SSO přihlášení ve firmě: co to je, kdy dává smysl a jaké jsou možnosti

Váš tým se ráno přihlašuje do e-mailu, pak do CRM, pak do projektového nástroje, pak do firemního intranetu. Každý systém zvlášť. Každý s jiným heslem. A když někdo odchází z firmy, musíte ho odmazat z každého z nich ručně – pokud na to vůbec vzpomenete.

SSO tohle řeší jedním přihlášením. V článku vysvětlíme, jak to funguje, kdy se to firmě skutečně vyplatí a jaké máte možnosti výběru.

Co je SSO

SSO (Single Sign-On) je způsob přihlašování, při kterém se uživatel ověří jednou – a automaticky získá přístup ke všem povoleným aplikacím, aniž by musel zadávat heslo znovu.

Z pohledu uživatele to vypadá jednoduše: přihlásí se ráno do firemního systému a do e-mailu, CRM, projektového nástroje i interní wiki má přístup bez dalšího zadávání hesel. Z pohledu IT jde o centralizované řízení identit – jeden systém ví, kdo je přihlášený, jaká má práva a kdy mu přístup vyprší.

Technicky za tím stojí takzvaný identity provider (IdP) – centrální server, který ověřuje identity uživatelů a vydává tokeny důvěryhodnosti pro ostatní aplikace. Ty pak tomuto tokenu věří místo toho, aby si přihlášení řešily samy.

Nejrozšířenějším open-source identity providerem je Keycloak, mezi komerčními pak Auth0, Okta nebo Microsoft Entra ID, dříve Azure AD.

Jak SSO funguje – bez technického žargonu

Představte si hotelovou recepci. Při příjezdu ukážete pas, recepce vás ověří a vydá vám kartičku od pokoje. S touto kartičkou pak otevřete svůj pokoj, vstoupíte do fitka nebo zaplatíte v restauraci. Nikdo vás pokaždé znovu nežádá o pas – stačí kartička.

SSO funguje stejně:

1. Uživatel se přihlásí na centrální přihlašovací stránce identity provideru.
2. Identity provider ověří jeho identitu, například jménem, heslem a případně MFA, a vydá kryptograficky podepsaný token.
3. Uživatel přistoupí k aplikaci. Ta ověří podpis tokenu pomocí veřejného klíče Keycloaku a pustí ho dovnitř – bez dalšího přihlašování.
4. Pokud se uživatel odhlásí z jednoho místa, identity provider má možnost zrušit token a odhlásit uživatele ze všech aplikací najednou pomocí protokolu SLO (Single Logout).

Celý proces trvá zlomek sekundy a uživatel ho vůbec nevnímá.

Kdy SSO dává smysl

SSO není nutností pro každou firmu. Ale jakmile splňujete alespoň dva z následujících bodů, investice se typicky vrátí rychle.

Máte 5 a více aplikací, do kterých se zaměstnanci přihlašují

Pod touto hranicí je správa přihlášení ještě zvládnutelná ručně. Nad ní roste riziko slabých nebo sdílených hesel a helpdesk ticketů na zapomenuté přístupy.

Pravidelně přijímáte nebo propouštíte zaměstnance – nebo pracujete s externími partnery

Onboarding nového zaměstnance do 12 různých systémů zabere hodiny. S SSO přidáte uživatele jednou a přiřadíte mu skupinu – vše ostatní se nastaví automaticky.

Stejně rychlý je offboarding: jeden klik a přístupy jsou pryč ze všech systémů najednou.

Totéž platí pro externí spolupracovníky, dodavatele a partnery, kteří mají přístup do části vašeho prostředí. Ti jsou z hlediska správy přístupů často největší slepá skvrna – přístupy se přidají při zahájení spolupráce a pak na ně nikdo nemyslí.

SSO vám umožní i tyto uživatele spravovat z jednoho místa, nastavit jim přesně vymezená oprávnění a přístupy odebrat okamžitě, jakmile spolupráce skončí. Bez procházení desítek systémů a bez rizika, že na nějaký zapomenete.

Procházíte bezpečnostním auditem nebo musíte splňovat compliance

ISO 27001, SOC 2, GDPR – všechny tyto standardy vyžadují prokazatelnou kontrolu nad tím, kdo má přístup k čemu.

SSO vám dá centrální audit log přihlášení napříč systémy, který jinak skládáte z desítek různých míst.

Vaši zaměstnanci pracují s citlivými daty

Centralizované přihlašování umožňuje snadno zavést vícefaktorové ověření (MFA) pro všechny aplikace najednou, místo abyste ho nastavovali v každém systému zvlášť.

Používáte kombinaci on-premise a cloudových aplikací

SSO dokáže propojit interní firemní systémy, například napojené na Active Directory, s cloudovými SaaS nástroji pod jedním přihlášením.

Co SSO firmě přinese

Přínosy jsou jak na straně bezpečnosti, tak na straně produktivity.

Méně helpdesk ticketů

Podle průzkumů tvoří zapomenutá hesla až 20–50 % všech IT požadavků. SSO tento zdroj ticketů z velké části eliminuje.

Rychlejší nástup nových zaměstnanců

Místo ruční konfigurace přístupů v desítkách systémů stačí přiřadit uživatele do správné skupiny v identity provideru.

