Kontakty
sk sk


SSO přihlášení ve firmě: co to je, kdy dává smysl a jaké jsou možnosti


Váš tým se ráno přihlašuje do e-mailu, pak do CRM, pak do projektového nástroje, pak do firemního intranetu. Každý systém zvlášť. Každý s jiným heslem. A když někdo odchází z firmy, musíte ho odmazat z každého z nich ručně – pokud na to vůbec vzpomenete.

SSO tohle řeší jedním přihlášením. V článku vysvětlíme, jak to funguje, kdy se to firmě skutečně vyplatí a jaké máte možnosti výběru.


Co je SSO

SSO (Single Sign-On) je způsob přihlašování, při kterém se uživatel ověří jednou – a automaticky získá přístup ke všem povoleným aplikacím, aniž by musel zadávat heslo znovu.

Z pohledu uživatele to vypadá jednoduše: přihlásí se ráno do firemního systému a do e-mailu, CRM, projektového nástroje i interní wiki má přístup bez dalšího zadávání hesel. Z pohledu IT jde o centralizované řízení identit – jeden systém ví, kdo je přihlášený, jaká má práva a kdy mu přístup vyprší.

Technicky za tím stojí takzvaný identity provider (IdP) – centrální server, který ověřuje identity uživatelů a vydává tokeny důvěryhodnosti pro ostatní aplikace. Ty pak tomuto tokenu věří místo toho, aby si přihlášení řešily samy.

Mezi nejrozšířenější open-source identity providery patří Keycloak, mezi komerční řešení pak Auth0, Okta nebo Microsoft Entra ID.


Jak SSO funguje – bez technického žargonu

Představte si hotelovou recepci. Při příjezdu ukážete pas, recepce vás ověří a vydá vám kartičku od pokoje. S touto kartičkou pak otevřete svůj pokoj, vstoupíte do fitka nebo zaplatíte v restauraci. Nikdo vás pokaždé znovu nežádá o pas – stačí kartička.

SSO funguje podobně:

1. Uživatel se přihlásí na centrální přihlašovací stránce identity provideru.
2. Identity provider ověří jeho identitu – například jménem, heslem a případně vícefaktorovým ověřením.
3. Po úspěšném ověření vydá kryptograficky podepsaný token.
4. Uživatel přistoupí k aplikaci. Ta ověří platnost tokenu a pustí ho dovnitř bez dalšího přihlašování.
5. Pokud se uživatel odhlásí z jednoho místa, identity provider může ukončit jeho přístup i napříč dalšími aplikacemi.

Celý proces trvá zlomek sekundy a uživatel ho prakticky nevnímá.


Kdy SSO dává smysl

SSO není nutností pro každou firmu. Ale jakmile splňujete alespoň dva z následujících bodů, investice se typicky vrátí rychle.

Máte 5 a více aplikací, do kterých se zaměstnanci přihlašují

Pod touto hranicí je správa přihlášení ještě zvládnutelná ručně. Nad ní už roste riziko slabých nebo sdílených hesel, zapomenutých přístupů a helpdesk ticketů.


Pravidelně přijímáte nebo propouštíte zaměstnance

Onboarding nového člověka do několika různých systémů zabere hodiny. S SSO přidáte uživatele jednou a přiřadíte mu skupinu – vše ostatní se nastaví automaticky.

Stejně rychlý je offboarding. Když zaměstnanec odchází, deaktivujete jeden účet a přístupy jsou pryč ze všech napojených systémů najednou. Bez obcházení jednotlivých aplikací a bez rizika, že na některý účet zapomenete.


Pracujete s externími partnery nebo dodavateli

Totéž platí pro externí spolupracovníky, dodavatele a partnery, kteří mají přístup do části vašeho prostředí. Právě ti jsou z hlediska správy přístupů často největší slepá skvrna.

Přístup se jim přidá na začátku spolupráce – a pak na něj nikdo nemyslí. SSO vám umožní i tyto uživatele spravovat z jednoho místa, nastavit jim přesně vymezená oprávnění a přístupy odebrat okamžitě, jakmile spolupráce skončí.


