СИБУР перевёл 40 тысяч сотрудников на платформу Труконф
Новости Обновления Мероприятия Вебинары Примеры внедрений База знаний Пресс-релизы Обзоры Терминология

Будет интересно прочитать

Следите за нами в соц. сетях

Телеграм ВКонтакте RuTube
Вернуться в терминологию

SSO (Single Sign-On)

Что такое технология SSO?

SSO (Single Sign-On) — это метод аутентификации, позволяющий пользователю подтвердить свою личность один раз и затем получить доступ к множеству связанных сервисов и платформ без постоянного ввода учетных данных.

С технической стороны, SSO обеспечивает централизованное администрирование сессий через доверенный сервис идентификации (Identity Provider, IdP), который формирует токен или утверждение (assertion), подтверждающее факт успешной аутентификации. Этот токен затем принимается сервисами-провайдерами (Service Providers, SP) для предоставления безопасного доступа без повторной авторизации.

Иными словами, SSO действует как универсальный центр проверки личности, предоставляя пользователю постоянную авторизационную сессию во всех подключенных системах после первоначального входа. Например, авторизовавшись в корпоративном портале, сотрудник автоматически получает возможность работать с CRM, корпоративной почтой и внутренними API без дополнительного подтверждения данных.

Как расшифровывается SSO?

Термин SSO (Single Sign-On) обозначает «единый вход». Это архитектурное решение аутентификации, при котором используется единый IdP-сервер, отвечающий за проверку подлинности учетных данных и создание маркеров доступа.

Данный процесс основан на протоколах обмена удостоверениями, таких как SAML 2.0, OAuth 2.0, OpenID Connect, Kerberos и Keycloak. После успешной проверки IdP формирует и подписывает криптографически защищённый токен, который передается сервисам, доверяющим данному поставщику идентичности.

Следовательно, пользователь проходит идентификацию только один раз, а все последующие запросы к различным системам выполняются с использованием уже выданного токена — без необходимости повторного ввода логина и пароля.

Почему технология SSO стала ключевым элементом корпоративной безопасности?

В современных инфраструктурах сотрудники ежедневно взаимодействуют с десятками различных веб-приложений и SaaS-платформ. Без централизованного механизма входа администраторы неизбежно сталкиваются с проблемами низкой масштабируемости, сложного управления политиками безопасности и неэффективного контроля доступа.

Отсутствие системы SSO приводит к ряду серьезных рисков:

  • повторное использование паролей в нескольких системах значительно увеличивает вероятность компрометации данных;
  • локальное хранение паролей (в браузерах, текстовых файлах или заметках) создает реальную угрозу утечки информации;
  • неуправляемая процедура аутентификации делает невозможным проведение централизованного аудита и оперативного отзыва доступа.

Технология единого входа устраняет эти уязвимости, предоставляя надежную точку аутентификации и единый источник доверия. Через интеграцию с механизмами многофакторной аутентификации (MFA), каталогами пользователей (LDAP, Active Directory) и системами управления доступом (IAM) SSO значительно повышает общий уровень безопасности и упрощает процесс администрирования.

Администраторы получают возможность централизованно управлять политиками, оперативно отзывать токены, отслеживать все события входа и проводить детальный аудит активности в соответствии с внутренними корпоративными стандартами безопасности.

Преимущества использования SSO

Упрощение аутентификации и повышение удобства

Механизм Single Sign-On (SSO) оптимизирует процедуру авторизации, исключая избыточные действия пользователя и снимая необходимость многократного ввода учетных данных при переходе между различными системами.

Аутентификация выполняется единожды через доверенный провайдер (IdP), который генерирует криптографически защищенный токен сессии (например, SAML Assertion или JWT). Этот токен применяется для автоматического доступа к подключенным приложениям без повторной процедуры проверки пароля.

Подобная схема минимизирует задержки при авторизации, снижает количество ошибок при ручном вводе информации и повышает общую эффективность работы пользователей. В корпоративных средах SSO обеспечивает унифицированный процесс идентификации (Unified Login Experience) — независимый от используемой платформы, сетевого протокола или среды развертывания (локальной, гибридной, облачной).

Повышение безопасности (меньше слабых паролей)

SSO снижает риск компрометации учетных записей, поскольку устраняет практику множественного хранения паролей в различных системах. Все процедуры аутентификации проходят через централизованный провайдер IdP, где применяются строгие политики безопасности — MFA (Multi-Factor Authentication), Adaptive Authentication, Password Policy Enforcement и продвинутый поведенческий анализ (UEBA — User and Entity Behavior Analytics).

Вместо разрозненных механизмов проверки, компания использует единую систему доверия, где все выпущенные токены проходят обязательную валидацию подписи (RSA, HMAC) и контроль сроков действия. Таким образом, SSO не только повышает общий уровень безопасности, но и гарантирует соответствие международным стандартам безопасности (SOC 2, ISO 27001, GDPR).

Централизованное управление доступом

SSO встраивается с системами управления идентификациями (IAM, LDAP, Active Directory, Okta, Keycloak) и обеспечивает централизованный мониторинг над всеми процессами аутентификации. Администраторы получают инструменты для управления доступом в режиме реального времени: применять policy-based access control (PBAC), оперативно отзывать токены, блокировать сессии и настраивать правила соответствия (compliance rules).

