Liceo Statale Scientifico e Classico

«Ettore Majorana»

Desio

Autenticazione unica

L’autenticazione unica (in inglese SSO, cioè Single Sign-On) è un sistema che consente di accedere a molteplici servizi fornendo una sola volta le proprie credenziali, identiche per ogni servizio. Da lunedì 11 gennaio 2016 è operativo il SSO per i servizi digitali del Liceo Majorana.

Ho fretta! Cosa devo fare?

Da subito Assicurati che tu sia in grado di accedere ad un computer desktop della scuola, per esempio uno di quelli delle sale docenti. Se la verifica ha successo, quel nome utente (del tipo n.cognome) e quella password che hai inserito saranno le credenziali che dovrai utilizzare per accedere a qualunque altro servizio abilitato al SSO.

Dall’11 gennaio Prova ad accedere alla posta istituzionale da http://posta.liceodesio.edu.it/ inserendo le credenziali di cui sopra. Consiglio: non accedere più direttamente dal sito di Gmail; la password precedentemente associata alla tua casella di posta, se diversa da quella scelta per il nuovo account, non sarà più valida (a meno che tu non acceda direttamente dal sito di Gmail).

Importante: l’autenticazione unica non è ancora estesa a tutti i servizi; per i netbook e per il registro elettronico dovrai continuare ad usare gli account di sempre. Anche la posta elettronica istituzionale, se configurata in un’app specifica, continuerà a funzionare senza problemi; tuttavia, ogni volta che vorrai accedere dal browser di un computer (tramite http://posta.liceodesio.edu.it/ anziché tramite un’app), dovrai inserire le nuove credenziali.

Aiuto! Ho provato ad accedere ma non funziona!

Rivolgiti agli assistenti tecnici (secondo piano ammezzato della sede centrale), che reimposteranno la password del tuo account.

OK, ammetto di aver scelto una password debole. Ora che il mio account è così importante, posso cambiarla per sceglierne una più sicura?

Certamente: accedi a Windows da un computer della scuola, premi CTRL-ALT-CANC sulla tastiera e scegli Cambia password. Dovrai digitare la password attuale, e scrivere due volte quella nuova (conformemente ai criteri di complessità indicati nella comunicazione FS3 n. 2).

Aiuto! Non ho ancora attivato il mio account!

Recupera le tue credenziali provvisorie* e fai il primo accesso su un computer desktop della scuola entro sabato 9 gennaio 2016, con le modalità indicate nella comunicazione FS3 n. 2. Se non riesci a recuperare i dati, puoi richiedere il reset della tua password agli assistenti tecnici.

(*) Se sei in servizio da settembre, ti è stato consegnato un promemoria cartaceo; se sei in servizio a partire da novembre, il nome utente è la prima parte del tuo indirizzo di posta istituzionale e la password è quella provvisoria indicata nel messaggio di benvenuto spedito alla tua e-mail personale.

Cosa cambia e come

Ecco un esempio (un po’ riduttivo: avete molti più account di quelli riportati qui sotto!) del prima e del dopo.

Senza SSO (prima dell’11/1)
Servizio Credenziali
Computer desktop Utente: n.cognome
Password: unoxtutti
Posta elettronica* Utente: n.cognome@liceodesio.edu.it
Password: paperone
Sito istituzionale Utente: n.cognome
Password: archimede
Computer netbook Utente: cognome.nome
Password: paperino
Registro elettronico Utente: MILS0018.123456
Password: topolino
Con il SSO (dall’11/1)
Servizio Credenziali
Computer desktop
Posta elettronica
Sito istituzionale
Utente: n.cognome
Password: unoxtutti
Computer netbook** Utente: cognome.nome
Password: paperino
Registro elettronico Utente: MILS0018.123456
Password: topolino

(*) Queste “vecchie” credenziali di posta elettronica sono ancora valide per accedere all’e-mail tramite app, oppure tramite il sito di Gmail; è però sconsigliabile accedere dal sito di Gmail con le vecchie credenziali, perché poi verrebbero chieste comunque anche le nuove credenziali: è più veloce e conveniente inserire solo queste ultime su http://posta.liceodesio.edu.it/.

(**) I netbook saranno prossimamente ricompresi nell’autenticazione unica, riducendo di fatto il numero di account distinti. Anche per il registro elettronico c’è in cantiere qualcosa, ma i tempi saranno più lunghi.