Procházíte bezpečnostním auditem nebo řešíte compliance

ISO 27001, SOC 2 nebo GDPR vyžadují prokazatelnou kontrolu nad tím, kdo má přístup k čemu. SSO vám dá centrální audit log přihlášení napříč systémy, který byste jinak skládali z desítek různých míst.


Vaši zaměstnanci pracují s citlivými daty

Centralizované přihlašování umožňuje snadno zavést vícefaktorové ověření (MFA) pro všechny aplikace najednou, místo abyste ho nastavovali v každém systému zvlášť.


Používáte kombinaci on-premise a cloudových aplikací

SSO dokáže propojit interní firemní systémy napojené například na Active Directory s cloudovými SaaS nástroji pod jedním přihlášením.


Co SSO firmě přinese

Přínosy jsou jak na straně bezpečnosti, tak na straně produktivity.

Méně helpdesk ticketů

Zapomenutá hesla tvoří významnou část IT požadavků. SSO tento zdroj ticketů z velké části eliminuje, protože uživatelé si nemusí pamatovat desítky různých přístupů.


Rychlejší nástup nových zaměstnanců

Místo ruční konfigurace přístupů v několika systémech stačí přiřadit uživatele do správné skupiny v identity provideru.


Jedno místo pro odvolání přístupů

Zaměstnanec odchází nebo je propuštěn? Deaktivace jednoho účtu v identity provideru odebere přístupy ke všem integrovaným systémům. S krátkými access tokeny prakticky okamžitě.


Silnější bezpečnostní politiky s menším třením

MFA, podmínky přihlášení jen z firemní sítě, omezení přístupu podle času nebo automatická expirace sessions – to vše nastavíte jednou pro všechny aplikace.


Přehled o přihlašování v reálném čase

Centrální audit log ukáže, kdy se kdo odkud přihlásil a do kterých aplikací vstupoval. Při bezpečnostním incidentu nebo auditu je to zásadní rozdíl oproti tomu, když data hledáte v každém systému zvlášť.


Přehled protokolů – co stojí za SSO

SSO systémy komunikují prostřednictvím standardizovaných protokolů. Nemusíte znát všechny technické detaily, ale je dobré vědět, co stojí za nejčastějšími zkratkami.

SAML 2.0

SAML je starší, ale stále rozšířený standard. Najdete ho hlavně v enterprise prostředí a starších korporátních aplikacích, například u Microsoftu, SAPu nebo Oracle. Komunikuje přes XML.


OpenID Connect a OAuth 2.0

OpenID Connect (OIDC) a OAuth2 jsou moderní standardy, které dnes používá většina nových aplikací, SaaS nástrojů a mobilních aplikací. OIDC používá JSON tokeny, zatímco SAML přenáší XML dokumenty. Integrace OIDC bývá jednodušší a diagnostika problémů přímočařejší.

Dobrý identity provider, jako je Keycloak, podporuje oba světy. Pokud tedy máte mix starších a nových aplikací, nemusíte se rozhodovat jen pro jeden standard.

Podrobněji jsme o protokolech psali v článku Keycloak SSO: OpenID Connect, OAuth2 a SAML.


Jaké jsou možnosti řešení

Existuje několik kategorií nástrojů, ze kterých firmy při zavádění SSO vybírají.

Open-source self-hosted řešení

Typicky Keycloak nebo Authentik. Nasadíte si vlastní server, plně pod kontrolou. Neplatíte licenční poplatky za uživatele, data zůstávají ve vaší infrastruktuře a řešení můžete přizpůsobit svým potřebám.

Na druhou stranu potřebujete technický tým nebo partnera, který se postará o provoz, údržbu, aktualizace a monitoring. Tato cesta dává smysl hlavně firmám, které mají on-premise infrastrukturu, přísné GDPR požadavky nebo nechtějí platit za každého uživatele zvlášť.


Managed SaaS řešení

Například Auth0 nebo Okta. Platíte za službu a nemusíte nic provozovat sami. Výhodou je rychlý start, rozsáhlý ekosystém integrací a profesionální podpora.

