Итог: по данным Verizon DBIR 2025, каждая пятая утечка данных начинается с украденных или слабых паролей.
Что такое SSO: простыми словами о технологии единого входа
29 апреля 2026 г.
У типичного офисного сотрудника больше десятка рабочих аккаунтов: почта, мессенджер, задачи, корпоративный портал, облачное хранилище. Для каждого нужен отдельный пароль — и в теории все они должны быть сложными и разными. На практике запомнить 10–15 надежных комбинаций невозможно, поэтому пароли повторяются: у среднего сотрудника только половина паролей от рабочих сервисов — уникальные.
Проблема не в безответственности сотрудников, а в количестве сервисов. SSO решает ее на уровне инфраструктуры: один вход — и все корпоративные сервисы доступны. Разбираемся, как устроена технология единого входа, какие протоколы за ней стоят и зачем она бизнесу.
SSO: что это такое и как переводится
SSO (Single Sign-On) дословно переводится как «единый вход». Это технология, при которой пользователь входит в систему один раз — и получает доступ ко всем связанным сервисам без повторного ввода логина и пароля.
💡 Как SSO выглядит на практике. Вы один раз входите в рабочий аккаунт — и корпоративная почта, мессенджер, документы, календарь, диск доступны сразу. Открыли новый сервис — он уже знает, кто вы. Без дополнительных экранов входа, без потерь паролей.
Прежде чем разбирать механизм работы, разделим два термина, которые часто путают.
- Аутентификация — подтверждение личности. Система проверяет, что вы — это вы: по логину и паролю, по отпечатку или токену.
- Авторизация — предоставление прав. После того как личность подтверждена, система определяет, к каким ресурсам у вас есть доступ. SSO отвечает за аутентификацию: вы подтверждаете личность один раз, а система передает это подтверждение во все подключенные сервисы. А вот что именно вам доступно в каждом из них — почта, редактирование документов, панель администратора — определяется отдельно.
| Параметр | Вход по отдельным паролям | SSO (единый вход) |
|---|---|---|
| Количество паролей | По одному для каждого сервиса | Один для всех систем |
| Безопасность | Риск выше: пароли часто простые или повторяются | Риск ниже: один сложный пароль + возможность подключить 2FA централизованно |
| Время на вход | Каждый раз при входе в сервис | Один раз за рабочую сессию |
| Нагрузка на IT | Частые запросы на сброс пароля | Минимальная |
| Управление доступом | Отдельно в каждой системе | Централизованное |
Какие проблемы создают пароли — и при чем тут SSO
Когда каждый сотрудник работает с десятком сервисов и у каждого свой пароль, проблемы копятся сразу на трех уровнях: у самих сотрудников, у ИТ-отдела и у службы безопасности.
Нагрузка на поддержку. Сотрудники регулярно забывают пароли и обращаются за сбросом — это рутина, которая отвлекает ИТ-отдел от более важных задач.
Сложное администрирование. Доступ к каждому сервису приходится настраивать отдельно: при найме — подключать сотрудника ко всем системам, при увольнении — отключать в каждой. Чем больше точек входа, тем выше шанс, что где-то аккаунт забудут заблокировать.
Уязвимость данных. Каждый повторяющийся пароль — потенциальная брешь в защите. Если злоумышленник получает доступ к одному сервису, он пробует те же учетные данные в остальных. По данным «Лаборатории Касперского», большинство паролей из утекших баз хакеры могут подобрать менее чем за час.
SSO снимает эту нагрузку сразу с трех сторон. Сотрудник запоминает один пароль — и может сделать его действительно сложным. Администратор подключает и отключает доступ ко всем сервисам в одном месте, а не в каждом по отдельности. А ИТ-отдел получает прозрачную картину: кто, когда и куда входил — и может быстро отреагировать на подозрительную активность.
Как работает SSO: механизм сквозной аутентификации
В механизме SSO участвуют три стороны:
- Пользователь — сотрудник, который хочет получить доступ к корпоративному сервису.
