Что такое SSO простыми словами?

SSO (Single Sign-On) — это когда сотрудник вводит логин и пароль один раз утром при входе на компьютер, и больше не вводит их в течение дня в почту, 1С, CRM, файловое хранилище и другие сервисы. Все сервисы доверяют одной системе аутентификации.

Сколько стоит внедрить SSO в офисе на 25 рабочих мест?

Базовое внедрение SSO на основе Active Directory с подключением 4–6 ключевых сервисов (почта, 1С, файловый сервер, Wi-Fi, CRM, телефония) в офисе на 25 РМ обойдётся в 95 000 – 180 000 руб. разовых работ плюс 4 000 – 8 000 руб./мес поддержки.

Нужен ли отдельный сервер для SSO?

Если у вас уже есть домен Active Directory — отдельный сервер не нужен, всё работает на контроллерах домена. Для офисов без AD мы поднимаем виртуальную машину 2 vCPU, 4 GB RAM — этого достаточно для 50 пользователей.

Что делать, если у нас сервисы в облаке (Битрикс24, AmoCRM)?

Большинство облачных CRM и сервисов поддерживают SSO через стандарты SAML 2.0 или OIDC. Мы настраиваем федерацию с вашим локальным каталогом — пользователи входят в облачные сервисы через корпоративный пароль без отдельной регистрации.

Что произойдёт при увольнении сотрудника?

Это главный плюс SSO. Достаточно отключить учётную запись в одном месте — и в ту же секунду сотрудник теряет доступ ко всем корпоративным системам сразу. Без SSO админу пришлось бы вспоминать и блокировать аккаунты в каждом сервисе отдельно.

Безопасность 17 апреля 2026 · 13 мин чтения

SSO для офиса: один пароль на 1С, почту, CRM и Wi-Fi

Меня зовут Семёнов Евгений Сергеевич, я директор АйТи Фреш и уже 15 лет занимаюсь обслуживанием корпоративных IT-инфраструктур в Москве и Подмосковье. Тема единого входа (SSO) у моих клиентов всплывает каждый раз после двух событий: первое — когда увольняют сотрудника, и выясняется, что у него до сих пор есть доступ к семи системам; второе — когда главбух в десятый раз за месяц звонит в IT с просьбой «сбросьте пароль на портале СБИС». В этой статье — как мы решаем обе проблемы за две недели для офисов от 15 до 50 рабочих мест.

Что такое SSO человеческим языком

SSO расшифровывается как Single Sign-On — «единый вход». Технически это означает, что сотрудник утром один раз вводит свой логин и пароль при входе на компьютер, и в течение дня все корпоративные сервисы — почта, 1С, файловое хранилище, CRM, Битрикс24, IP-телефония, корпоративный Wi-Fi — узнают его автоматически и пускают без повторного запроса учётных данных.

Объясняю на пальцах. Без SSO утром у Марии Петровны из бухгалтерии происходит вот что: вход в Windows (пароль 1), открытие Outlook (пароль 2), запуск 1С (пароль 3), вход в СБИС через браузер (пароль 4), Битрикс24 (пароль 5), портал банка (пароль 6), Wi-Fi на телефоне (пароль 7). Семь паролей. Чтобы их запомнить, она пишет их на стикере и клеит к монитору. Я лично за 15 лет видел такие стикеры в каждом третьем офисе.

С SSO у Марии Петровны утром происходит ровно один ввод пароля — при разблокировке компьютера. Дальше она открывает любой нужный сервис, и тот сам у себя проверяет: «А это вообще кто? Ага, это Мария Петровна, бухгалтер, она авторизована полчаса назад в нашей корпоративной системе, пускаем без вопросов». Стикер с монитора уезжает в шредер.

