WiseAdvice EmplDocs
Цифровая трансформация кадровых процессов вашей компании.
10 марта 2025
Технология единого входа SSO.
Почему без нее сложно представить внедрение нового сервиса в крупной компании.
Почему без нее сложно представить внедрение нового сервиса в крупной компании.
В современных компаниях Single Sign-On (SSO) — технология единого входа постепенно становится стандартом, не только упрощая жизнь сотрудникам, но и повышая безопасность данных. Если вы до сих пор вводите пароль каждый раз, когда заходите в корпоративную систему (притом уникальный для разных систем), то вы используете устаревший способ аутентификации.
Для нас, EmplDocs, в контексте личного кабинета сотрудника, технология SSO играет особенно важную роль, она обеспечивает удобство для пользователей и дополнительный инструмент безопасности для IT-отдела. В этой статье расскажем, почему SSO — это must-have для любой организации, как она работает и зачем EmplDocs рекомендует ее своим клиентам.
Для нас, EmplDocs, в контексте личного кабинета сотрудника, технология SSO играет особенно важную роль, она обеспечивает удобство для пользователей и дополнительный инструмент безопасности для IT-отдела. В этой статье расскажем, почему SSO — это must-have для любой организации, как она работает и зачем EmplDocs рекомендует ее своим клиентам.
Олег Филиппов
СЕО EmplDocs
СЕО EmplDocs
SSO (Single Sign-On) — технология единого входа, которая дает возможность пользователям аутентифицироваться в нескольких приложениях и сервисах, используя одну учетную запись.
Представьте, что вы заходите в корпоративный портал, а затем без повторного ввода логина и пароля в свою почту, в HCM-систему или другой корпоративный сервис. Пример российской системы, похожей на SSO — это авторизация через Госуслуги, где кнопка «Войти с помощью…» — это и есть SSO в действии.
Современные тренды и отказ от монолитных систем
Технологии единого входа существуют давно. Еще в 80-х годах Microsoft Active Directory (далее — AD) использовалась для авторизации в Windows-приложениях. Но современные веб-приложения требуют гибких и безопасных решений. Несмотря на устаревание AD, многие компании продолжают использовать его. Microsoft предлагал свой сервис Active Directory Federation Services (ADFS), но из-за ухода компании с российского рынка решение потеряло свою актуальность и стало рискованным в использовании.
Традиционные монолитные ERP-системы (например, SAP All-in-One) постепенно заменяются гибкими и адаптивными решениями. Одним из факторов, облегчающих этот переход, стало повсеместное распространение ESB (Enterprise Service Bus) — технологии, которая упрощает интеграцию различных сервисов, чтобы легко обмениваться данными. Вместе с технологией SSO — это открыло двери к современным архитектурам рабочего пространства, в которых сотрудник работает во множестве специализированных систем, даже не ощущая этого. В этом контексте SSO — важный тренд: компании все чаще выбирают централизованное управление учетными записями как стандарт безопасности в корпоративной среде.
Мы в EmplDocs также следуем современным тенденциям и поддерживаем практически все варианты SSO, предоставляя легкий доступ для пользователей и повышенную защиту данных.
Традиционные монолитные ERP-системы (например, SAP All-in-One) постепенно заменяются гибкими и адаптивными решениями. Одним из факторов, облегчающих этот переход, стало повсеместное распространение ESB (Enterprise Service Bus) — технологии, которая упрощает интеграцию различных сервисов, чтобы легко обмениваться данными. Вместе с технологией SSO — это открыло двери к современным архитектурам рабочего пространства, в которых сотрудник работает во множестве специализированных систем, даже не ощущая этого. В этом контексте SSO — важный тренд: компании все чаще выбирают централизованное управление учетными записями как стандарт безопасности в корпоративной среде.
Мы в EmplDocs также следуем современным тенденциям и поддерживаем практически все варианты SSO, предоставляя легкий доступ для пользователей и повышенную защиту данных.
Как работает SSO
Корпоративное SSO объединяет бизнес-приложения в единую систему идентификации пользователей и обеспечивает бесшовный доступ к рабочим сервисам.
В рамках SSO внимание уделяется аутентификации — подтверждению, что пользователь действительно тот, за кого себя выдаёт. Однако современные SSO-решения обычно формируют токены, содержащие информацию о ролях и правах доступа, что позволяет системам-потребителям проводить авторизацию. То есть, SSO в первую очередь обеспечивает единоразовую аутентификацию, а затем сервисы используют эти данные для определения (авторизации), что именно пользователю разрешено делать.
SSO строится на взаимодействии двух ключевых компонентов:
В рамках SSO внимание уделяется аутентификации — подтверждению, что пользователь действительно тот, за кого себя выдаёт. Однако современные SSO-решения обычно формируют токены, содержащие информацию о ролях и правах доступа, что позволяет системам-потребителям проводить авторизацию. То есть, SSO в первую очередь обеспечивает единоразовую аутентификацию, а затем сервисы используют эти данные для определения (авторизации), что именно пользователю разрешено делать.