- Сервис-провайдер — приложение, в которое нужно войти: почта, мессенджер, система задач.
- Провайдер идентификации — центральный сервер аутентификации, который хранит учетные данные и подтверждает личность пользователя.
Пошаговый процесс сквозной аутентификации (SSO) выглядит так:
- Пользователь открывает корпоративный сервис — например, почту.
- Сервис обнаруживает, что пользователь не аутентифицирован, и перенаправляет запрос к провайдеру идентификации.
- Провайдер проверяет: есть ли у пользователя активная сессия? Если нет — запрашивает логин, пароль и при необходимости второй фактор.
- После успешной проверки провайдер формирует токен безопасности — зашифрованное подтверждение, что пользователь прошел аутентификацию.
- Токен передается сервис-провайдеру. Пользователь получает доступ.
- Пользователь открывает другой сервис — например, мессенджер или календарь. Шаги 1–2 повторяются, но провайдер обнаруживает активную сессию и сразу выдает токен. Повторный ввод пароля не нужен.
Для реализации этого процесса используются стандартизированные протоколы:
| Протокол | Описание | Сфера применения |
|---|---|---|
| SAML 2.0 | XML-протокол обмена данными аутентификации между провайдером идентификации и сервис-провайдером. Отраслевой стандарт корпоративного SSO | Крупные предприятия, интеграция с корпоративными системами |
| OAuth 2.0 / OpenID Connect | OAuth 2.0 управляет авторизацией, а OIDC — надстройка, добавляющая аутентификацию. Вместе обеспечивают и проверку личности, и контроль прав доступа | Веб- и мобильные приложения, API-интеграции, облачные сервисы |
| Kerberos | Протокол взаимной аутентификации на основе «билетов» (tickets). Работает без передачи паролей по каналам связи | Корпоративные сети на базе Active Directory, серверная инфраструктура |
Например, платформа VK WorkSpace для совместной работы команд поддерживает SSO по протоколам OpenID Connect, SAML и Kerberos. В облачной версии подключение работает по OpenID Connect. В серверной версии доступны все три протокола через Keycloak. Интеграция с Active Directory для управления учетными записями поддерживается в обеих версиях — начиная с тарифа «Расширенный».
Где применяется SSO
Сквозная аутентификация полезна везде, где сотрудник за день работает в нескольких системах:
- Корпоративная почта и календарь. Вход в почту автоматически открывает доступ к расписанию встреч и бронированию переговорных — без отдельного логина.
- Мессенджер и видеоконференции. Переход из чата в звонок без повторной аутентификации.
- Управление проектами и задачами. Открыл доску или задачу — система уже знает, кто вы и какие у вас права.
- Файловые хранилища и документы. Совместная работа над файлами без дополнительных паролей.
Например, в VK WorkSpace технология единого входа встроена в платформу. Сотрудник проходит аутентификацию один раз — через суперапп VK WorkSpace или веб-интерфейс — и получает доступ ко всем сервисам без повторного ввода пароля.
Администратор подключает корпоративный провайдер идентификации — и сотрудники входят под своими доменными учетными записями. Настраивать SSO для каждого сервиса отдельно не нужно — единый вход работает сразу на всю платформу. В облачной версии SSO доступен начиная с тарифа «Расширенный», а в серверной — на всех конфигурациях.
Важно знать
SSO и суперапп — не одно и то же. Суперапп VK WorkSpace объединяет сервисы платформы в одном интерфейсе: вы переключаетесь между инструментами без повторного входа. Но это работает только внутри платформы. SSO идет дальше — связывает VK WorkSpace с остальной корпоративной инфраструктурой: CRM, ERP, внутренними порталами. Один логин открывает доступ ко всем системам, а администратор управляет правами из единого центра.
Что такое суперапп и как он помогает бизнесу работать в едином пространстве — рассказали в этой статье.
