Net-Base Rivista

22.05.2026

Sviluppare software aziendale multi-tenant: architettura, modello dati e gestione senza sorprese

La multi-tenancy determina la scalabilità, i costi operativi e la sicurezza. Questo articolo mostra come progettare software aziendale multi-tenant in modo che i dati siano chiaramente separati, le autorizzazioni verificabili e gli aggiornamenti distribuibili senza interruzioni.

22.05.2026

Chi vuole sviluppare software aziendale multi-tenant prende decisioni architetturali precoci che poi è molto difficile „configurare via“. La capacità multi-tenant non è solo una questione di licenze o di interfaccia utente, ma incide direttamente sul modello dati, le autorizzazioni, le interfacce, i processi di aggiornamento, il supporto e non da ultimo sulle attestazioni di sicurezza. Nella pratica i progetti Multi-Tenant falliscono raramente per la logica di business in sé, ma per linee di separazione imprecise: dove inizia esattamente un tenant? Come vengono isolate le dati? Quali componenti possono operare oltre i confini dei tenant (p. es. monitoring, backup, invio di e-mail) – e come viene eseguito l’audit?

Questo contributo è rivolto alla direzione IT, agli amministratori e ai responsabili tecnici di progetto. Descrive pattern consolidati, errori di presupposto tipici e quesiti decisionali concreti per esercizio e sviluppo evolutivo. Il focus è deliberatamente sugli effetti nella pratica quotidiana: provisioning di nuovi tenant, modelli di ruoli e autorizzazioni, migrazione dati, esercizio delle interfacce, logging, backup/RESTore e capacità di aggiornamento. L’obiettivo è un’architettura che rimanga sostenibile nel lungo periodo – indipendentemente dal fatto che la soluzione venga gestita come sistema interno, in diversi ambiti di gruppo o successivamente come piattaforma ospitata.

Cosa significa realmente la capacità multi-tenant nel contesto aziendale

La capacità multi-tenant (spesso indicata anche come Multi-Tenancy) significa che un software rappresenta più entità organizzative separate („tenant“) su una piattaforma tecnica condivisa. Un tenant può essere un’azienda, una consociata, una sede, un cliente o un’unità di business. Fondamentale è: i tenant non devono poter vedere o influenzare i dati o le funzionalità di altri tenant, salvo che ciò sia esplicitamente previsto e verificato (p. es. reporting di gruppo).

Nei progetti è utile definire la capacità multi-tenant lungo tre assi:

  • Isolamento dei dati: Come si garantisce che i dati siano leggibili e scrivibili solo nel corretto contesto del tenant?
  • Identità e autorizzazioni: Come viene assegnato un utente a un tenant e come vengono verificate ruoli/scopes?
  • Isolamento operativo: Quanto devono influenzarsi reciprocamente i tenant in termini di carico, guasti, aggiornamenti e finestre di manutenzione?

Questi assi portano a differenti configurazioni. Una soluzione può per esempio separare rigorosamente i dati (database separati), ma essere operativamente comunque fortemente accoppiata (deployment condivisi, coda condivisa, indici di ricerca comuni). Per i decisori è importante comprendere che la capacità multi-tenant non è un „interruttore“, ma uno spettro con implicazioni di costo e rischio.

Decisioni architetturali per software aziendale multi-tenant

Prima di estendere tabelle o rendere le interfacce „multi-tenant“, è necessario chiarire i confini di sistema: quali componenti appartengono alla piattaforma, quali vanno configurati per tenant e quali dati possono essere analizzati centralmente? In paesaggi aziendali consolidati sono inoltre determinanti le integrazioni con ERP, DMS, CRM o Identity Provider (IdP).

Single-Tenant vs. Multi-Tenant: funzionalmente simili, tecnicamente molto diversi

Single-Tenant significa: per tenant un’istanza dedicata (almeno un database separato, spesso anche uno stack applicativo separato). Multi-Tenant significa: più tenant condividono istanze e infrastruttura — con separazione logica. Il Multi-Tenant spesso riduce lo sforzo di rollout e gestione, ma aumenta i requisiti su isolamento, copertura dei test e observability (osservabilità tramite logging/metriche/tracing).

Un approccio pragmatico è spesso: “Multi-tenant nel codice, single-tenant in esercizio” per tenant critici. Questo significa: il codice gestisce i contesti tenant in modo pulito, ma singoli tenant possono opzionalmente essere gestiti separatamente (es. per motivi di compliance o performance). Tuttavia, configurazione, deployment e monitoring devono essere predisposti fin dall’inizio per entrambe le varianti.

