SSO e identità enterprise per SaaS B2B

Perché l'SSO blocca o accelera i deal B2B

Buyer mid-market ed enterprise standardizzano su Okta, Microsoft Entra ID, Google Workspace o Ping. Resistono a password separate per vendor, soprattutto su tool con dati operativi o finanziari. I questionari security chiedono: protocolli supportati, rotazione certificati, provisioning JIT, latenza deprovisioning, requisiti MFA, restrizioni IP per admin. Risposte vaghe ritardano il legal. SSO ben fatto riduce ticket e churn da reset password. SSO mal fatto crea loop login, tenant sbagliato e utenti con accesso dopo uscita HR.

• SSO spesso obbligatorio in RFP sopra una soglia contrattuale
• Le aspettative provisioning passano da inviti manuali a SCIM
• L'IT cliente serve IdP test e runbook cutover produzione
• Bug identità sono severity-one perché bloccano intere organizzazioni

SAML vs OIDC: cosa supportare per primo

SAML 2.0 resta comune in grandi enterprise, soprattutto configurazioni IdP legacy. OIDC è più semplice per stack moderni e client mobile. Molti prodotti B2B supportano entrambi via piattaforma identity, non parser su misura. Parti da OIDC se i buyer sono startup SaaS-native. Aggiungi SAML vendendo a manifatturiero, assicurazioni, pubblico o segmenti con Entra + SAML default. Documenta scambio metadata: URL ACS, entity ID, redirect URI per ambiente, alert scadenza certificati. Staging usa app IdP separate così utenti test non toccano sessioni produzione. Allinea callback URL e cookie domain al routing tenant così un utente cliente A non atterra nel tenant B dopo l'asserzione.

Mappare utenti IdP a tenant e ruoli

Ogni cliente enterprise configura la propria connessione IdP. L'app deve mappare attributi asserzione (email, gruppi, reparto) a tenant_id e ruoli applicativi. Evita un solo nome attributo hardcoded; i clienti usano claim diversi. Offri UI configurazione: 'mappa gruppo IdP Finance-Approvers a ruolo approver'. Il provisioning JIT crea utenti al primo login. Decidi ruolo default, se serve ancora invito e cosa succede con gruppi sconosciuti. La logica ruoli sta nel layer applicativo con test, come in strategia di test, non solo in proliferazione gruppi IdP.

• Deny esplicito con SSO valido ma senza mapping tenant
• UI admin per anteprima permessi effettivi su utente test
• Supporto connessioni IdP multiple per tenant (scenari M&A)
• Documenta comportamento quando email cambia in IdP

Provisioning e deprovisioning SCIM

SCIM automatizza create, update e deactivate utente da IdP all'app. I buyer enterprise si aspettano deprovisioning in ore, non settimane, quando qualcuno lascia l'azienda. Implementa SCIM dopo SSO stabile. Minimo: crea utente, disattiva, aggiorna nome ed email, sincronizza gruppi se mappi gruppi a ruoli. Gestisci conflitti: utente esiste da invito manuale, SCIM tenta ricreazione. IdP manda deactivate con approvazioni aperte. Logga ogni operazione SCIM per audit trail. Rate limit e autentica endpoint SCIM. Sono API ad alto privilegio che gli attacker sondano.

MFA, policy sessione e break-glass

Molti clienti impongono MFA a livello IdP. L'app non dovrebbe indebolirlo con login password alternativo per tenant solo-SSO salvo requisito contrattuale con logging. Documenta durata sessione, timeout idle, refresh token, device binding se usato. I reviewer security confrontano i default con la loro policy. Account admin locali break-glass per supporto cliente: MFA, allowlist IP, elevazione a tempo, audit completo. Alcuni clienti vietano accesso vendor; pianifica alternative a impersonation. Reset password su tenant ibridi (SSO + email) confonde utenti. Segmenta UI login per configurazione tenant.

Build vs buy per identità

Provider identity gestiti (Auth0, WorkOS, Clerk B2B, Cognito con add-on SAML) accelerano SSO e SCIM con documentazione compliance allegabile alle RFP. Keycloak self-hosted o SAML custom riduce costo vendor ma aumenta ops e superficie security review. Includi engineering e on-call nelle stime costo totale. Qualunque strada, mantieni un'astrazione interna unica per 'risolvi utente corrente, tenant, ruoli' così i controller non ramificano su tre protocolli. Vedi scelta stack per quando impegnarsi su un provider prima dell'MVP.

Test e playbook rollout cliente

Fornisci checklist IT cliente: crea app IdP, carica metadata, assegna utenti test, verifica attribute release, login su staging, test deactivate SCIM. Testa edge case: clock skew su asserzioni, certificati scaduti, gruppi rinominati, utente senza email, domini multipli sotto un tenant. Cutover produzione spesso usa login paralleli per una settimana con comunicazione utenti. Traccia metriche adozione SSO prima di disabilitare password. Includi drill identità nella production readiness: utente offboarded non accede, cambio ruolo entro SLA.

Failure comuni e come evitarli

Routing tenant errato post-SSO: utente vede app vuota o branding altro cliente. Fix con tenant picker solo se dominio email mappa a più tenant, altrimenti mapping deterministico. Esplosione ruoli da specchio di ogni gruppo IdP. Parti da pochi ruoli applicativi; lascia che i clienti mappino molti gruppi su ciascuno. Fallback silenzioso a password locale mina policy enterprise. Fail closed con errore chiaro e articolo supporto. Nessun monitoring su picchi error rate SSO. Alert su fallimenti validazione asserzione; spesso scadenza certificato.

Prossimi passi

Elenca IdP target dalla pipeline sales. Conferma SAML, OIDC o entrambi per il prossimo deal. Schedula SCIM solo se SLA deprovisioning è contrattuale. Sfoglia altre risorse, case study, prenota una call o contattami con segmento buyer, lista IdP e se SSO blocca un deal attivo.

Domande frequenti