Зачем бизнесу единый вход в корпоративные сервисы
Быстрый старт для новых сотрудников. Администратор создает одну учетную запись в провайдере идентификации — и сотрудник сразу проходит аутентификацию во всех подключенных сервисах. Не нужно выдавать отдельные логины для почты, мессенджера, диска и задач. По оценкам Gartner, до 40% обращений в ИТ-поддержку связаны со сбросом паролей. SSO сокращает этот поток и освобождает ресурсы для более важных задач.
Прозрачный аудит и соответствие требованиям. Все входы фиксируются в одном журнале: кто, когда и к какому сервису получил доступ. Это упрощает расследование инцидентов и подготовку к проверкам. Для компаний, работающих с персональными данными по 152-ФЗ, централизованный контроль доступа — не бонус, а необходимость.
Масштабирование без хаоса. Когда компания растет и подключает новые сервисы, SSO встраивает их в единую точку входа. Сотрудникам не нужно запоминать дополнительные пароли, а администратору — разворачивать отдельную систему управления учетными записями.
Защита на уровне архитектуры. SSO передает между системами не пароли, а зашифрованные токены. Даже если один из сервисов скомпрометирован, злоумышленник не получает учетные данные пользователя. А двухфакторная аутентификация, настроенная на уровне провайдера идентификации, защищает доступ сразу ко всей инфраструктуре.
VK WorkSpace за 1 ₽ на месяц
Почта, Мессенджер, Календарь, Диск, Документы, Видеоконференции и другие сервисы. Единый вход, аудит логов и централизованное управление доступами — попробуйте в деле
Частые вопросы
Насколько отказоустойчива технология SSO?
Если провайдер идентификации недоступен, пользователи не смогут пройти аутентификацию. Поэтому корпоративные SSO-решения строятся с резервированием: кластеризация провайдера, геораспределенные серверы, автоматическое переключение на резервный узел. В серверной версии VK WorkSpace поддерживается катастрофоустойчивая архитектура с распределенной инсталляцией.
В чем разница между SSO и LDAP?
LDAP (Lightweight Directory Access Protocol) — это протокол доступа к каталогу пользователей, по сути — справочник учетных записей. SSO — механизм аутентификации, который может использовать LDAP как источник данных о пользователях. LDAP хранит информацию «кто есть кто», а SSO отвечает за процесс «подтверди, что это ты — и больше не спрашивай».
Как настраивается SSO в существующей корпоративной среде?
Типовой процесс включает: выбор протокола — OpenID Connect, SAML или Kerberos в зависимости от инфраструктуры, настройку провайдера идентификации, подключение сервис-провайдеров и тестирование. В VK WorkSpace настройка сводится к подключению корпоративного провайдера — без написания кода и без доработки отдельных сервисов.
Влияет ли SSO на скорость входа?
Первый вход занимает столько же времени, сколько обычная аутентификация — с учетом 2FA. Но все последующие входы в другие сервисы происходят мгновенно: браузер или приложение получает токен за доли секунды.
Нужна ли двухфакторная аутентификация, если уже включен SSO?
Да. SSO и 2FA не заменяют, а дополняют друг друга. SSO делает вход удобным, 2FA — безопасным. Сотрудник проходит двухфакторную проверку один раз при входе в систему, а дальше работает со всеми сервисами без прерываний.
Заключение
SSO — это не просто удобная альтернатива традиционному входу. Это важный элемент корпоративной безопасности: меньше паролей — меньше рисков утечек, меньше нагрузки на ИТ-отдел и меньше рутины для сотрудников.
SSO в VK WorkSpace доступен в облачной и серверной версии. Для подключения достаточно настроить провайдер идентификации в панели администратора — без доработки отдельных сервисов. Оставьте заявку на демо — покажем, как единый вход работает для вашей команды.
Запишитесь на демо, чтобы узнать больше о возможностях VK WorkSpace
Наши специалисты покажут вам сценарии работы и помогут выбрать оптимальное решение под потребности вашего бизнеса
Почитать по теме
23 апреля
Microsoft Exchange 2016/2019 остался без обновлений безопасности: что это значит для бизнеса
15 января
Возможности раздела «Суперапп» в панели администратора VK WorkSpace для управления защитой корпоративных данных
9 октября