Contesto del tenant come principio architetturale trasversale

Molti errori nascono perché il contesto tenant viene solo “agganciato” in punti isolati (es. filtri SQL, parametri aggiuntivi nei servizi). È più stabile quando il contesto tenant diventa un principio trasversale:

  • Ogni richiesta ha un tenant determinato in modo univoco (da token/SSO, sottodominio, header, certificato client o endpoint configurato).
  • Il contesto del tenant è trattato nella logica server come informazione obbligatoria (nessun tenant predefinito, niente “se vuoto, allora…”).
  • I livelli di accesso ai dati e le interfacce impongono filtri per tenant o vincoli sul tenant, invece di renderli opzionali.
  • Logging e audit includono tenant, utente/account di servizio e ID di correlazione, in modo che operation e support possano ricostruire cosa è successo.

Questo approccio “contesto del tenant prima” riduce la classe di errori che emergono solo in esercizio: report errati, mescolamento accidentale dei dati, casi di autorizzazione difficili da spiegare e audit trail incompleti.

Modello dati: tre modelli di isolamento comuni e le loro conseguenze

La decisione tecnica più importante per la multi-tenancy è la conservazione dei dati. Essa determina backup/RESTore, migrazione, performance e le evidenze di sicurezza. In sostanza esistono tre modelli, che possono anche essere combinati.

1) Database per tenant

Ogni tenant ha un database separato (o un cluster di database dedicato). Vantaggi: isolamento molto chiaro, RESTore per tenant semplice, buona base per finestre di manutenzione differenziate. Svantaggi: maggiore sforzo di provisioning, più connessioni, più migrazioni di schema e maggiore complessità operativa (es. monitoring su molti database).

Casi tipici: requisiti di compliance molto stringenti, tenant con volumi di dati fortemente disparati o scenari in cui tenant necessitano di cicli di rilascio differenti. Rilevante a livello amministrativo: serve una solida automazione per aggiornamenti dello schema, gestione degli indici, backup e permessi – altrimenti lo sforzo esplode con il numero di tenant.

2) Schema per tenant

Un server di database, ma per ogni tenant uno schema separato (o namespace). È una forma intermedia di isolamento: più separabile rispetto ai soli filtri a livello di riga, ma meno pesante rispetto a database completi. Backup/RESTore per tenant è possibile a seconda della tecnologia database, ma non sempre banale. Le migrazioni sono più facili da coordinare rispetto al modello “DB per tenant”, tuttavia il numero di oggetti rimane elevato.

Importante per l’esercizio: verificate per tempo come gli strumenti di monitoring, backup e migrazione gestiscono molti schema, e se reporting standard e accessi BI possono essere rappresentati in modo schema-trasversale senza indebolire il perimetro di sicurezza.

3) Tabelle condivise con Tenant-ID (separazione basata sulle righe)

Tutti i tenant condividono le stesse tabelle; ogni riga contiene una Tenant-ID. Questo è efficiente per molti casi d’uso, riduce il numero di oggetti e semplifica migrazioni globali. Contemporaneamente aumenta la responsabilità dell’applicazione e/o del database di far rispettare la separazione in modo affidabile.

Se adottate una separazione basata sulle righe, dovete considerare con particolare attenzione due aspetti:

  • Applicazione tecnica: Non affidatevi solo a «filtriamo ovunque per Tenant-ID». Usate, ove possibile, meccanismi del database come Row-Level Security (RLS; filtraggio delle righe lato database basato sul contesto di sessione o sui ruoli), view o policy di sicurezza. Quale opzione sia più adatta dipende dal database.
  • Effetti collaterali inter-tenant: Tenant di grandi dimensioni possono influenzare indici, cache hit rate e comportamento dei lock. Non è un criterio eliminatorio, ma va considerato nella pianificazione della capacità e nei test.

Modelli ibridi: spesso più realistici di „entweder/oder“

In pratica i modelli ibridi sono comuni: transazioni core in tabelle condivise (per aggiornamenti semplici), dati particolarmente sensibili in database o schemi separati, e un’area centrale di «Control Plane» per la gestione dei tenant, fatturazione, feature-flag e configurazione globale. È fondamentale che questi confini siano documentati e tecnicamente protetti.

Autorizzazioni e identità: tenant, ruolo, scope

La capacità multi-tenant dipende da un solido modello di autorizzazioni. Per l’esercizio operativo conta meno quanto elegante sia il modello e più se esso sia nella pratica verificabile e diagnosticabile: perché l’utente X ha potuto eseguire l’azione Y? Quale ruolo è intervenuto? Quale policy ha deciso?