SSO строится на взаимодействии двух ключевых компонентов:
1
Identity Provider (IDP) — система, которая хранит и управляет учетными данными пользователей. Она отвечает за аутентификацию (проверку логина и пароля) и авторизацию (предоставление доступа к ресурсам).
Примеры IDP: Keycloak, Okta, Microsoft Azure AD.
Примеры IDP: Keycloak, Okta, Microsoft Azure AD.
2
Service Provider (SP) — это приложения или системы, которые интегрируются с IDP. Например, корпоративная почта, CRM, HR-системы (включая EmplDocs).
Ниже схема работы обычной аутентификации для понимания отличий от SSO. В этом случае требуется вводить пароль в каждую информационную систему:
Теперь наглядный пример, как работает технология единого входа SSO. В процессе авторизации SSO участвует три стороны:
- Пользователь
- Поставщик SSO (Identity Provider).
- Сервис — сайт или приложение, доступ к которому нужен пользователю.
Как происходит процесс авторизации через SSO:
Пользователь входит в систему (Service Provider)
Например, сотрудник открывает корпоративный портал EmplDocs.
Например, сотрудник открывает корпоративный портал EmplDocs.
SP перенаправляет пользователя на IDP (Identity Provider)
Если пользователь еще не авторизован, система перенаправляет его на страницу входа IDP.
Если пользователь еще не авторизован, система перенаправляет его на страницу входа IDP.
Пользователь вводит свои учетные данные
Когда пользователь входит в систему через SSO, IDP проверяет его учетные данные и выдает токен доступа.
Когда пользователь входит в систему через SSO, IDP проверяет его учетные данные и выдает токен доступа.
IDP возвращает токен доступа в систему (Service Provider)
Токен — это цифровой ключ, который подтверждает, что пользователь успешно прошел аутентификацию.
Токен — это цифровой ключ, который подтверждает, что пользователь успешно прошел аутентификацию.
Service Provider предоставляет доступ пользователю
На основе токена система определяет, какие ресурсы доступны пользователю, и открывает их. Этот токен позволяет пользователю получать доступ ко всем подключенным приложениям без повторной авторизации.
На основе токена система определяет, какие ресурсы доступны пользователю, и открывает их. Этот токен позволяет пользователю получать доступ ко всем подключенным приложениям без повторной авторизации.
Преимущества использования SSO для компаний
SSO выгоден как для IT-отдела, так и для сотрудников, использующих информационные системы. Одна из главных функций SSO — защита корпоративных данных без ущерба для удобства пользователей. За счет каких механизмов разберемся далее.
Для IT-специалистов - это:
Для IT-специалистов - это:
1
Централизованное управление учетными записями
SSO позволяет хранить все учетные данные сотрудников в одном месте (Identity Provider) — это единый источник правды:
SSO позволяет хранить все учетные данные сотрудников в одном месте (Identity Provider) — это единый источник правды:
- Администраторы могут создавать, блокировать и удалять учетные записи централизованно.
- Быстрое добавление и удаление пользователей — уволенные сотрудники мгновенно теряют доступ ко всем корпоративным системам, что снижает риск утечки данных.
- IT-отдел может оперативно реагировать на инциденты (утерянные пароли или подозрительная активность)
2
Единая парольная политика
Позволяет настроить требования к длине, сложности и сроку действия паролей. SSO упрощает настройку двухфакторной аутентификации для всех корпоративных систем.
Даже если злоумышленник узнает пароль, он не сможет войти без дополнительного подтверждения — например, через SMS-код или приложение-аутентификатор.
Позволяет настроить требования к длине, сложности и сроку действия паролей. SSO упрощает настройку двухфакторной аутентификации для всех корпоративных систем.
Даже если злоумышленник узнает пароль, он не сможет войти без дополнительного подтверждения — например, через SMS-код или приложение-аутентификатор.
3
Снижение нагрузки на службу поддержки
Количество запросов на восстановление паролей сокращается, так как пользователям требуется запомнить только одну учетную запись.
Количество запросов на восстановление паролей сокращается, так как пользователям требуется запомнить только одну учетную запись.
4
Соответствие требованиям безопасности и аудита
SSO упрощает мониторинг и ведение отчетности о входах в систему, что помогает соответствовать требованиям безопасности, таким как ISO 27001.
SSO упрощает мониторинг и ведение отчетности о входах в систему, что помогает соответствовать требованиям безопасности, таким как ISO 27001.
Для конечных пользователей — это:
1
Удобство входа — не нужно запоминать десятки паролей, доступ ко всем корпоративным системам происходит через один логин.
