Accesso condizionale · MFA risk-based

Autenticazione adattiva e MFA basata sul rischio

Richiedi il secondo fattore solo dove il rischio è più alto. Con LoginMaster l'accesso condizionale si configura per tenant, progetto e ruolo: più sicurezza dove serve, meno attrito dove non serve.

Cos'è l'autenticazione adattiva

L'autenticazione adattiva è un approccio in cui la richiesta del secondo fattore non è sempre uguale, ma dipende dal contesto e dal livello di rischio dell'accesso. Con LoginMaster il rischio è espresso da policy configurabili su tre dimensioni — tenant, progetto e ruolo: la MFA basata su TOTP può essere disabilitata, opzionale oppure obbligatoria, così la verifica aggiuntiva scatta dove il rischio è strutturalmente più alto (ruoli privilegiati, progetti sensibili) e resta leggera altrove. È accesso condizionale applicato all'identità: più protezione dove serve, meno attrito dove non serve. Una volta che l'utente ha attivato il secondo fattore, nessun amministratore può disabilitarlo.

Come funziona l'accesso condizionale

Il rischio guida la richiesta del secondo fattore, in quattro momenti.

  1. 1

    Definisci le policy per contesto

    Stabilisci dove la MFA è obbligatoria: per interi tenant, per singoli progetti o per specifici ruoli. Il contesto rappresenta il rischio, e ogni tenant decide le proprie soglie.

  2. 2

    LoginMaster valuta il contesto al login

    A ogni accesso, LoginMaster verifica ruolo, progetto e tenant dell'utente rispetto alle policy attive e determina se il secondo fattore è richiesto in quel contesto.

  3. 3

    Step-up solo dove serve

    Se il contesto è a rischio più alto, l'utente completa il secondo fattore TOTP; negli accessi a basso rischio l'attrito resta minimo. È la logica risk-based dell'accesso condizionale.

  4. 4

    Token firmato e conforme

    L'applicazione riceve un token firmato che attesta il livello di autenticazione raggiunto, con log d'accesso disponibili per audit e dati mantenuti nel Tenant del cliente in UE.

Le dimensioni del rischio, configurabili

La MFA adattiva di LoginMaster si modella su policy esplicite e verificabili.

Per ruolo

Rendi la MFA obbligatoria per gli account privilegiati — amministratori, approvatori, operatori — e opzionale per i ruoli a basso impatto. Il privilegio è un segnale di rischio.

Per progetto

Applica la verifica forte solo ai progetti che trattano dati sensibili o critici, lasciando fluidi gli accessi ai progetti a basso rischio.

Per tenant

Ogni tenant configura le proprie soglie in autonomia: un cliente in un settore regolato può imporre la MFA a tutti, un altro può limitarla ai contesti sensibili.

TOTP standard

Il secondo fattore è basato su codici TOTP, compatibili con Google Authenticator e le principali app di autenticazione. Nessun costo aggiuntivo per utente.

Non disabilitabile dall'admin

Una volta attivato dall'utente, nessun amministratore può disattivare il secondo fattore: l'account resta protetto anche se un account amministrativo viene compromesso.

Standard aperti

L'accesso condizionale viaggia su OAuth 2.0, OpenID Connect e SAML 2.0: la tua app delega l'autenticazione senza SDK proprietarie obbligatorie.

Dove l'autenticazione adattiva fa la differenza

Finanza e assicurazioni

MFA obbligatoria per operatori e approvatori di transazioni, opzionale per la consultazione a basso rischio: conformità e attrito sotto controllo.

Sanità

Verifica forte per l'accesso ai dati clinici sensibili, mantenendo i dati personali nel Tenant della struttura in UE.

Pubblica amministrazione

MFA imposta per ruolo sui procedimenti critici, con log d'accesso per audit e conformità a GDPR e NIS2 by design.

Energia e manifattura

Accesso condizionale sui progetti e sui sistemi critici, esteso anche alle identità di dispositivi IoT e agenti non umani.

Domande frequenti

È un metodo di autenticazione in cui la richiesta del secondo fattore varia in base al contesto e al rischio dell'accesso, invece di essere sempre identica. Gli accessi a rischio più alto richiedono una verifica forte (step-up), quelli a basso rischio restano più fluidi. Con LoginMaster il rischio è definito da policy su tenant, progetto e ruolo.

Sono due facce dello stesso approccio. L'accesso condizionale (conditional access) è la regola che decide, in base al contesto, se e quando serve una verifica aggiuntiva; la MFA adattiva è l'esecuzione di quella regola sul secondo fattore. In LoginMaster configuri le condizioni per tenant, progetto e ruolo e la MFA TOTP si adatta di conseguenza.

Il rischio è espresso da dimensioni di contesto configurabili: il ruolo dell'utente (privilegiato o meno), la criticità del progetto e le policy del tenant. Su queste dimensioni definisci dove la MFA è disabilitata, opzionale o obbligatoria. È un modello di rischio basato su policy esplicite e verificabili, non su punteggi opachi.

Sì. Invece di imporre il secondo fattore a ogni accesso indistintamente, lo richiede solo nei contesti a rischio più alto. Gli utenti che operano su progetti e ruoli a basso rischio incontrano meno passaggi, mentre gli accessi sensibili restano protetti. È l'equilibrio tra sicurezza e usabilità dell'accesso condizionale.

No. La MFA può essere resa obbligatoria a livello di policy, ma una volta che l'utente ha attivato il proprio secondo fattore nessun amministratore può disattivarlo per suo conto. Il reset richiede sempre la verifica dell'identità dell'utente. Questo protegge gli account anche se un account amministrativo viene compromesso.

Deleghi l'autenticazione a LoginMaster tramite OpenID Connect o SAML 2.0 e configuri le policy MFA per tenant, progetto e ruolo. La guida passo-passo è nella pagina dedicata all'aggiunta di 2FA e MFA adattiva alla tua applicazione.

Porta l'accesso condizionale nella tua identità

Il team LoginMaster ti aiuta a definire le policy MFA per tenant, progetto e ruolo e a integrarle via OpenID Connect.