Вход
Главная Глоссарий SSO (Single Sign-On)

SSO (Single Sign-On)

Что такое единый вход (SSO, Single Sign-On)?

SSO (Single Sign-On) — это технология централизованной аутентификации, при которой пользователь проходит проверку подлинности один раз и получает доступ к множеству информационных систем без повторного ввода учётных данных.

SSO — Single Sign-On («однократный вход»). В корпоративной инфраструктуре это базовый механизм построения единой системы аутентификации пользователей.

Войти через SSO — это пройти аутентификацию в единой точке доступа и далее использовать сформированную сессию для работы с другими сервисами. Такой подход реализует сквозную (бесшовную) аутентификацию и снижает количество точек проверки учётных данных.

Как работает SSO?

Архитектура SSO строится на модели разделения ролей между компонентами:

  • Identity Provider (IdP) — выполняет аутентификацию и управляет сессиями
  • Service Provider (SP) — прикладные системы, предоставляющие доступ

Типовой сценарий работы:

  • Пользователь инициирует вход в приложение (SP)
  • Приложение перенаправляет его в IdP
  • Пользователь проходит аутентификацию (логин/пароль, при необходимости MFA)
  • IdP формирует мастер-сессию и выпускает токен или утверждение
  • SP валидирует полученные данные и предоставляет доступ

При наличии активной мастер-сессии повторная аутентификация не требуется — выполняется авторизация на основе уже подтверждённой личности. 

Корпоративный SSO

Корпоративный SSO используется для централизованного управления доступом сотрудников к внутренним и внешним ресурсам: корпоративным приложениям, облачным сервисам, VPN и другим системам.

В данной модели все сервисы делегируют аутентификацию единому провайдеру (IdP), что позволяет:

  • унифицировать процессы аутентификации
  • централизовать управление доступами
  • применять единые политики безопасности

Как правило, корпоративный SSO интегрируется с каталогами пользователей (Active Directory, LDAP и др.), сохраняя существующую структуру учётных записей.

SSO авторизация

SSO авторизация — это процесс предоставления доступа к системе на основании уже выполненной аутентификации.

В рамках модели SSO:

  • аутентификация выполняется централизованно (в IdP)
  • авторизация в приложениях осуществляется на основе доверия к результату этой проверки

Таким образом, приложения не обрабатывают учётные данные напрямую, а используют токены или утверждения, выданные провайдером идентификации.

SSO аутентификация

SSO аутентификация — это централизованный процесс проверки личности пользователя в единой точке.

Вынос аутентификации в IdP позволяет:

  • исключить дублирование механизмов проверки в разных системах
  • сократить количество используемых паролей
  • внедрять единые политики безопасности (например, обязательную MFA)

В корпоративных сценариях SSO практически всегда используется совместно с многофакторной аутентификацией, что снижает риски компрометации учётных записей.

Зачем используется единый вход

Использование SSO решает одновременно несколько задач. С точки зрения пользователей — упрощает доступ к системам и снижает когнитивную нагрузку за счёт уменьшения количества учётных данных.

С точки зрения ИТ и ИБ — обеспечивает централизованное управление доступами и повышает прозрачность аутентификационных процессов.

При этом важно учитывать архитектурные особенности. Централизация аутентификации делает Identity Provider критически важным элементом инфраструктуры. Его компрометация или недоступность может повлиять на доступ ко всем подключённым системам.

Поэтому внедрение SSO требует соответствующего уровня защиты и отказоустойчивости.

Протоколы SSO 

SSO реализуется с использованием стандартных протоколов (например, SAML, OAuth 2.0, OpenID Connect), обеспечивающих передачу данных аутентификации между системами.

SSO и безопасность данных

Безопасность данных определяется уровнем защищённости центральной точки аутентификации и механизмов управления сессиями.

Ключевые меры:

  • использование многофакторной аутентификации
  • контроль жизненного цикла сессий
  • аудит событий аутентификации и доступа
  • применение контекстных политик (IP, устройство, география)

При корректной реализации SSO позволяет повысить общий уровень безопасности за счёт централизации контроля и сокращения числа точек обработки учётных данных.

Преимущества и риски SSO

АспектПреимущества Риски
УдобствоОдин логин для всех приложенийЗависимость от IdP: при сбое доступ может быть недоступен
БезопасностьСнижение количества паролей и риска их компрометацииКомпрометация IdP открывает доступ ко всем системам
УправлениеЦентрализованное управление и быстрое отключение доступаТребуется защита IdP (например, MULTIFACTOR)
ПроизводительностьБыстрый доступ к системам, экономия времени сотрудниковСложности интеграции с устаревшими системами
ПрименениеИспользуется в облачных и корпоративных сервисахОграниченная поддержка в legacy-приложениях

Важность SSO для бизнеса

SSO является инструментом оптимизации процессов управления доступом.

Внедрение единого входа позволяет:

  • централизовать аутентификацию и авторизацию
  • ускорить процессы онбординга и оффбординга
  • снизить нагрузку на службы поддержки
  • повысить управляемость инфраструктуры доступа

Для организаций с распределённой ИТ-средой SSO становится базовым элементом архитектуры безопасности.

  • Малый бизнес: стартап использует SSO с MULTIFACTOR для доступа к Яндекс 360, Yandex Cloud, HUAWEI Mobile Cloud, экономя время сотрудников
  • Крупная компания: банк интегрирует SSO с MULTIDIRECTORY/Active Directory и MULTIFACTOR для защиты ERP и CRM, обеспечивая соответствие 152-ФЗ
  • Удалённая работа: команда подключается к сети VPN с использованием протоколов SAML/OIDC для аутентификации, а доступ к облачным сервисам реализован по модели SSO с применением многофакторной аутентификации (MULTIFACTOR) для повышения уровня безопасности

Как упростить доступ сотрудников к корпоративным ресурсам — читайте в статье.

Подробнее про технологию

FAQ

SSO повышает безопасность за счёт централизации, сильной аутентификации и упрощения управления, но требует дополнительных мер защиты (MFA, мониторинг).

Да, SSO упрощает управление доступом даже для небольших команд.

Используйте локальные пароли или токены как резерв.

Достаточно сложно.

Читать также

OpenID Connect

RADIUS-сервер

Изображение продукта
Система двухфакторной аутентификации и контроля доступа для любого удалённого подключения: RDP, VPN, VDI, SSH.
Узнать больше
Изображение продукта
Служба каталогов с ядром собственной разработки
Перейти на сайт
Изображение продукта
Полностью готовое решение для отправки и автоматизации push-сообщений на любые платформы
Перейти на сайт
Изображение продукта
Распределённый сервис анализа работы интернет-ресурсов
Перейти на сайт
Мы уважаем вашу конфиденциальность
Мы используем файлы cookie, чтобы улучшить ваш опыт просмотра, показывать контент и анализировать наш трафик. Нажимая принять все, вы выражаете Согласие с Политикой в отношении обработки персональных данных, в том числе с использованием файлов cookie.