SSO для офиса: единый вход в 1С, почту, CRM — АйТи Фреш
· 13 мин чтения

SSO для офиса: один пароль на 1С, почту, CRM и Wi-Fi

SSO для офиса: один пароль на 1С, почту, CRM и Wi-Fi

Меня зовут Семёнов Евгений Сергеевич, я директор компании АйТи Фреш, и вот уже целых 15 лет я погружён в мир корпоративных IT-инфраструктур в Москве и Подмосковье. Тема единого входа, или SSO, обычно всплывает у моих клиентов после двух очень показательных случаев. Первый — это когда уволили сотрудника, а потом, к своему ужасу, обнаружили, что доступ к семи системам у него по-прежнему открыт. А второй — это когда главбух в десятый раз за месяц звонит в IT-отдел и умоляющим голосом просит: «Пожалуйста, сбросьте мне пароль на портале СБИС». Вот тут-то я и расскажу, как мы справляемся с обеими этими головными болями, причём всего за две недели! Это решение отлично подходит для офисов с числом рабочих мест от 15 до 50.

Что такое SSO человеческим языком

SSO расшифровывается как Single Sign-On, что в переводе означает «единый вход». А что это значит на деле? Это значит, что когда сотрудник утром приходит на работу и один-единственный раз вводит свои логин и пароль при входе на компьютер, после этого все корпоративные сервисы, будь то почта, 1С, файловое хранилище, CRM, Битрикс24, IP-телефония или даже корпоративный Wi-Fi, каким-то волшебным образом узнают его сами и пускают без всяких повторных запросов учётных данных. Удобно, правда?

Давайте я вам объясню это на простом примере, что называется, на пальцах. Представьте утро Марии Петровны из бухгалтерии, которая работает без SSO. Как оно обычно проходит? Сначала вход в Windows (пароль 1), потом Outlook (пароль 2), дальше 1С (пароль 3), затем СБИС через браузер (пароль 4), потом Битрикс24 (пароль 5), портал банка (пароль 6), и, наконец, Wi-Fi на телефоне (пароль 7). Только представьте – целых семь паролей! И что же она делает, чтобы не забивать ими голову? Естественно, записывает их на стикере и приклеивает к монитору. Вот такие стикеры, поверьте мне, я за свои 15 лет работы видел, наверное, в каждом третьем офисе. Это реальность.

А вот если у Марии Петровны уже есть SSO, её утро выглядит совсем иначе. Ей достаточно ввести пароль всего один раз, когда она разблокирует свой компьютер. Потом она спокойно открывает любой нужный ей сервис, а тот, как умный, сам проверяет: «Кто это к нам пришёл? А, это же Мария Петровна, наш бухгалтер! Она уже авторизовалась полчаса назад в нашей корпоративной системе, так что пускаем без лишних вопросов». Всё просто! И, конечно, стикер с паролями тут же отправляется прямиком в шредер, больше он не нужен.

Зачем SSO малому и среднему бизнесу — четыре боли, которые он лечит

Знаете, я очень часто слышу такую фразу: «SSO — это для крупных корпораций, нам с нашими 25 сотрудниками ни к чему». Но я вам скажу честно – это большое заблуждение! Вот четыре абсолютно конкретных проблемы, которые SSO помогает решить моим клиентам, причём буквально уже на следующий день после внедрения:

Какие технологии мы используем для SSO в малом бизнесе

Когда меня приглашают на аудит и мы начинаем обсуждать SSO, я, как правило, первым делом задаю два ключевых вопроса: есть ли у вас домен Active Directory и какой почтовый сервер. Именно от ответов на них зависит, какой инструмент мы будем использовать. Ниже я привожу таблицу с решениями, которые мы в АйТи Фреш реально внедряем у наших клиентов в 2026 году.

Сценарий офисаРешение SSOСтоимость лицензий
Есть AD, почта Microsoft 365Entra ID (Azure AD) + AD Connectот 0 ₽ (входит в M365 Business)
Есть AD, почта Яндекс 360AD + Яндекс SSO через SAML0 ₽ (входит в Яндекс 360)
Нет AD, всё в облакеЯндекс 360 SSO или Битрикс24 SSOвходит в тариф
Есть AD, нужно подключить отечественные сервисыKeycloak на виртуальной машине0 ₽ (open source)
Гос-сектор, требования ФСТЭКALD Pro / Astra Linux Directoryот 28 000 ₽ за лицензию

Позвольте мне прояснить один очень важный момент. В подавляющем большинстве, а это 90 % случаев, в офисах моих клиентов Active Directory уже имеется. Понимаете, он идёт совершенно бесплатно с любым Windows Server, и его, я вам скажу, поднимали даже самые, казалось бы, ленивые админы в прошлом. Так что, по сути, фундамент для SSO у вас уже есть, нужно только грамотно его настроить.

