziali in modo sicuro e persino di configurare l’MFA in alcuni casi”

Un altro intervistato ha dichiarato con entusiasmo di usare Bitwarden anche per le proprie password personali. “È il meglio di entrambi i mondi! Uso Bitwarden sia per le mie password personali sia per quelle professionali, e incoraggio i miei utenti a fare lo stesso.”

Bitwarden ha intervistato 93 clienti enterprise, tra cui 74 amministratori IT, 11 dirigenti e 6 responsabili di reparto, dal 28 ottobre 2025 al 6 gennaio 2026.

Per scoprire di più su come Bitwarden può aiutare a proteggere l’autenticazione alle applicazioni non SSO, avvia una prova business gratuita di 7 giorni oggi.