SSO und Mandantenzuordnung: SAML 2.0, OIDC und Verzeichnisse

In ambienti aziendali si utilizza spesso il Single Sign-on (SSO). SSO significa che l’autenticazione avviene tramite un Identity Provider centrale e l’applicazione si limita a verificare token/assertion. Sono diffusi SAML 2.0 (basato su assertion, spesso in setup enterprise classici) o OpenID Connect (OIDC; basato su token, frequente negli stack IdP più moderni). È importante: l’assegnazione del tenant deve essere univoca e a prova di manomissione.

Opzioni consolidate:

  • Tenant tramite Issuer/IdP (un IdP per tenant) – molto chiaro, ma organizzativamente più oneroso.
  • Tenant tramite Claim/Attributo (es. Tenant-ID nel token) – flessibile, richiede una validazione e un mapping accurati.
  • Tenant tramite Subdomain o endpoint separati – adatto per portali, riduce gli errori d’uso, ma deve integrarsi correttamente con i redirect SSO.

Modello dei ruoli e amministrazione tenant senza „Support-Tickets“

Un frequente fattore di costo è che ogni modifica al tenant (nuovo utente, nuovo ruolo, nuova assegnazione di sede) finisca come intervento manuale. L’obiettivo dovrebbe essere: i tenant possono amministrare i propri utenti e ruoli entro limiti definiti, senza che gli amministratori centrali debbano intervenire su ogni dettaglio.

Nella pratica sono comuni ruoli a più livelli:

  • Piattaforma-Admin (gestisce l’ambiente, vede i metadati dei tenant, non necessariamente i dati del tenant).
  • Tenant-Admin (amministra utenti, ruoli e configurazioni all’interno del tenant).
  • Ruoli funzionali (es. addetto alle pratiche, team leader, approvazione).
  • Account di servizio tecnici (per interfacce, job, automazione) con privilegi minimi.

Operativo importante: i ruoli devono essere versionabili e verificabili. Se i permessi possono essere modificati “al volo” tramite aggiornamento diretto o configurazione non tracciata, si perde la tracciabilità – e quindi tempo durante audit e interventi su guasti.

Schnittstellen und Integration: Mandantenfähigkeit endet nicht am API-Gateway

Molte soluzioni digitali aziendali vivono di integrazioni: ERP, DMS, CRM, Data Warehouse, portali partner, collegamento macchine. La capacità multi-tenant deve quindi essere applicata con rigore anche nelle interfacce. Ciò riguarda REST-APIs (interfacce basate su HTTP), eventing/queue, interfacce file e processi e-mail/webhook.

REST-API: Tenant-Scoping als Vertrag

Per le REST-API è cruciale come il tenant viene determinato nella richiesta. Pattern ricorrenti sono sottodominio/host, un header del tenant o un claim nell’Access Token. È fondamentale che questo non resti solo una convenzione, ma venga documentato come parte contrattuale dell’API ed applicato lato server.

Per l’esercizio operativo conta inoltre: un’API richiede messaggi di errore chiari e dati di log che contengano tenant, endpoint, utente/client, Request-ID e parametri rilevanti – senza registrare dati personali inutili. In questo modo amministratori e support possono ricostruire i casi in modo riproducibile, senza toccare i dati di altri tenant.

Asynchrone Prozesse: Jobs, Queues und Scheduler mandantenfähig planen

Batch job, import, generazione report o riconciliazioni notturne spesso girano in modo asincrono. Qui la mescolanza di tenant è particolarmente facile, perché un worker “in background” opera senza contesto utente attivo. Pianificate quindi:

  • Associazione del tenant per job: ogni job porta Tenant-ID e un “contesto scatenante” (utente o account di servizio).
  • Limiti di risorse: i tenant di grandi dimensioni non devono poter monopolizzare completamente l’elaborazione dei job (fairness, quote, priorità).
  • Artefatti separati per tenant: file temporanei, esportazioni, bucket S3/percorso share, template e-mail e secret per webhook devono essere gestiti in modo specifico per tenant.

Betrieb und Sicherheit: Was Admins später wirklich brauchen

La multitenancy agisce in esercizio come un moltiplicatore: un errore, un deployment errato o un allarme poco chiaro può impattare molti tenant. Al contrario, una piattaforma gestita correttamente può distribuire aggiornamenti più rapidamente e in modo più coerente. È determinante che operation e security non vengano “aggiunte dopo”, ma facciano parte del disegno architetturale.