Зачем SSO малому и среднему бизнесу — четыре боли, которые он лечит

Я часто слышу: «SSO — это для крупных корпораций, нам с нашими 25 сотрудниками не нужно». Это заблуждение. Вот четыре конкретные проблемы, которые SSO решает у моих клиентов уже завтра:

Безопасность при увольнении. В среднем офисе на 30 сотрудников за год увольняется 5–8 человек. После каждого админу нужно отключить аккаунты в 6–10 системах. Без SSO забывают отключить хотя бы один сервис в 70 % случаев — я знаю это, потому что регулярно нахожу активные аккаунты уволенных в наших аудитах. С SSO одна команда «отключить пользователя» закрывает всё разом.
Жалобы пользователей. «Забыл пароль от 1С», «не входит в почту», «портал банка просит код по SMS, а телефон забыл дома». Каждое такое обращение в хелпдеск стоит компании 350–600 руб. (зарплата инженера + потерянное время сотрудника). При 30 сотрудниках это 5–8 обращений в неделю — 100 000–200 000 руб. в год выкидывается на пустом месте.
Слабые пароли. Когда паролей семь, человек выбирает один и тот же простой пароль для всех систем. Или вариации: «Petrova2024», «Petrova2024!», «Petrova2024!!». Хакеру достаточно подобрать одну, чтобы получить доступ ко всему. С SSO пароль один — поэтому не жалко сделать его длинным и сложным, и подкрепить двухфакторной аутентификацией.
Аудит и отчётность. При проверке в 152-ФЗ или для прохождения аудита банка нужно показать, кто и когда заходил в систему. Без SSO это семь разных журналов в семи местах. С SSO — один журнал, одна точка контроля, один отчёт за пять минут.

Какие технологии мы используем для SSO в малом бизнесе

Когда меня зовут на аудит и заходит разговор про SSO, я сразу спрашиваю две вещи: есть ли у вас домен Active Directory и какой у вас почтовый сервер. От этого зависит выбор инструмента. Вот таблица решений, которые мы реально внедряем у клиентов в 2026 году.

Сценарий офиса	Решение SSO	Стоимость лицензий
Есть AD, почта Microsoft 365	Entra ID (Azure AD) + AD Connect	от 0 ₽ (входит в M365 Business)
Есть AD, почта Яндекс 360	AD + Яндекс SSO через SAML	0 ₽ (входит в Яндекс 360)
Нет AD, всё в облаке	Яндекс 360 SSO или Битрикс24 SSO	входит в тариф
Есть AD, нужно подключить отечественные сервисы	Keycloak на виртуальной машине	0 ₽ (open source)
Гос-сектор, требования ФСТЭК	ALD Pro / Astra Linux Directory	от 28 000 ₽ за лицензию

Поясню важный момент. В 90 % случаев в моих клиентских офисах уже есть Active Directory — он бесплатно идёт с любым Windows Server, и его поднимали даже самые ленивые админы прошлых лет. То есть основа для SSO у вас уже есть, надо только правильно её настроить и подключить к ней сервисы.

Реальный кейс: торговая компания, 32 рабочих места, центр Москвы

В сентябре 2025 года ко мне обратился директор компании, торгующей промышленным оборудованием. Офис на Тульской, 32 сотрудника, классическая структура: руководство, продажи, бухгалтерия, склад, логистика. До нашего внедрения у них была вот такая ситуация:

Active Directory был, но за два года туда не заводили новых сотрудников — они логинились на компьютеры по локальным учёткам.
Почта на Яндекс 360 — каждый сам помнил свой пароль, при увольнениях аккаунты не блокировались месяцами.
1С УТ 11 — общий пароль «admin123» для всех, потому что «так удобнее».
Битрикс24 — каждый регистрировался сам, пароли никто не контролировал.
Wi-Fi — один пароль на офис, написан на доске в переговорке.
СБИС, Контур — одна учётка на бухгалтерию, ходила по рукам трёх человек.

За три недели мы провели полное внедрение SSO. Что было сделано:

Привели в порядок Active Directory: завели всех 32 сотрудников, разложили по подразделениям, настроили групповые политики.
Настроили синхронизацию AD с Яндекс 360 через Connector — теперь пароль от компьютера = пароль от почты.
В 1С включили аутентификацию через Windows — пользователь больше не вводит пароль в 1С вообще, она сама понимает, кто пришёл.
Поставили Keycloak на маленькой виртуалке (2 vCPU, 4 GB RAM) и подключили к нему Битрикс24 через SAML — клиент входит в Битрикс корпоративным паролем.
Настроили корпоративный Wi-Fi на WPA2-Enterprise с аутентификацией через AD — каждый сотрудник подключается со своим именем и паролем, никаких общих ключей.
Подключили двухфакторную аутентификацию через Яндекс Ключ для критичных систем (почта руководителя, 1С главбуха).