Реальный кейс: торговая компания, 32 рабочих места, центр Москвы

Как-то в сентябре 2025 года ко мне обратился директор одной компании, которая занимается продажей промышленного оборудования. У них был офис на Тульской, 32 сотрудника, и вполне себе классическая структура: руководство, отдел продаж, бухгалтерия, склад и логистика. До того, как мы пришли и начали внедрение, картина у них была, мягко говоря, не радужная. А именно:

За три недели мы провели полное внедрение SSO. Что было сделано:

  1. Привели в порядок Active Directory: завели всех 32 сотрудников, разложили по подразделениям, настроили групповые политики.
  2. Настроили синхронизацию AD с Яндекс 360 через Connector — теперь пароль от компьютера = пароль от почты.
  3. В 1С включили аутентификацию через Windows — пользователь больше не вводит пароль в 1С вообще, она сама понимает, кто пришёл.
  4. Поставили Keycloak на маленькой виртуалке (2 vCPU, 4 GB RAM) и подключили к нему Битрикс24 через SAML — клиент входит в Битрикс корпоративным паролем.
  5. Настроили корпоративный Wi-Fi на WPA2-Enterprise с аутентификацией через AD — каждый сотрудник подключается со своим именем и паролем, никаких общих ключей.
  6. Подключили двухфакторную аутентификацию через Яндекс Ключ для критичных систем (почта руководителя, 1С главбуха).

Что касается стоимости, то разовые работы обошлись в 165 000 руб., плюс ежемесячная поддержка в составе абонентки — 4 500 руб./мес. Всего через четыре месяца после запуска мы получили просто отличный отзыв от клиента: количество обращений в хелпдеск сократилось с 12 до 3 в неделю! А в декабре, когда увольняли двух менеджеров, их доступ заблокировали буквально в один клик. И самое главное – впервые за всю историю этой компании никто не смог утащить с собой клиентскую базу. Вот это результат!

Этапы внедрения SSO в офис: что и когда мы делаем

Чтобы вы могли представить себе весь масштаб нашей работы, я покажу вам пошаговый план, которого мы строго придерживаемся в каждом нашем проекте.

Неделя 1. Аудит и подготовка. Я лично выезжаю в офис на 3–5 часов. Смотрю, какие сервисы используются, как сейчас живут пользователи, какие лицензии, как настроен AD (если он есть). По итогам выпускаю документ на 8–10 страниц — что, как и в какой последовательности будем менять. Утверждаем с заказчиком.

Неделя 2: Занимаемся базовой инфраструктурой. Если AD не было, мы его поднимаем с нуля. А если он уже был, то приводим его в полный порядок: удаляем все «мёртвые» учётки, заводим всех действующих сотрудников, распределяем их по группам и подразделениям, а также настраиваем строгую парольную политику (это значит минимум 10 символов, обязательная смена раз в 6 месяцев и, конечно, защита от перебора). И обязательно проводим короткий, но очень полезный ликбез для всех пользователей – объясняем им, что именно меняется и, самое главное, зачем это всё нужно.

Неделя 3: Приступаем к подключению всех сервисов. Мы чётко следуем списку приоритетов. Первым делом подключаем почту – это самый критичный сервис, поэтому его мы обычно настраиваем в субботу вечером, чтобы в понедельник утром никто, не дай бог, не остался без писем. Потом по очереди идут 1С, файловый сервер, CRM. И что важно: каждый сервис мы обязательно тестируем вместе с живым пользователем – садимся рядом с ним и смотрим, что срабатывает с первого раза, а где, возможно, нужно что-то донастроить.

Неделя 4: Корпоративный Wi-Fi и, конечно, финальные штрихи. Перевод корпоративного Wi-Fi на персональную аутентификацию – это всегда последний этап, ведь для этого нужно обновить настройки на всех телефонах и ноутбуках каждого сотрудника. Поэтому мы организуем выезд инженера на целый день: он обходит всех, буквально каждого, и помогает подключиться. И, конечно же, не забываем включить двухфакторку для нашего топ-менеджмента и всей бухгалтерии – это очень важно.

После завершения основных работ мы ещё недели две очень плотно держим руку на пульсе: внимательно следим, чтобы не было никаких всплесков жалоб, и оперативно исправляем все мелкие недочёты. Затем проект переходит в режим обычного технического обслуживания.

Какие сервисы мы реально подключаем к SSO у малого бизнеса

Только за 2025 год мы успешно внедрили SSO в 23 офисах наших клиентов! Ниже я привожу рейтинг сервисов, которые мы подключали чаще всего, причём с указанием сложности интеграции для каждого:

СервисМетод подключенияСложность
Microsoft 365 / OutlookEntra ID + AD ConnectНизкая
Яндекс 360 (почта, диск)SAML через Yandex ConnectНизкая
1С:Предприятие 8.3Windows-аутентификация ADНизкая
Файловый сервер WindowsNTLM/Kerberos через ADНизкая
Битрикс24 (облако)SAML 2.0Средняя
AmoCRMSAML 2.0 (тариф «Профессиональный»)Средняя
Wi-Fi WPA2-EnterpriseRADIUS + ADСредняя
OpenVPN / Wireguard для удалёнкиRADIUS + ADСредняя
3CX / Asterisk IP-АТСLDAP-аутентификацияСредняя
Confluence / JiraSAML через KeycloakВысокая
Самописный 1С-порталOIDC через KeycloakВысокая

Важный нюанс: некоторые российские сервисы (СБИС, Контур, портал ФНС) технически не поддерживают SSO через стандарты — там нет ни SAML, ни OIDC. В этом случае мы не пытаемся впихнуть их силой, а используем корпоративный менеджер паролей (Bitwarden, KeyPass), куда тот же пароль от AD открывает доступ к зашифрованному хранилищу со всем остальным.

