10 марта 2025

Технология единого входа SSO.
Почему без нее сложно представить внедрение нового сервиса в крупной компании.

В современных компаниях Single Sign-On (SSO) — технология единого входа постепенно становится стандартом, не только упрощая жизнь сотрудникам, но и повышая безопасность данных. Если вы до сих пор вводите пароль каждый раз, когда заходите в корпоративную систему (притом уникальный для разных систем), то вы используете устаревший способ аутентификации.

Для нас, EmplDocs, в контексте личного кабинета сотрудника, технология SSO играет особенно важную роль, она обеспечивает удобство для пользователей и дополнительный инструмент безопасности для IT-отдела. В этой статье расскажем, почему SSO — это must-have для любой организации, как она работает и зачем EmplDocs рекомендует ее своим клиентам.
Олег Филиппов
СЕО EmplDocs
SSO (Single Sign-On) — технология единого входа, которая дает возможность пользователям аутентифицироваться в нескольких приложениях и сервисах, используя одну учетную запись.
Представьте, что вы заходите в корпоративный портал, а затем без повторного ввода логина и пароля в свою почту, в HCM-систему или другой корпоративный сервис. Пример российской системы, похожей на SSO — это авторизация через Госуслуги, где кнопка «Войти с помощью…» — это и есть SSO в действии.

Содержание

Современные тренды и отказ от монолитных систем

Технологии единого входа существуют давно. Еще в 80-х годах Microsoft Active Directory (далее — AD) использовалась для авторизации в Windows-приложениях. Но современные веб-приложения требуют гибких и безопасных решений. Несмотря на устаревание AD, многие компании продолжают использовать его. Microsoft предлагал свой сервис Active Directory Federation Services (ADFS), но из-за ухода компании с российского рынка решение потеряло свою актуальность и стало рискованным в использовании.

Традиционные монолитные ERP-системы (например, SAP All-in-One) постепенно заменяются гибкими и адаптивными решениями. Одним из факторов, облегчающих этот переход, стало повсеместное распространение ESB (Enterprise Service Bus) — технологии, которая упрощает интеграцию различных сервисов, чтобы легко обмениваться данными. Вместе с технологией SSO — это открыло двери к современным архитектурам рабочего пространства, в которых сотрудник работает во множестве специализированных систем, даже не ощущая этого. В этом контексте SSO — важный тренд: компании все чаще выбирают централизованное управление учетными записями как стандарт безопасности в корпоративной среде.

Мы в EmplDocs также следуем современным тенденциям и поддерживаем практически все варианты SSO, предоставляя легкий доступ для пользователей и повышенную защиту данных.

Как работает SSO

Корпоративное SSO объединяет бизнес-приложения в единую систему идентификации пользователей и обеспечивает бесшовный доступ к рабочим сервисам.

В рамках SSO внимание уделяется аутентификации — подтверждению, что пользователь действительно тот, за кого себя выдаёт. Однако современные SSO-решения обычно формируют токены, содержащие информацию о ролях и правах доступа, что позволяет системам-потребителям проводить авторизацию. То есть, SSO в первую очередь обеспечивает единоразовую аутентификацию, а затем сервисы используют эти данные для определения (авторизации), что именно пользователю разрешено делать.

SSO строится на взаимодействии двух ключевых компонентов:
1
Identity Provider (IDP) — система, которая хранит и управляет учетными данными пользователей. Она отвечает за аутентификацию (проверку логина и пароля) и авторизацию (предоставление доступа к ресурсам).
Примеры IDP: Keycloak, Okta, Microsoft Azure AD.
2
Service Provider (SP) — это приложения или системы, которые интегрируются с IDP. Например, корпоративная почта, CRM, HR-системы (включая EmplDocs).
Ниже схема работы обычной аутентификации для понимания отличий от SSO. В этом случае требуется вводить пароль в каждую информационную систему:
Теперь наглядный пример, как работает технология единого входа SSO. В процессе авторизации SSO участвует три стороны:
  1. Пользователь
  2. Поставщик SSO (Identity Provider).
  3. Сервис — сайт или приложение, доступ к которому нужен пользователю.
Как происходит процесс авторизации через SSO:
1
Пользователь входит в систему (Service Provider)
Например, сотрудник открывает корпоративный портал EmplDocs.
2
SP перенаправляет пользователя на IDP (Identity Provider)
Если пользователь еще не авторизован, система перенаправляет его на страницу входа IDP.
3
Пользователь вводит свои учетные данные
Когда пользователь входит в систему через SSO, IDP проверяет его учетные данные и выдает токен доступа.
4
IDP возвращает токен доступа в систему (Service Provider)
Токен — это цифровой ключ, который подтверждает, что пользователь успешно прошел аутентификацию.
5
Service Provider предоставляет доступ пользователю
На основе токена система определяет, какие ресурсы доступны пользователю, и открывает их. Этот токен позволяет пользователю получать доступ ко всем подключенным приложениям без повторной авторизации.