Единая система аудита логов и мониторинга входов позволяет отслеживать каждое событие авторизации, обеспечивая полную прозрачность и соблюдение стандартов GDPR, HIPAA, NIST SP 800-63. Централизованная панель управления также упрощает интеграцию с SIEM-платформами (например, Splunk, QRadar) для комплексной корреляции событий безопасности.

Гибкость и масштабируемость

Архитектура SSO обеспечивает поэтапное расширение и быстро адаптируется к динамичным изменениям в корпоративной ИТ-инфраструктуре. Современные решения, построенные на основе протоколов SAML 2.0, OAuth 2.0 и OpenID Connect, дают возможность интегрировать множество облачных SaaS-приложений, REST API и внутренних сервисов без изменения архитектуры безопасности.

Благодаря поддержке многопользовательской архитектуры и федеративных моделей, SSO предлагает высокую гибкость в комплексных гибридных инфраструктурах. Эта технология совместима с контейнерными платформами и микросервисными архитектурами (Kubernetes, Docker, Service Mesh) и способна масштабироваться горизонтально для обработки миллионов аутентификационных транзакций ежедневно.

Как работает SSO?

Технология Single Sign-On (SSO) основывается на взаимодействии трёх ключевых компонентов:

  • пользователь (Client) — инициирует первичный этап авторизации, отправляя запрос на доступ к защищённому приложению.
  • поставщик идентификации (Identity Provider, IdP) — проверяет подлинность личности, используя корпоративные каталоги (Active Directory, LDAP, FreeIPA и др.), и формирует подтверждающий токен.
  • поставщик услуг (Service Provider, SP) — целевая система или приложение, которое доверяет IdP и предоставляет доступ пользователю на основании проверенного токена.

Пошаговая логика работы SSO

Когда пользователь обращается к защищённому приложению (SP), происходит автоматическое перенаправление на IdP. Поставщик идентичности запускает механизм проверки подлинности, валидирует учётные данные (пароль, сертификат, MFA) и создаёт подписанный токен, например SAML Assertion или JWT.

Готовый токен передаётся обратно в SP — через браузер или прямой API-вызов. На стороне SP выполняется криптографическая проверка подписи, срока действия и целостности данных. После успешной верификации создаётся локальная сессия, и пользователь получает доступ без повторного ввода логина и пароля.

Такое разделение обязанностей формирует централизованную модель доверия (Trust Model), где все участники взаимодействуют через стандартизованные протоколы: SAML 2.0, OAuth 2.0, OpenID Connect.

Типовой SSO-поток

[User] → [SP: Initial Request] → [Redirect to IdP] → [Authentication at IdP] → [Signed Token Issued] → [Return to SP with Token] → [Token Validation] → [Access Granted]

Пример реального сценария

Сотрудник открывает внутреннюю CRM. Приложение (SP) автоматически перенаправляет его на Azure Active Directory (IdP). После успешной аутентификации Azure AD создаёт JWT и возвращает его в CRM.

CRM проверяет цифровую подпись и срок действия токена, формирует локальную сессию и предоставляет доступ. Далее этот же токен (или обновлённый refresh-token) используется для входа в ERP, SharePoint или корпоративную почту без повторной авторизации.

В результате формируется единая распределённая аутентификационная сессия, в которой IdP выступает центральным источником доверия, а весь обмен защищён современными протоколами HTTPS, TLS 1.3 и криптографическими подписями.

Что такое токен в контексте SSO?

Токен является криптографически защищённым цифровым элементом, предназначенным для подтверждения успешного завершения аутентификации и безопасного обмена дополнительными пользовательскими атрибутами между взаимосвязанными системами.

Данный элемент включает в себя:

  • user_id — уникальный идентификатор субъекта;
  • exp — установленное время действия (expiration time);
  • claims — зафиксированный перечень утверждений, определяющих роль и разрешения;
  • signature — цифровую подпись, удостоверяющую достоверность токена и его происхождение от доверенного IdP.

Конкретный формат токена зависит от применяемого протокола аутентификации:

  • SAML Assertion — XML-документ, заверенный X.509-сертификатом;
  • OAuth 2.0 Access Token — кратковременный JWT, используемый для обращения к API;
  • OpenID Connect ID Token — безопасный JWT, содержащий дополнительные идентификационные данные;
  • Keycloak Token — стандартный JWT, сформированный в рамках Keycloak Realms и содержащий набор ролей, атрибутов и политик доступа;
  • Kerberos Ticket (TGT / Service Ticket) — бинарный токен, зашифрованный ключами KDC и используемый для прозрачной сетевой аутентификации в доменной инфраструктуре.

Каждый созданный токен проходит обязательную проверку на стороне SP с использованием современных алгоритмов RSA-SHA256 или HMAC-SHA512, что надёжно предотвращает подделку и несанкционированное повторное использование информации.