2
Экономия времени — сотрудники быстрее авторизуются в сервисах, что повышает продуктивность и исключает отвлекающие факторы от главных задач.
3
Меньше проблем с паролями — нет необходимости создавать сложные пароли для каждого сервиса, а риск забыть учетные данные сводится к минимуму.
4
Единый пользовательский опыт — переход между разными корпоративными приложениями становится более плавным, что особенно важно для крупных организаций с множеством внутренних систем.
Протоколы, которые используются в SSO
Для обеспечения безопасности и совместимости SSO использует современные протоколы, благодаря им технологиям SSO минимизирует риск фишинговых атак, снижает нагрузку на IT-службы.
SAML (Security Assertion Markup Language)
Это XML-стандарт (расширяемый язык разметки), обеспечивающий обмен данными аутентификации и авторизации между провайдером идентификации (Identity Provider) и поставщиком услуг (Service Provider).
SAML использует язык разметки XML для передачи информации, что обеспечивает единый вход в различные приложения с использованием одного набора учетных данных.
Его преимущество: обеспечит повышенную безопасность и централизованное управление доступом к корпоративным приложениям.
SAML широко используется в корпоративных средах для реализации SSO, позволяя входить в различные приложения с помощью единого набора учетных данных.
Это XML-стандарт (расширяемый язык разметки), обеспечивающий обмен данными аутентификации и авторизации между провайдером идентификации (Identity Provider) и поставщиком услуг (Service Provider).
SAML использует язык разметки XML для передачи информации, что обеспечивает единый вход в различные приложения с использованием одного набора учетных данных.
Его преимущество: обеспечит повышенную безопасность и централизованное управление доступом к корпоративным приложениям.
SAML широко используется в корпоративных средах для реализации SSO, позволяя входить в различные приложения с помощью единого набора учетных данных.
OAuth 2.0 (Open Authorization)
Протокол авторизации, позволяет приложениям получать ограниченный доступ к ресурсам пользователя на сервисах без передачи учетных данных.
Преимущество OAuth 2.0: поддерживает API, обеспечивая быструю и безопасную авторизацию через внешние сервисы. OAuth 2.0 позволяет сотрудникам использовать свои корпоративные учетные записи для входа в различные системы, такие как HR-сервисы, облачные хранилища или инструменты для совместной работы (например, Slack или Trello).
Протокол авторизации, позволяет приложениям получать ограниченный доступ к ресурсам пользователя на сервисах без передачи учетных данных.
Преимущество OAuth 2.0: поддерживает API, обеспечивая быструю и безопасную авторизацию через внешние сервисы. OAuth 2.0 позволяет сотрудникам использовать свои корпоративные учетные записи для входа в различные системы, такие как HR-сервисы, облачные хранилища или инструменты для совместной работы (например, Slack или Trello).
OpenID Connect (OIDC)
Это надстройка над OAuth 2.0, осуществляющая механизм проверки подлинности (кто вы, например, имя и email).
Если OAuth 2.0 отвечает за авторизацию, OIDC расширяет его функциональность и добавляет аутентификацию для подтверждения личности, получает информацию о его профиле.
Проще говоря, OpenID Connect ускоряет процесс аутентификации, чтобы вы могли войти в систему один раз и получить доступ ко всем подключенным приложениям без повторного ввода данных.
Преимущество OIDC в дополнительной безопасности, простой идентификации личности и легком интерфейсе.
Это надстройка над OAuth 2.0, осуществляющая механизм проверки подлинности (кто вы, например, имя и email).
Если OAuth 2.0 отвечает за авторизацию, OIDC расширяет его функциональность и добавляет аутентификацию для подтверждения личности, получает информацию о его профиле.
Проще говоря, OpenID Connect ускоряет процесс аутентификации, чтобы вы могли войти в систему один раз и получить доступ ко всем подключенным приложениям без повторного ввода данных.
Преимущество OIDC в дополнительной безопасности, простой идентификации личности и легком интерфейсе.
Все эти протоколы обеспечивают высокий уровень безопасности и соответствуют международным стандартам (например, OWASP). Для специалистов HR и кадровых служб — это означает удобный и безопасный доступ ко всем необходимым системам, чтобы не запоминать десятки паролей и не опасаться, что их скомпрометируют, а данные сотрудников «утекут».
Как SSO реализовано в EmplDocs
Мы понимаем, что удобство и безопасность авторизации важны для наших клиентов.
Но к нам пришло осознание, что не все российские компании успели внедрить у себя SSO-решения. Часто внедрение новых технологий затруднено в силу текущих потребностей бизнеса, которые едва успевают закрывать ИТ-подразделения заказчиков. Мы стремимся создавать сотрудникам наших клиентов и их IT-отделам только положительный пользовательский опыт и удовлетворение от сотрудничества с EmplDocs.