Ciò che conta, comunque, è che i prossimi servizi che saranno attivati non richiederanno più un account separato, perché si potranno usare con l’unico account che definisce la nostra identità digitale (quello che nell’esempio qui sopra ha la password unoxtutti).

Inoltre, con le dovute differenze, tutto questo vale già anche per gli studenti; a breve si potrà accedere ad un ambiente di e-learning senza necessità di creare nuovi account. È disponibile una pagina di monitoraggio della migrazione degli account degli studenti al nuovo sistema.

Infine, dai computer della scuola sarà possibile accedere a vari servizi inserendo una sola volta il nome utente e la password: quella sola volta sarà nella schermata di accesso a Windows, dopodiché si potrà aprire direttamente la posta elettronica, il sito istituzionale, etc. semplicemente con un clic, senza fornire ulteriori password. È evidente che, a questo punto, è fondamentale proteggere il proprio account, perché diventa una chiave in grado di aprire molte porte: occorre quindi scegliere password robuste e chiudere la propria sessione di lavoro quando ci si allontana dal computer.

Un po’ di storia…

In principio c’erano gli account dei computer, poi è arrivato il registro elettronico, poi le varie piattaforme degli e-book, poi la posta istituzionale, poi il sito istituzionale, poi gli account degli iPad, e poi chissà cosa ancora… Ogni servizio richiedeva credenziali diverse, e il primo ostacolo era sempre ricordarsi quale combinazione di nome utente e password fosse quella giusta!

In una situazione del genere chiunque finirebbe per odiare la tecnologia e il digitale. In fondo, quando apriamo la porta di casa, usiamo una sola chiave (o al massimo un paio) e da lì in poi abbiamo libero accesso alla credenza, al televisore, al telefono, al frigorifero, ai servizi (quelli igienici), e così via; perché mai la lavatrice dovrebbe chiedermi una password per fare il bucato?!

L’autenticazione unica traduce nel mondo digitale quella che è da sempre una consuetudine quotidiana: dopo che mi sono presentato una volta, la gente dovrebbe riconoscermi, senza continuare a chiedermi chi sono (a meno che non sia passato molto tempo). Ma si sa, i computer sono macchine, e non è facile dare loro una parvenza umana, almeno nel loro modo automatico di relazionarsi con noi.

Dopo oltre un anno — era il 1° settembre 2014 — da quando per la prima volta delineai al Collegio dei Docenti il miraggio dell’autenticazione unica, oggi finalmente questo sistema comincia a diventare realtà. Fa piacere scoprire che anche dall’alto (vedi PNSD del MIUR) c’è sintonia su questo importante strumento abilitante per i servizi digitali. Superato il problema dell’accesso, si apre un mondo di possibilità per un’introduzione meno problematica del digitale nelle nostre abitudini quotidiane rispetto alla didattica e alla comunicazione.

Dietro le quinte

Ecco descritto, in maniera estremamente semplificata, come funziona il SSO.

Si individua un account principale, che nel nostro caso è l’account di accesso a Windows (quello che è stato attivato dopo la consegna dei misteriosi e famosi bigliettini). Predisponendo un opportuno sistema di memorizzazione delle utenze nel server della scuola, è possibile verificare un nome utente e una password non solo tramite Windows da un computer della scuola, ma anche tramite un sito web accessibile da Internet.

In pratica il nostro server scolastico ha aperto uno “sportello” su Internet, al quale i servizi autorizzati possono rivolgersi per verificare l’identità della persona che li vuole utilizzare. Questo richiede una doppia configurazione, sia del server (che deve aprire uno “sportello online”), sia dei servizi di terze parti, che devono essere istruiti a controllare l’identità dell’utente non da sé, ma affidandosi al nostro server.

Nel caso dei servizi online, se guardate la barra degli indirizzi del browser, vedrete che partendo da qualunque servizio (il sito della scuola, il sito di Gmail, etc.) verrete “dirottati”, attraverso una connessione protetta, su un unico indirizzo, che è login.liceodesio.edu.it. Questo è lo sportello del server, che acquisisce e verifica le vostre credenziali, per poi notificare al servizio chiamante (quello da cui siete partiti) la positività dell’autenticazione.

Per chi ama i tecnicismi, il protocollo di autenticazione è basato su SAML 2.0; citando Wikipedia, si tratta di «uno standard informatico per lo scambio di dati di autenticazione e autorizzazione tra domini di sicurezza distinti, tipicamente un identity provider [lo “sportello” del nostro server] e un service provider [il servizio scolastico che volete usare, cioè il sito, l’e-mail, etc.]».