Протоколы и типы конфигураций SSO

Основные протоколы

Технологии Single Sign-On (SSO) функционируют через набор стандартизированных открытых стандартов, гарантирующих безопасную аутентификацию и делегированную авторизацию между доверенными сторонами — Identity Provider (IdP) и Service Provider (SP). Каждый отдельный протокол строго определяет унифицированный формат сообщений, поддерживаемые типы токенов, криптографические методы подписи и надежные механизмы обмена ключами:

  • SAML (Security Assertion Markup Language) — отраслевая спецификация обмена структурированными XML-ассертами между IdP и SP. Активно используется преимущественно в крупных корпоративных и гибридных облачных инфраструктурах (например, Microsoft 365, Salesforce). Основным структурным элементом выступает SAML Assertion — заверенный цифровой подписью XML-документ, подтверждающий успешный факт аутентификации пользователя.
  • OAuth 2.0 — современный протокол делегированной авторизации, предоставляющий сторонним приложениям ограниченный набор разрешений на доступ к защищенным ресурсам без необходимости передачи фактического пароля. В архитектуре SSO применяется для процедуры выдачи access token и refresh token, используемых при вызовах API. Данный функциональный механизм обеспечивает высокую масштабируемость, широкую совместимость и необходимую гибкость при интеграции с мобильными и веб-облачными сервисами.
  • OpenID Connect (OIDC) — универсальная надстройка над фреймворком OAuth 2.0, добавляющая дополнительный уровень идентификации пользователя и стандартизированный обмен ID Token (JWT). Благодаря этой возможности приложение получает криптографически достоверное подтверждение личности, а не просто техническое разрешение на доступ. Этот протокол массово используется в популярных современных экосистемах, таких как Google, Azure AD, Auth0.
  • Kerberos — защищенный протокол внутренней сетевой аутентификации, основанный на принципах симметричного шифрования и централизованной системе билетов (tickets). Наиболее часто внедряется в корпоративных средах с доменной архитектурой Windows. Позволяет авторизованному пользователю единожды пройти аутентификацию и затем прозрачно получать доступ ко множеству внутренних сервисов без постоянного повторного ввода учетных данных.
  • Keycloak Protocols — набор реализованных в Keycloak механизмов аутентификации и авторизации, включающий поддержку SAML 2.0, OAuth 2.0 и OpenID Connect. Keycloak выступает в роли универсального IdP, предоставляя централизованное управление идентичностями, единый формат токенов (JWT), динамические политики доступа и федерацию пользователей через LDAP/Active Directory. Благодаря единообразному подходу Keycloak часто используется как шлюз аутентификации в сложных распределённых системах.

Типы реализации SSO

В зависимости от конкретных требований инфраструктуры и различных сценариев эксплуатации, технология SSO может быть реализована в нескольких основных формах:

    • Enterprise SSO (корпоративная модель)

Применяется внутри крупных организаций для унификации доступа к внутренним приложениям, ERP-системам и корпоративным порталам. Процедура проверки личности выполняется через центральный IdP (например, Active Directory Federation Services, Keycloak). Идеально подходит для защищенных сетей и внутренних систем с повышенными требованиями к безопасности.

    • Web SSO (веб-модель)

Предназначено для веб-приложений и облачных SaaS-платформ, работающих через интернет. Пользователь успешно проходит аутентификацию на IdP один раз, после чего автоматически получает доступ ко всем интегрированным веб-сервисам. Обычно поддерживается с использованием стандартных протоколов SAML или OpenID Connect.

    • Federated SSO (федеративная модель)

Реализует сложный механизм взаимного доверия между независимыми доменами или различными организациями. Авторизованный пользователь одной компании может безопасно получить доступ к системам партнёра без создания новой учетной записи. В основе лежит концепция Identity Federation, при которой несколько IdP разных организаций обмениваются подтвержденными утверждениями аутентификации.

    • App-to-App (приложение-приложение) SSO

Используется для безопасной передачи токенов между взаимосвязанными приложениями в единой экосистеме. Позволяет одному приложению идентифицировать пользователя и делегировать права доступа другому без повторного ввода данных. Наиболее востребовано в мобильных платформах и корпоративных API-интеграциях.

Как работает SSO как услуга (SSOaaS)?

SSOaaS (Single Sign-On as a Service) — облачная модель внедрения единого входа, при которой внешний провайдер берёт на себя полное управление всей инфраструктурой аутентификации. Платформа SSOaaS централизованно выполняет функции проверки подлинности, выпуска токенов, администрирования политик безопасности и интеграции со сторонними IdP.

Основные особенности SSOaaS:

  • унифицированная аутентификация для всех подключённых корпоративных приложений;
  • поддержка международных стандартов SAML, OAuth 2.0, OpenID Connect;
  • автоматизированное управление сессиями, встроенная интеграция MFA и детальное журналирование событий;
  • бесшовная совместимость с корпоративными каталогами (LDAP, Azure AD, Google Workspace).

Примеры популярных решений: Okta, Ping Identity, Auth0, OneLogin, Azure AD SSO. Использование готовых платформ позволяет компаниям оперативно внедрить централизованную аутентификацию без необходимости развертывания собственной инфраструктуры и разработки сложных политик безопасности.