Двухфакторная аутентификация: обязательное продолжение SSO

Когда всё сведено к одному паролю, этот пароль становится для злоумышленника священным граалем. Утечёт он — утечёт всё. Поэтому SSO без двухфакторки — это лишь половина решения.

Для малого бизнеса в 2026 году я лично рекомендую следующие варианты двухфакторной аутентификации, которые я расположил по возрастанию цены:

В нашей ежедневной практике мы придерживаемся такого стандарта: абсолютно вся компания получает специальное приложение на телефон, бухгалтерия и руководство — дополнительно ещё и YubiKey, а вот для IT-администраторов YubiKey является обязательным инструментом, тут уж без вариантов.

Сколько стоит внедрение и поддержка SSO в АйТи Фреш

Привожу честные цифры, без воды. Цены на апрель 2026 года, с НДС.

Размер офисаБазовое внедрениеС Keycloak и облачными сервисамиПоддержка/мес
15 РМ, 4 сервиса65 000 ₽95 000 ₽3 500 ₽
25 РМ, 6 сервисов95 000 ₽165 000 ₽5 500 ₽
40 РМ, 8 сервисов140 000 ₽240 000 ₽8 500 ₽
50 РМ, 10+ сервисов180 000 ₽320 000 ₽12 000 ₽

Что же входит в итоговую стоимость? Вот что я могу перечислить: это и предварительный аудит, и тщательное проектирование, и, конечно, само развёртывание (если нужно, то даже поднятие виртуалки с Keycloak). Сюда же входит интеграция всех перечисленных сервисов, разработка парольной политики, настройка журналов аудита, подключение двухфакторной аутентификации, полноценное обучение вашего администратора, вся необходимая документация. И, конечно, одна отдельная сессия с сотрудниками офиса, которая длится 1.5 часа в переговорке, где мы подробно объясняем, как теперь всем работать.

Что не входит в базу и считается отдельно: разработка коннектора для самописного приложения (если оно есть) — от 35 000 руб. за интеграцию; миграция со сторонней системы каталога — от 25 000 руб.; написание корпоративных регламентов по парольной политике под аудит 152-ФЗ или PCI DSS — 18 000 руб. за документ.

Когда SSO внедрять не надо

Я за честный подход. SSO нужен не каждому и не прямо сейчас. Вот ситуации, когда я говорю «давайте подождём год-два»:

А вот если у вас 15+ сотрудников, минимум 4–5 рабочих сервисов и регулярная текучка — SSO окупится за 6–9 месяцев за счёт экономии на хелпдеске и роста безопасности.

Получите бесплатный аудит инфраструктуры и план SSO

На аудит к каждому новому клиенту я выезжаю лично — по Москве и в радиусе 50 км от МКАД. За 2–3 рабочих дня вы получите письменный отчёт со списком уязвимостей, рекомендациями по SSO и честным расчётом стоимости внедрения именно под ваш офис. Без обязательств.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы перед внедрением SSO

Что такое SSO простыми словами?
SSO (Single Sign-On) — это когда сотрудник вводит логин и пароль один раз утром при входе на компьютер, и больше не вводит их в течение дня в почту, 1С, CRM, файловое хранилище и другие сервисы. Все сервисы доверяют одной системе аутентификации.
Сколько стоит внедрить SSO в офисе на 25 рабочих мест?
Базовое внедрение SSO на основе Active Directory с подключением 4–6 ключевых сервисов (почта, 1С, файловый сервер, Wi-Fi, CRM, телефония) в офисе на 25 РМ обойдётся в 95 000–180 000 руб. разовых работ плюс 4 000–8 000 руб./мес поддержки.
Нужен ли отдельный сервер для SSO?
Если у вас уже есть домен Active Directory — отдельный сервер не нужен, всё работает на контроллерах домена. Для офисов без AD мы поднимаем виртуальную машину 2 vCPU, 4 GB RAM — этого достаточно для 50 пользователей.
Что делать, если у нас сервисы в облаке (Битрикс24, AmoCRM)?
Большинство облачных CRM и сервисов поддерживают SSO через стандарты SAML 2.0 или OIDC. Мы настраиваем федерацию с вашим локальным каталогом — пользователи входят в облачные сервисы через корпоративный пароль без отдельной регистрации.
Что произойдёт при увольнении сотрудника?
Это главный плюс SSO. Достаточно отключить учётную запись в одном месте — и в ту же секунду сотрудник теряет доступ ко всем корпоративным системам сразу. Без SSO админу пришлось бы вспоминать и блокировать аккаунты в каждом сервисе отдельно.
📄
Скачайте подробный разбор в PDF Кейсы, статистика, типовые ошибки и чек-лист самопроверки — 12 страниц
Скачать PDF

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.