Преимущества использования SSO для компаний

SSO выгоден как для IT-отдела, так и для сотрудников, использующих информационные системы. Одна из главных функций SSO — защита корпоративных данных без ущерба для удобства пользователей. За счет каких механизмов разберемся далее.

Для IT-специалистов - это:
1
Централизованное управление учетными записями
SSO позволяет хранить все учетные данные сотрудников в одном месте (Identity Provider) — это единый источник правды:

  • Администраторы могут создавать, блокировать и удалять учетные записи централизованно.
  • Быстрое добавление и удаление пользователей — уволенные сотрудники мгновенно теряют доступ ко всем корпоративным системам, что снижает риск утечки данных.
  • IT-отдел может оперативно реагировать на инциденты (утерянные пароли или подозрительная активность)
2
Единая парольная политика
Позволяет настроить требования к длине, сложности и сроку действия паролей. SSO упрощает настройку двухфакторной аутентификации для всех корпоративных систем.

Даже если злоумышленник узнает пароль, он не сможет войти без дополнительного подтверждения — например, через SMS-код или приложение-аутентификатор.
3
Снижение нагрузки на службу поддержки
Количество запросов на восстановление паролей сокращается, так как пользователям требуется запомнить только одну учетную запись.
4
Соответствие требованиям безопасности и аудита
SSO упрощает мониторинг и ведение отчетности о входах в систему, что помогает соответствовать требованиям безопасности, таким как ISO 27001.
Для конечных пользователей — это:
1
Удобство входа — не нужно запоминать десятки паролей, доступ ко всем корпоративным системам происходит через один логин.
2
Экономия времени — сотрудники быстрее авторизуются в сервисах, что повышает продуктивность и исключает отвлекающие факторы от главных задач.
3
Меньше проблем с паролями — нет необходимости создавать сложные пароли для каждого сервиса, а риск забыть учетные данные сводится к минимуму.
4
Единый пользовательский опыт — переход между разными корпоративными приложениями становится более плавным, что особенно важно для крупных организаций с множеством внутренних систем.

Протоколы, которые используются в SSO

Для обеспечения безопасности и совместимости SSO использует современные протоколы, благодаря им технологиям SSO минимизирует риск фишинговых атак, снижает нагрузку на IT-службы.
SAML (Security Assertion Markup Language)
Это XML-стандарт (расширяемый язык разметки), обеспечивающий обмен данными аутентификации и авторизации между провайдером идентификации (Identity Provider) и поставщиком услуг (Service Provider).
SAML использует язык разметки XML для передачи информации, что обеспечивает единый вход в различные приложения с использованием одного набора учетных данных.

Его преимущество: обеспечит повышенную безопасность и централизованное управление доступом к корпоративным приложениям.

SAML широко используется в корпоративных средах для реализации SSO, позволяя входить в различные приложения с помощью единого набора учетных данных.
OAuth 2.0 (Open Authorization)
Протокол авторизации, позволяет приложениям получать ограниченный доступ к ресурсам пользователя на сервисах без передачи учетных данных.

Преимущество OAuth 2.0: поддерживает API, обеспечивая быструю и безопасную авторизацию через внешние сервисы. OAuth 2.0 позволяет сотрудникам использовать свои корпоративные учетные записи для входа в различные системы, такие как HR-сервисы, облачные хранилища или инструменты для совместной работы (например, Slack или Trello).
OpenID Connect (OIDC)
Это надстройка над OAuth 2.0, осуществляющая механизм проверки подлинности (кто вы, например, имя и email).
Если OAuth 2.0 отвечает за авторизацию, OIDC расширяет его функциональность и добавляет аутентификацию для подтверждения личности, получает информацию о его профиле.