Jedno místo pro odvolání přístupů

Zaměstnanec odchází nebo je propuštěn? Deaktivace jednoho účtu v identity provideru odebere přístupy ke všem integrovaným systémům – s krátkými access tokeny prakticky okamžitě.

Žádné zapomenuté účty v legacy systémech.

Silnější bezpečnostní politiky s menším třením

MFA, podmínky přihlášení jen z firemní sítě, jen v pracovní době nebo automatická expirace sessions – to vše nastavíte jednou pro všechny aplikace.

Přehled o přihlašování v reálném čase

Centrální audit log ukáže, kdy se kdo odkud přihlásil a do kterých aplikací vstupoval. Při bezpečnostním incidentu nebo auditu je to k nezaplacení.

Přehled protokolů – co stojí za SSO

SSO systémy komunikují prostřednictvím standardizovaných protokolů. Nemusíte znát detaily, ale je dobré vědět, co stojí za zkratkami.

SAML 2.0

SAML je starší, ale stále rozšířený standard. Najdete ho hlavně v enterprise prostředí a starších korporátních aplikacích, například u Microsoftu, SAPu nebo Oracle. Komunikuje přes XML.

OpenID Connect a OAuth 2.0

OpenID Connect (OIDC) a OAuth2 jsou moderní standardy, které dnes používá většina nových aplikací, SaaS nástrojů a mobilních aplikací.

OIDC používá JSON tokeny (JWT), zatímco SAML přenáší XML dokumenty. Integrace OIDC je jednodušší a diagnostika problémů přímočařejší.

Dobrý identity provider, jako je Keycloak, podporuje oba světy – takže pokud máte mix starých a nových aplikací, nevadí to.

Podrobněji jsme o protokolech psali v článku Keycloak SSO: OpenID Connect, OAuth2 a SAML jednoduše vysvětlené.

Jaké jsou možnosti řešení

Existuje několik kategorií nástrojů, ze kterých firmy vybírají.

Open-source self-hosted řešení

Typicky Keycloak nebo Authentik. Nasadíte si vlastní server, plně pod kontrolou.

Neplatíte licenční poplatky za uživatele, data zůstávají ve vaší infrastruktuře a řešení můžete libovolně přizpůsobit.

Vyžaduje technický tým pro provoz a údržbu. Tato cesta dává smysl hlavně firmám, které mají on-premise infrastrukturu, přísné GDPR požadavky nebo nechtějí platit za každého uživatele zvlášť.

Managed SaaS řešení

Například Auth0 nebo Okta. Platíte za službu a nemusíte nic provozovat sami.

Výhodou je rychlý start, rozsáhlý ekosystém integrací a profesionální podpora.

Cena ale roste s počtem uživatelů a při větším počtu zaměstnanců může být výrazná. Data zároveň odcházejí k poskytovateli – pro regulované odvětví to může být problém.

Microsoft Entra ID

Microsoft Entra ID, dříve Azure AD, je přirozená volba, pokud vaše firma stojí na Microsoft 365 a Azure.

Dobře se integruje s Teams, SharePointem a dalšími Microsoft produkty. Pro prostředí mimo Microsoft ekosystém ale může být méně flexibilní.

Google Workspace

Podobně jako Microsoft Entra ID je Google Workspace přirozenou volbou pro firmy fungující v Google ekosystému.

Mimo něj ale může být flexibilita omezenější.

Podrobnější srovnání najdete v článku Keycloak vs Auth0: srovnání SSO řešení.

Checklist: 6 otázek před výběrem SSO řešení

Než se rozhodnete, projděte si těchto šest otázek.

1. Kolik uživatelů a aplikací SSO pokryje?

Velké počty uživatelů zdražují SaaS řešení, malý počet aplikací nemusí self-hosted infrastrukturu ospravedlnit.

2. Kde musí data fyzicky zůstat?

GDPR, odvětvová regulace nebo interní politika mohou vyžadovat, aby data o identitách zůstala ve vašem datovém centru.

3. On-premise, cloud nebo hybrid?

Budete SSO propojovat s Active Directory? Máte on-premise aplikace, nebo fungujete čistě v cloudu?

4. Jaký je váš rozpočet?

SaaS řešení mají nízký vstupní náklad, ale rostoucí provozní náklady. Keycloak má nulové licenční náklady, ale vyžaduje infrastrukturu a odbornost.

5. Má váš IT tým kapacitu provozovat vlastní server?

Self-hosted přináší kontrolu, ale také odpovědnost za provoz, zálohy a aktualizace.

6. Jaké aplikace potřebujete integrovat?

Starší systémy mohou vyžadovat SAML, moderní API OAuth 2.0. Potřebujete podporu obou?

Závěr

SSO není jen technická vymoženost – je to bezpečnostní a provozní základ pro firmy, které pracují s více aplikacemi a lidmi.

Snižuje riziko ztráty přihlašovacích údajů, zrychluje onboarding, zjednodušuje compliance a šetří čas IT oddělení.

Keycloak je nejčastěji nasazovaným open-source řešením pro firmy, které chtějí plnou kontrolu bez licenčních poplatků. Pokud nevíte, jestli je to ta správná volba pro vaše prostředí, rádi vám pomůžeme to posoudit.