Русский
  • enterprise sso
  • customer iam
  • workforce iam
  • single sign-in

Корпоративное SSO: что это, как работает и почему это важно

Изучите мир корпоративного единого входа (SSO) и узнайте, как это может принести пользу вашему бизнесу. Это руководство включает простые объяснения, примеры из реальной жизни и практические советы.

Gao
Gao
Founder

Что такое корпоративное SSO?

Прежде чем углубиться в определение, важно прояснить разницу между SSO и корпоративным SSO, так как это может часто вызывать путаницу.

  • SSO (Единый вход) — это общий термин, который относится к способности пользователя войти один раз и получить доступ к нескольким приложениям или ресурсам, не требуя повторного входа.
  • Корпоративное SSO — это конкретный тип SSO, предназначенный для сотрудников в организации.

Все еще не уверены? Давайте рассмотрим пример:

Онлайн-торговая площадка под названием Amazed имеет два веб-приложения: одно для клиентов и одно для владельцев магазинов. Клиенты входят в торговое приложение для покупки продуктов, в то время как владельцы магазинов входят в приложение для владельцев магазинов для управления своими магазинами. Оба приложения используют одного и того же поставщика идентификации для аутентификации. В результате пользователям нужно войти только один раз, чтобы получить доступ к обоим приложениям, предоставляя опыт Единого входа.

Внутри Amazed используются несколько приложений для командной коммуникации, управления проектами и поддержки клиентов. Чтобы оптимизировать ежедневные рабочие процессы, Amazed внедряет корпоративное SSO для своих сотрудников. С корпоративным SSO сотрудники могут получить доступ ко всем внутренним приложениям с одной учетной записью.

Обычно решения корпоративного SSO также предоставляют централизованную панель для сотрудников, чтобы получать доступ ко всем приложениям одним щелчком. Эта панель часто называется панелью SSO.

Короче говоря, оба сценария являются примерами Единого входа. Отличие в том, что первый пример является обычным SSO, в то время как второй — корпоративным SSO. Это типичные сценарии использования Customer IAM (Управление идентификацией и доступом клиентов) и Workforce IAM, соответственно.

Как работает корпоративное SSO?

Корпоративное SSO работает путем подключения нескольких приложений к централизованному поставщику идентификации. Соединение может быть односторонним (от приложения к поставщику идентификации) или двусторонним (между приложением и поставщиком идентификации). Для этих соединений используются различные стандарты и протоколы, такие как SAML, OpenID Connect и OAuth 2.0.

Независимо от протокола, базовый рабочий процесс обычно схож:

  1. Пользователь получает доступ к приложению (например, коммуникационное приложение), которое требует аутентификации.
  2. Приложение перенаправляет пользователя к поставщику идентификации для аутентификации.
  3. Пользователь входит в поставщика идентификации.
  4. Поставщик идентификации отправляет ответ на аутентификацию обратно в приложение.
  5. Приложение проверяет ответ и предоставляет доступ пользователю.

Когда пользователь получает доступ к другому приложению (например, приложению для управления проектами), подключенному к тому же поставщику идентификации, он входит автоматически, не вводя свои учетные данные снова. В этом случае шаг 3 пропускается, и поскольку шаги 2, 4 и 5 происходят в фоне, пользователь может даже не заметить процесс аутентификации.

Этот процесс называется единым входом, инициированным поставщиком услуг (SP), где приложение (SP) инициирует процесс аутентификации.

В другой ситуации поставщик идентификации предоставляет централизованную панель для пользователей, чтобы они могли получить доступ ко всем подключенным приложениям. Упрощенный процесс работы:

  1. Пользователь входит в поставщика идентификации.
  2. Поставщик идентификации показывает список приложений, к которым пользователь может получить доступ.
  3. Пользователь щелкает по приложению (например, приложению поддержки клиентов), чтобы получить доступ к нему.
  4. Поставщик идентификации перенаправляет пользователя в приложение с информацией аутентификации.
  5. Приложение проверяет информацию и предоставляет доступ пользователю.

Этот процесс называется единым входом, инициированным поставщиком идентификации (IdP), где поставщик идентификации (IdP) инициирует процесс аутентификации.

Почему корпоративное SSO имеет значение?

