Единый вход (SSO)
Что такое единый вход
SSO (Single Sign-On) — технология, при которой пользователь аутентифицируется один раз и получает доступ ко всем сервисам. SSO упрощает работу сотрудников и повышает безопасность, сокращая количество паролей.
Как работает SSO?
- Авторизация: пользователь вводит логин и пароль (или использует двухфакторную/многофакторную аутентификацию MULTIFACTOR) в центральной системе, например, через провайдера идентификации (IdP)
- Создание токена: система генерирует зашифрованный токен (JWT или SAML-токен)
- Доступ к сервисам: токен передаётся приложениям (почта, CRM, VPN), которые доверяют IdP и открывают доступ
Зачем нужна технология SSO?
- Удобство: один набор учётных данных для всех систем
- Безопасность: меньше паролей — ниже риск их кражи через фишинг
- Экономия времени: сотрудники тратят меньше времени на вход (согласно Forrester, до 15 минут в день)
- Централизованное управление: администраторы легко отключают доступ уволенным сотрудникам
- Соответствие стандартам: поддержка 152-ФЗ и ISO 27001 за счёт строгого контроля доступа
Преимущества и риски SSO
| Аспект | Преимущества SSO | Риски SSO |
| Удобство | Один логин для всех приложений | Зависимость от IdP: сбой отключает доступ |
| Безопасность | Меньше паролей, ниже риск кражи | Взлом IdP угрожает всем системам |
| Управление | Централизованное отключение доступа | Требуется защита IdP (например: MULTIFACTOR) |
| Производительность | Быстрый доступ, экономия времени | Сложная настройка для устаревших систем |
| Примеры | Яндекс 360, Yandex Cloud, HUAWEI Mobile Cloud с MULTIFACTOR | Локальные приложения без поддержки SAML |
Риски и как их минимизировать
- Единая точка отказа: если IdP взломают, хакеры получат доступ ко всем системам
Решение: используйте двухфакторную/многофакторную аутентификацию MULTIFACTOR
- Сложность интеграции: не все приложения поддерживают SSO
Решение: настройте адаптеры или используйте современные протоколы (SAML, OIDC)
Примеры применения SSO
- Малый бизнес: стартап использует SSO с MULTIFACTOR для доступа к Яндекс 360, Yandex Cloud, HUAWEI Mobile Cloud, экономя время сотрудников
- Крупная компания: банк интегрирует SSO с MULTIDIRECTORY/Active Directory и MULTIFACTOR для защиты ERP и CRM, обеспечивая соответствие 152-ФЗ
- Удалённая работа: команда подключается к сети VPN с использованием протоколов SAML/OIDC для аутентификации, а доступ к облачным сервисам реализован по модели SSO с применением многофакторной аутентификации (MULTIFACTOR) для повышения уровня безопасности
Протоколы SSO
- SAML (Security Assertion Markup Language): используется в корпоративных системах вроде Yandex Cloud
- OpenID Connect (OIDC): популярен для веб-приложений. Например: вход через VK, mail.ru
- OAuth 2.0: часто сочетается с OIDC для доступа к API
MULTIFACTOR поддерживает все эти протоколы, обеспечивая гибкость и безопасность.
FAQ
SSO повышает безопасность за счёт централизации, сильной аутентификации и упрощения управления, но требует дополнительных мер защиты (MFA, мониторинг).
Да, SSO упрощает управление доступом даже для небольших команд.
Используйте локальные пароли или токены как резерв.
Достаточно сложно.