Проще говоря, OpenID Connect ускоряет процесс аутентификации, чтобы вы могли войти в систему один раз и получить доступ ко всем подключенным приложениям без повторного ввода данных.

Преимущество OIDC в дополнительной безопасности, простой идентификации личности и легком интерфейсе.
Все эти протоколы обеспечивают высокий уровень безопасности и соответствуют международным стандартам (например, OWASP). Для специалистов HR и кадровых служб — это означает удобный и безопасный доступ ко всем необходимым системам, чтобы не запоминать десятки паролей и не опасаться, что их скомпрометируют, а данные сотрудников «утекут».

Как SSO реализовано в EmplDocs

Мы понимаем, что удобство и безопасность авторизации важны для наших клиентов.

Но к нам пришло осознание, что не все российские компании успели внедрить у себя SSO-решения. Часто внедрение новых технологий затруднено в силу текущих потребностей бизнеса, которые едва успевают закрывать ИТ-подразделения заказчиков. Мы стремимся создавать сотрудникам наших клиентов и их IT-отделам только положительный пользовательский опыт и удовлетворение от сотрудничества с EmplDocs.

Поэтому мы приняли решение о предоставлении новой услуги в виде разворачивания SSO IdP (KeyCloak) для заказчиков, кому это требуется. Keycloak — известное open-source решение, которое поддерживает все вышеперечисленные протоколы.

Почему именно это решение?

SSO позволяет строить единую парольную политику, организации могут настроить свои правила безопасности (например, сложность пароля или двухфакторную аутентификацию) в одном месте — в IDP.

Это единый источник правды — SSO позволяет хранить все учетные записи в одном каталоге. Например, если сотрудник увольняется, его доступ ко всем системам блокируется моментально. И еще несколько преимуществ:
Открытый исходный код, обеспечивает независимость от вендора и раскрытие уязвимостей;
Легкая установка в корпоративный контур, которую мы уже проделали много раз;
Гибкость Keycloak, которая поддерживает современные протоколы, такие как OIDC, OAuth 2.0 и SAML V2, описанные выше;
Положительный опыт, который мы получили с использованием Keycloak для нескольких крупных клиентов и используем его внутри своей компании;
Единая парольная политика, решение EmplDocs ориентировано на использование единого входа в качестве основного метода авторизации.

Стоит ли использовать SSO и кому подходит

Часто пользователи путают SSO с менеджерами паролей, поскольку обе технологии упрощают процесс аутентификации. Однако их принципы работы различны.

SSO позволяет входить в несколько систем с одной учетной записью, обеспечивая централизованный контроль над доступами. Менеджеры паролей, напротив, хранят отдельные пароли для разных сервисов и автоматически подставляют их при необходимости. Хотя это удобнее, чем ручной ввод, такая система не устраняет проблему множества паролей и не обеспечивает централизованного контроля.

Выбирать между раздельными паролями и единым входом через SSO — это не просто вопрос удобства, а главный аспект безопасности. SSO значительно упрощает жизнь: один аккаунт вместо множества паролей и высокий уровень безопасности.

Менеджеры паролей тоже решают проблему запоминания, но если злоумышленник получит доступ к хранилищу, он получит все пароли. И сложно реализовать на практике: пароли забываются, теряются, а их постоянное восстановление превращается в рутину.

Выбор очевиден: в корпоративной среде без SSO не обойтись — это наилучший баланс между безопасностью и удобством, поэтому EmplDocs поддерживает SSO и рекомендует его.

Какой способ используете вы?

Если у вас нет системы единого входа, мы поможем ее настроить. Напишите нам, расскажем подробнее.
Всё готово
для быстрого старта
Пакет необходимых ЛНА, преднастроенные заявки и маршруты согласований – мы подготовили все, чтобы вы могли сразу приступить к работе

Материалы

Презентация спикеров
«Бесплатный сыр» – не только в мышеловке. Госключ как средство ЭП на примере EmplDocs
Перевели 87% штата на КЭДО
Екатерина Александрова – о том, как легко можно перевести сотрудников на КЭДО с Госключом