Корпоративное SSO в управлении идентификацией и доступом сотрудников (Workforce IAM)

Централизованное управление

Основным преимуществом корпоративного SSO является не только удобство для сотрудников, но и повышенная безопасность и соответствие для организаций. Вместо управления несколькими учетными данными для разных приложений и настройки аутентификации и авторизации отдельно для каждого, организации могут централизовать управление идентичностями пользователей, политиками контроля доступа и журналами аудита.

Например, когда сотрудник уходит из компании, IT-отдел может отключить учетную запись сотрудника в поставщике идентификации, сразу отменяя доступ ко всем приложениям. Это важно для предотвращения несанкционированного доступа и утечек данных, процесс, известный как управление жизненным циклом.

Контроль доступа

Решения корпоративного SSO часто включают функции контроля доступа, такие как ролевой контроль доступа (RBAC) и контроль доступа на основе атрибутов (ABAC). Эти функции позволяют организациям определять детальные политики доступа на основе ролей пользователей, атрибутов и другой контекстной информации, гарантируя, что у сотрудников будет правильный уровень доступа к нужным ресурсам.

Для детального сравнения между RBAC и ABAC, ознакомьтесь с RBAC и ABAC: Модели контроля доступа, которые вам следует знать.

Усиленная безопасность

Еще одно преимущество — возможность применять надежные методы аутентификации, такие как многофакторная аутентификация (MFA), аутентификация без пароля и адаптивная аутентификация, к всем приложениям. Эти методы помогают защитить конфиденциальные данные и соответствовать отраслевым правилам.

Для получения дополнительной информации о MFA, обратитесь к Изучение MFA: взгляд на аутентификацию с продуктовой точки зрения.

Корпоративное SSO в управлении идентификацией и доступом клиентов (Customer IAM)

Термин "корпоративное SSO" также встречается в решениях Customer IAM. Что это означает в этом контексте? Давайте еще раз рассмотрим пример с Amazed: некоторые владельцы магазинов зарегистрированы как предприятия. Один из владельцев — Banana Inc., реализует корпоративное SSO для своих сотрудников. В рамках соглашения Banana Inc. требует, чтобы Amazed применяло корпоративное SSO для всех адресов электронной почты от Banana Inc. (например, *@banana.com), когда они получают доступ к приложению для владельцев магазинов.

В этом случае Amazed необходимо интегрировать своего поставщика идентификации с поставщиком идентификации Banana Inc., чтобы включить корпоративное SSO для сотрудников Banana Inc.. Такая интеграция, часто выполняемая через стандартные протоколы, такие как SAML, OpenID Connect или OAuth, обычно называется подключением корпоративного SSO, коннектором корпоративного SSO или федерацией SSO.

Для глубокого объяснения Customer IAM, ознакомьтесь с нашей серией CIAM:

Будьте готовы к корпоративному рынку

В B2B (бизнес для бизнеса) сценариях, корпоративное SSO является обязательной функцией для поставщиков SaaS, таких как Amazed, чтобы поддерживать своих корпоративных клиентов. Это не только про удобство; это про безопасность и соответствие для обеих сторон. Корпоративное SSO может требовать, чтобы все управляемые корпоративным клиентом идентичности аутентифицировались через корпоративного поставщика идентификации, обеспечивая, что предприятие сохраняет контроль над своими пользователями, данными, политиками доступа и безопасности.

Корпоративное SSO является ключевым фактором в достижении готовности к корпоративным клиентам, означающим способность удовлетворять потребности корпоративных клиентов. Однако управление идентификацией и доступом, особенно в контексте корпоративных клиентов, является сложным и требует значительных инвестиций времени, ресурсов и опыта. Современные провайдеры SaaS часто выбирают платформы IAM, чтобы справляться с этими сложностями.

Заключительные замечания

Корпоративное SSO — это мощный инструмент. Оно приносит выгоду всем вовлеченным: сотрудникам, организациям и клиентам. IT-отдел наслаждается уменьшенной нагрузкой, сотрудники избегают усталости от паролей с аутентификацией без пароля, а клиенты ценят улучшенный пользовательский опыт. Если вы создаете или планируете поддерживать корпоративных клиентов с продуктом SaaS, рассмотрите Logto для готового, ориентированного на разработчиков решения.

Попробуйте Logto Cloud бесплатно