Cena ale roste s počtem uživatelů a při větším počtu zaměstnanců může být výrazná. Data zároveň odcházejí k poskytovateli, což může být problém pro regulovaná odvětví nebo firmy s přísnější interní politikou.


Microsoft Entra ID

Microsoft Entra ID, dříve Azure AD, je přirozená volba pro firmy, které stojí na Microsoft 365 a Azure. Dobře se integruje s Teams, SharePointem a dalšími Microsoft produkty.

Pro prostředí mimo Microsoft ekosystém ale může být méně flexibilní.


Google Workspace

Podobně jako Microsoft Entra ID je Google Workspace přirozenou volbou pro firmy, které už fungují v Google ekosystému. Mimo něj ale může být flexibilita omezenější.

Podrobnější srovnání najdete v článku Keycloak vs Auth0: srovnání SSO řešení.


Checklist: 6 otázek před výběrem SSO řešení

Než se rozhodnete, projděte si těchto šest otázek.

1. Kolik uživatelů a aplikací SSO pokryje?

Velké počty uživatelů zdražují SaaS řešení. Naopak malý počet aplikací nemusí ospravedlnit vlastní self-hosted infrastrukturu.


2. Kde musí data fyzicky zůstat?

GDPR, odvětvová regulace nebo interní politika mohou vyžadovat, aby data o identitách zůstala ve vašem datovém centru nebo minimálně v kontrolovaném prostředí.


3. On-premise, cloud nebo hybrid?

Budete SSO propojovat s Active Directory? Máte on-premise aplikace, nebo fungujete čistě v cloudu? Odpověď výrazně ovlivní výběr vhodného řešení.


4. Jaký je váš rozpočet?

SaaS řešení mají nízký vstupní náklad, ale rostoucí provozní náklady. Keycloak má nulové licenční náklady, ale vyžaduje infrastrukturu a odbornost.


5. Má váš IT tým kapacitu provozovat vlastní server?

Self-hosted přináší kontrolu, ale také odpovědnost za provoz, zálohy, monitoring a aktualizace.


6. Jaké aplikace potřebujete integrovat?

Starší systémy mohou vyžadovat SAML, moderní aplikace typicky používají OpenID Connect nebo OAuth2. Ideální řešení by mělo podporovat oba světy.


Závěr

SSO není jen technická vymoženost. Je to bezpečnostní a provozní základ pro firmy, které pracují s více aplikacemi a větším množstvím uživatelů.

Snižuje riziko ztráty přihlašovacích údajů, zrychluje onboarding, zjednodušuje compliance a šetří čas IT oddělení.

Keycloak je nejčastěji nasazovaným open-source řešením pro firmy, které chtějí plnou kontrolu bez licenčních poplatků. Pokud nevíte, jestli je to správná volba pro vaše prostředí, rádi vám pomůžeme situaci posoudit.

Řešíte Keycloak?

Pomůžeme vám s návrhem, nasazením i provozem bezpečného přihlašování.

Ozvěte se nám
Background imagebarevne-fotky-new/images/michal-honza-filip_exp_3

Přečtěte si více o Keycloaku a SSO

Keycloak vs Auth0: srovnání SSO řešení
3. 5. 2026
8 min

Keycloak vs Auth0: srovnání SSO řešení

Více informací
Keycloak SSO: OpenID Connect, OAuth2 a SAML
8. 5. 2026
8 min

Keycloak SSO: OpenID Connect, OAuth2 a SAML

Více informací
Keycloak a Active Directory: propojení přes LDAP
10. 5. 2026
3 min

Keycloak a Active Directory: propojení přes LDAP

Více informací
Produkční nasazení Keycloaku
14. 5. 2026
8 min

Produkční nasazení Keycloaku

Více informací

Jsme tu pro vás

Filip Mejzlik
Filip Mejzlik
Obchodní manažer+420 730 102 115
Michal Hacker
Michal Hacker
CEO+420 725 882 300
Kateřina Marešová
Kateřina Marešová
HR manažerka+420 724 614 674
Jsme součástí BIQ Group