Autenticazione adattiva e MFA basata sul rischio
Richiedi il secondo fattore solo dove il rischio è più alto. Con LoginMaster l'accesso condizionale si configura per tenant, progetto e ruolo: più sicurezza dove serve, meno attrito dove non serve.
Cos'è l'autenticazione adattiva
L'autenticazione adattiva è un approccio in cui la richiesta del secondo fattore non è sempre uguale, ma dipende dal contesto e dal livello di rischio dell'accesso. Con LoginMaster il rischio è espresso da policy configurabili su tre dimensioni — tenant, progetto e ruolo: la MFA basata su TOTP può essere disabilitata, opzionale oppure obbligatoria, così la verifica aggiuntiva scatta dove il rischio è strutturalmente più alto (ruoli privilegiati, progetti sensibili) e resta leggera altrove. È accesso condizionale applicato all'identità: più protezione dove serve, meno attrito dove non serve. Una volta che l'utente ha attivato il secondo fattore, nessun amministratore può disabilitarlo.
Come funziona l'accesso condizionale
Il rischio guida la richiesta del secondo fattore, in quattro momenti.
- 1
Definisci le policy per contesto
Stabilisci dove la MFA è obbligatoria: per interi tenant, per singoli progetti o per specifici ruoli. Il contesto rappresenta il rischio, e ogni tenant decide le proprie soglie.
- 2
LoginMaster valuta il contesto al login
A ogni accesso, LoginMaster verifica ruolo, progetto e tenant dell'utente rispetto alle policy attive e determina se il secondo fattore è richiesto in quel contesto.
- 3
Step-up solo dove serve
Se il contesto è a rischio più alto, l'utente completa il secondo fattore TOTP; negli accessi a basso rischio l'attrito resta minimo. È la logica risk-based dell'accesso condizionale.
- 4
Token firmato e conforme
L'applicazione riceve un token firmato che attesta il livello di autenticazione raggiunto, con log d'accesso disponibili per audit e dati mantenuti nel Tenant del cliente in UE.
Le dimensioni del rischio, configurabili
La MFA adattiva di LoginMaster si modella su policy esplicite e verificabili.
Per ruolo
Rendi la MFA obbligatoria per gli account privilegiati — amministratori, approvatori, operatori — e opzionale per i ruoli a basso impatto. Il privilegio è un segnale di rischio.
Per progetto
Applica la verifica forte solo ai progetti che trattano dati sensibili o critici, lasciando fluidi gli accessi ai progetti a basso rischio.
Per tenant
Ogni tenant configura le proprie soglie in autonomia: un cliente in un settore regolato può imporre la MFA a tutti, un altro può limitarla ai contesti sensibili.
TOTP standard
Il secondo fattore è basato su codici TOTP, compatibili con Google Authenticator e le principali app di autenticazione. Nessun costo aggiuntivo per utente.
Non disabilitabile dall'admin
Una volta attivato dall'utente, nessun amministratore può disattivare il secondo fattore: l'account resta protetto anche se un account amministrativo viene compromesso.
Standard aperti
L'accesso condizionale viaggia su OAuth 2.0, OpenID Connect e SAML 2.0: la tua app delega l'autenticazione senza SDK proprietarie obbligatorie.
Dove l'autenticazione adattiva fa la differenza
Finanza e assicurazioni
MFA obbligatoria per operatori e approvatori di transazioni, opzionale per la consultazione a basso rischio: conformità e attrito sotto controllo.
Sanità
Verifica forte per l'accesso ai dati clinici sensibili, mantenendo i dati personali nel Tenant della struttura in UE.
Pubblica amministrazione
MFA imposta per ruolo sui procedimenti critici, con log d'accesso per audit e conformità a GDPR e NIS2 by design.
Energia e manifattura
Accesso condizionale sui progetti e sui sistemi critici, esteso anche alle identità di dispositivi IoT e agenti non umani.
Domande frequenti
È un metodo di autenticazione in cui la richiesta del secondo fattore varia in base al contesto e al rischio dell'accesso, invece di essere sempre identica. Gli accessi a rischio più alto richiedono una verifica forte (step-up), quelli a basso rischio restano più fluidi. Con LoginMaster il rischio è definito da policy su tenant, progetto e ruolo.
Sono due facce dello stesso approccio. L'accesso condizionale (conditional access) è la regola che decide, in base al contesto, se e quando serve una verifica aggiuntiva; la MFA adattiva è l'esecuzione di quella regola sul secondo fattore. In LoginMaster configuri le condizioni per tenant, progetto e ruolo e la MFA TOTP si adatta di conseguenza.
Il rischio è espresso da dimensioni di contesto configurabili: il ruolo dell'utente (privilegiato o meno), la criticità del progetto e le policy del tenant. Su queste dimensioni definisci dove la MFA è disabilitata, opzionale o obbligatoria. È un modello di rischio basato su policy esplicite e verificabili, non su punteggi opachi.
Sì. Invece di imporre il secondo fattore a ogni accesso indistintamente, lo richiede solo nei contesti a rischio più alto. Gli utenti che operano su progetti e ruoli a basso rischio incontrano meno passaggi, mentre gli accessi sensibili restano protetti. È l'equilibrio tra sicurezza e usabilità dell'accesso condizionale.
No. La MFA può essere resa obbligatoria a livello di policy, ma una volta che l'utente ha attivato il proprio secondo fattore nessun amministratore può disattivarlo per suo conto. Il reset richiede sempre la verifica dell'identità dell'utente. Questo protegge gli account anche se un account amministrativo viene compromesso.
Deleghi l'autenticazione a LoginMaster tramite OpenID Connect o SAML 2.0 e configuri le policy MFA per tenant, progetto e ruolo. La guida passo-passo è nella pagina dedicata all'aggiunta di 2FA e MFA adattiva alla tua applicazione.
Approfondisci
Porta l'accesso condizionale nella tua identità
Il team LoginMaster ti aiuta a definire le policy MFA per tenant, progetto e ruolo e a integrarle via OpenID Connect.