Поэтому мы приняли решение о предоставлении новой услуги в виде разворачивания SSO IdP (KeyCloak) для заказчиков, кому это требуется. Keycloak — известное open-source решение, которое поддерживает все вышеперечисленные протоколы.
Но к нам пришло осознание, что не все российские компании успели внедрить у себя SSO-решения. Часто внедрение новых технологий затруднено в силу текущих потребностей бизнеса, которые едва успевают закрывать ИТ-подразделения заказчиков. Мы стремимся создавать сотрудникам наших клиентов и их IT-отделам только положительный пользовательский опыт и удовлетворение от сотрудничества с EmplDocs.
Поэтому мы приняли решение о предоставлении новой услуги в виде разворачивания SSO IdP (KeyCloak) для заказчиков, кому это требуется. Keycloak — известное open-source решение, которое поддерживает все вышеперечисленные протоколы.
Почему именно это решение?
SSO позволяет строить единую парольную политику, организации могут настроить свои правила безопасности (например, сложность пароля или двухфакторную аутентификацию) в одном месте — в IDP.
Это единый источник правды — SSO позволяет хранить все учетные записи в одном каталоге. Например, если сотрудник увольняется, его доступ ко всем системам блокируется моментально. И еще несколько преимуществ:
Это единый источник правды — SSO позволяет хранить все учетные записи в одном каталоге. Например, если сотрудник увольняется, его доступ ко всем системам блокируется моментально. И еще несколько преимуществ:
Открытый исходный код, обеспечивает независимость от вендора и раскрытие уязвимостей;
Легкая установка в корпоративный контур, которую мы уже проделали много раз;
Гибкость Keycloak, которая поддерживает современные протоколы, такие как OIDC, OAuth 2.0 и SAML V2, описанные выше;
Положительный опыт, который мы получили с использованием Keycloak для нескольких крупных клиентов и используем его внутри своей компании;
Единая парольная политика, решение EmplDocs ориентировано на использование единого входа в качестве основного метода авторизации.
Стоит ли использовать SSO и кому подходит
Часто пользователи путают SSO с менеджерами паролей, поскольку обе технологии упрощают процесс аутентификации. Однако их принципы работы различны.
SSO позволяет входить в несколько систем с одной учетной записью, обеспечивая централизованный контроль над доступами. Менеджеры паролей, напротив, хранят отдельные пароли для разных сервисов и автоматически подставляют их при необходимости. Хотя это удобнее, чем ручной ввод, такая система не устраняет проблему множества паролей и не обеспечивает централизованного контроля.
Выбирать между раздельными паролями и единым входом через SSO — это не просто вопрос удобства, а главный аспект безопасности. SSO значительно упрощает жизнь: один аккаунт вместо множества паролей и высокий уровень безопасности.
Менеджеры паролей тоже решают проблему запоминания, но если злоумышленник получит доступ к хранилищу, он получит все пароли. И сложно реализовать на практике: пароли забываются, теряются, а их постоянное восстановление превращается в рутину.
Выбор очевиден: в корпоративной среде без SSO не обойтись — это наилучший баланс между безопасностью и удобством, поэтому EmplDocs поддерживает SSO и рекомендует его.
SSO позволяет входить в несколько систем с одной учетной записью, обеспечивая централизованный контроль над доступами. Менеджеры паролей, напротив, хранят отдельные пароли для разных сервисов и автоматически подставляют их при необходимости. Хотя это удобнее, чем ручной ввод, такая система не устраняет проблему множества паролей и не обеспечивает централизованного контроля.
Выбирать между раздельными паролями и единым входом через SSO — это не просто вопрос удобства, а главный аспект безопасности. SSO значительно упрощает жизнь: один аккаунт вместо множества паролей и высокий уровень безопасности.
Менеджеры паролей тоже решают проблему запоминания, но если злоумышленник получит доступ к хранилищу, он получит все пароли. И сложно реализовать на практике: пароли забываются, теряются, а их постоянное восстановление превращается в рутину.
Выбор очевиден: в корпоративной среде без SSO не обойтись — это наилучший баланс между безопасностью и удобством, поэтому EmplDocs поддерживает SSO и рекомендует его.
Какой способ используете вы?
Если у вас нет системы единого входа, мы поможем ее настроить. Напишите нам, расскажем подробнее.
Всё готово
для быстрого старта
для быстрого старта
Пакет необходимых ЛНА, преднастроенные заявки и маршруты согласований – мы подготовили все, чтобы вы могли сразу приступить к работе
Материалы
Презентация спикеров
«Бесплатный сыр» – не только в мышеловке. Госключ как средство ЭП на примере EmplDocs
Перевели 87% штата на КЭДО
Екатерина Александрова – о том, как легко можно перевести сотрудников на КЭДО с Госключом