Logging, Audit und Nachvollziehbarkeit

Per il software aziendale vanno separati due tipi di log:

  • Logging tecnico: errori, performance, problemi di integrazione, timeout. Deve contenere tenant e ID di correlazione, in modo da ritrovare una transazione tra componenti distribuite.
  • Audit logging: chi ha eseguito quale azione funzionale (es. modifica anagrafiche, avvio esportazione, assegnazione diritti)? Gli audit log sono rilevanti per la sicurezza e richiedono chiare politiche di conservazione e accesso.

Importante: l’audit non è semplicemente “ulteriori log”. L’audit deve essere resistente alle manomissioni, ricostruibile e analizzabile. Contemporaneamente vale la minimizzazione dei dati: non ogni dettaglio deve finire in audit in modo permanente, ma solo i fatti necessari per prova e ricostruzione.

Backup/Restore: Mandanten selektiv wiederherstellen können

La questione del ripristino è il banco di prova per il vostro modello di dati. Un backup globale si crea rapidamente, ma il danno si verifica quando un singolo tenant segnala perdita di dati e si può ripristinare solo “tutto o niente”. A seconda dei modelli di isolamento sono sensate strategie diverse:

  • DB per tenant: Il ripristino è più semplice da concepire, ma richiede orchestrazione quando più database devono essere riportati a uno stato consistente (es. database + indice di ricerca + storage file).
  • DB condiviso: Il ripristino per singolo tenant è notevolmente più complesso. Qui aiutano meccanismi di export/snapshot specifici per tenant, approcci basati su Event Sourcing o misure di protezione aggiuntive (soft delete, versioning, processi di approvazione).

Per gli amministratori conta una procedura documentata: quanto tempo richiede un ripristino? Quali sistemi sono coinvolti? Come si testa che il tenant torni a funzionare “correttamente” (smoke test, controlli di integrazione)?

Patching e strategia di aggiornamento: migrazioni di schema senza interruzioni

Un vantaggio centrale degli approcci piattaforma è la capacità di distribuire aggiornamenti in modo uniforme. Questo funziona solo se le migrazioni di schema (modifiche alle strutture di database) e gli aggiornamenti applicativi sono pianificati come un processo unitario. Buona pratica è:

  • Deployment con compatibilità avanti: Le nuove versioni del software possono funzionare con lo schema precedente (per un breve periodo), e/o il software precedente può funzionare con il nuovo schema. Questo riduce i tempi di inattività.
  • Migrazioni a piccoli passi: Anziché ristrutturazioni “Big Bang”: aggiungere nuove colonne, backfill dei dati in modo graduale, rimuovere le strutture obsolete solo successivamente.
  • Feature flag per tenant: Le funzionalità possono essere attivate per tenant selezionati, per limitare i rischi e rendere i rollout controllabili.

Per la direzione IT è importante: la capacità di aggiornamento è un investimento. Fa risparmiare tempo in seguito per patch di sicurezza, cambi di sistema operativo, upgrade dei database e modifiche di integrazione — ossia proprio nelle aree che generano costi nel tempo.

Provisioning e ciclo di vita dei tenant: dall’onboarding alla disattivazione

Il supporto multi-tenant è “completo” solo quando il ciclo di vita è pensato in tutte le sue fasi. Nella pratica non contano solo le nuove istanze, ma anche le variazioni: sedi aggiuntive, nuovi identity provider, cambi contrattuali, esportazioni di dati e disattivazioni.

Onboarding: cosa dovrebbe essere automatizzato

Un processo di onboarding ben definito riduce gli errori e il carico di supporto. Componenti tipici:

  • Creare il tenant (Tenant-ID, nome, contatto, stato).
  • Impostare la configurazione (regione, lingua, fuso orario, domini e-mail, branding se previsto).
  • Configurare l’integrazione Identity (metadati SSO, certificati, URL di redirect).
  • Provisionare ruoli iniziali e utenti admin.
  • Provisionare risorse tecniche (database/schema, storage, indice di ricerca, code).
  • Attivare monitoring e alerting per il tenant.

Quanto più di questo è riproducibile e automatizzato, tanto meno emergono “casi particolari”. Non è solo efficienza, ma riduzione del rischio: i passaggi manuali sono la fonte più comune di configurazioni incoerenti.

Esportazione dei dati e offboarding: sottovalutati, ma critici per la sicurezza

Offboarding è un tema di sicurezza e compliance: quali dati devono poter essere esportati (p. es. per la consegna), quali dati devono essere cancellati o anonimizzati, e come se ne dà prova? Anche senza consulenza legale specifica vale tecnicamente: avete bisogno di responsabilità chiare, scadenze definite e di un processo che sia riproducibile.

Quando i dati risiedono in più sistemi (database, storage di file, indice di ricerca, log, backup), l’offboarding deve considerare questi livelli. I backup sono particolarmente delicati: la cancellazione completa dai backup storici è spesso praticamente impossibile. Diventa quindi ancora più importante avere un concetto che renda ciò trasparente (conservazione, protezione degli accessi, rotazione) e che protegga comunque adeguatamente i dati dei tenant al di fuori dei sistemi produttivi.

Tipici errori nella pratica – e come evitarli

La capacità multi-tenant fallisce raramente in modo spettacolare, piuttosto per molte piccole lacune di design. I seguenti scenari di errore si incontrano regolarmente nei progetti:

  • ID del tenant come “opzionale”: singoli endpoint, job o report dimenticano il filtro. Soluzione: imposizione tecnica (Policies/RLS), test e regole architetturali coerenti.
  • Configurazione condivisa senza versioning: le modifiche al modello di ruoli o ai feature toggle non risultano tracciabili in seguito. Soluzione: versionare la configurazione, auditare le modifiche.
  • Cache condivisi tra tenant: caching senza tenant-key porta a fughe di dati. Soluzione: chiave di cache sempre sensibile al tenant, dati sensibili in generale cacheati per poco tempo.
  • Il supporto non riesce a circoscrivere i problemi: mancano correlazione e metriche per tenant. Soluzione: ID di correlazione, tag del tenant nei log/metriche, dashboard chiari.
  • Le migrazioni durano troppo a lungo: grosse ristrutturazioni di tabelle bloccano l’operatività. Soluzione: migrazione incrementale, processi in background, pianificare finestre temporali.

Questi punti sono meno «dettagli da sviluppatore» e più realtà operativa. Chi li affronta precocemente riduce i costi successivi per hotfix, finestre di emergenza e responsabilità poco chiare.

Sviluppare software aziendale multi-tenant: checklist per decisioni affidabili

Se in un progetto dovete prendere decisioni strategiche, domande concrete aiutano a rendere visibili la capacità architetturale e operativa:

  • Quale isolamento è necessario: tecnico (dati), organizzativo (accessi), operativo (finestre di manutenzione/carico)?
  • Come viene identificato univocamente il tenant (SSO-claim, sottodominio, endpoint dedicato)?
  • Come viene imposta l’isolamento (meccanismi di database, layer di accesso centrale, Policies)?
  • Come si gestisce il RESTore: per tenant, con quali dipendenze, in quanto tempo?
  • Come vengono gestiti gli aggiornamenti: migrazione dello schema, strategia di rollback, feature flag?
  • Quale osservabilità è presente: metriche per tenant, audit, alerting, runbook?
  • Come vengono gestite le integrazioni in modalità multi-tenant (service account, secrets, rate limits, webhooks)?

Queste domande sono intenzionalmente formulate in termini operativi. Se sapete rispondere, di norma siete anche architettonicamente su un percorso solido.

Conclusione: la capacità multi-tenant è un impegno operativo, non una caratteristica dell’interfaccia utente

La capacità multi-tenant determina se un software aziendale può essere gestito economicamente per anni e sviluppato in sicurezza. Il lavoro centrale consiste in linee di separazione chiare: contesto del tenant come obbligo, isolamento dei dati affidabile, autorizzazioni verificabili, interfacce multi-tenant e un ciclo di vita che includa provisioning, aggiornamenti e offboarding. Chi stabilisce correttamente queste fondamenta ottiene benefici nella pratica quotidiana: meno interruzioni dovute a deriva di configurazione, aggiornamenti più rapidi, processi di supporto più chiari e prove affidabili nei confronti di requisiti interni ed esterni.

Se desiderate valutare concretamente la capacità multi-tenant per una soluzione aziendale digitale esistente o nuova, o impostare un concetto di migrazione e di architettura, percorriamo insieme in modo strutturato le condizioni quadro:

Nel contesto tecnico, l’architettura multi-tenant e l’isolamento dei tenant svolgono anch’essi un ruolo importante quando integrazioni, flussi di dati e sviluppo devono integrarsi in modo coerente.

Discutere un progetto o un intervento di modernizzazione con Net-Base.

Condividi il post

Condividi direttamente questo articolo

LinkedIn, X, XING, Facebook, WhatsApp e e-mail sono immediatamente disponibili. Per Instagram prepariamo direttamente il link e un breve testo.

E-mail

Instagram si apre in una nuova scheda. Il link e il breve testo vengono copiati prima negli appunti.