Стоимость: 165 000 руб. разовых работ + 4 500 руб./мес поддержки в составе абонентки. Через четыре месяца клиент написал отзыв: количество обращений в хелпдеск упало с 12 до 3 в неделю, в декабре уволили двух менеджеров — заблокировали в один клик, и впервые за всю историю компании никто не утащил клиентскую базу с собой.

Этапы внедрения SSO в офис: что и когда мы делаем

Чтобы вы понимали масштаб работы — вот пошаговый план, по которому мы идём в каждом проекте.

Неделя 1. Аудит и подготовка. Я лично выезжаю в офис на 3–5 часов. Смотрю, какие сервисы используются, как сейчас живут пользователи, какие у вас лицензии, как настроен AD (если есть). По итогам выпускаю документ страниц на 8–10 — что, как и в какой последовательности будем менять. Утверждаем с заказчиком.

Неделя 2. Базовая инфраструктура. Если AD не было — поднимаем. Если был — приводим в порядок: чистим мёртвые учётки, заводим всех живых, делаем группы по подразделениям, настраиваем парольную политику (минимум 10 символов, смена раз в 6 месяцев, защита от перебора). Проводим короткий ликбез для пользователей — рассказываем, что меняется и почему.

Неделя 3. Подключение сервисов. Идём по списку приоритетов. Сначала почта — это самый критичный сервис, его трогаем в субботу вечером, чтобы в понедельник никто не остался без писем. Потом 1С, файловый сервер, CRM. Каждый сервис тестируем с живым пользователем — садимся рядом и смотрим, что у него получается с первого раза, а где надо допилить.

Неделя 4. Wi-Fi и финальные штрихи. Перевод корпоративного Wi-Fi на персональную аутентификацию — это всегда последний шаг, потому что требует обновления настроек на телефонах и ноутбуках всех сотрудников. Делаем выезд инженера на день, обходим всех, помогаем подключиться. Включаем двухфакторку для топ-менеджмента и бухгалтерии.

После этого две недели мы плотно держим руку на пульсе — мониторим, что не появилось всплеска жалоб, и быстро фиксим мелкие огрехи. Потом проект уходит в обычное обслуживание.

Какие сервисы мы реально подключаем к SSO у малого бизнеса

За 2025 год мы внедрили SSO в 23 офисах. Вот рейтинг сервисов, которые подключали чаще всего, с указанием сложности:

Сервис	Метод подключения	Сложность
Microsoft 365 / Outlook	Entra ID + AD Connect	Низкая
Яндекс 360 (почта, диск)	SAML через Yandex Connect	Низкая
1С:Предприятие 8.3	Windows-аутентификация AD	Низкая
Файловый сервер Windows	NTLM/Kerberos через AD	Низкая
Битрикс24 (облако)	SAML 2.0	Средняя
AmoCRM	SAML 2.0 (тариф «Профессиональный»)	Средняя
Wi-Fi WPA2-Enterprise	RADIUS + AD	Средняя
OpenVPN / Wireguard для удалёнки	RADIUS + AD	Средняя
3CX / Asterisk IP-АТС	LDAP-аутентификация	Средняя
Confluence / Jira	SAML через Keycloak	Высокая
Самописный 1С-портал	OIDC через Keycloak	Высокая

Важный момент: некоторые российские сервисы (СБИС, Контур, портал ФНС) технически не поддерживают SSO через стандарты — там нет SAML или OIDC. В этом случае мы не пытаемся их «впихнуть» силой, а используем корпоративный менеджер паролей (Bitwarden, KeyPass), куда тот же пароль от AD открывает доступ к зашифрованному хранилищу со всеми остальными.

Двухфакторная аутентификация: обязательное продолжение SSO

Когда мы свели всё к одному паролю, этот пароль становится священным граалем для злоумышленника. Утечёт он — утечёт всё. Поэтому SSO без двухфакторки — это половина решения.

Для малого бизнеса в 2026 году я рекомендую следующие варианты двухфакторки в порядке возрастания цены:

Яндекс Ключ или Microsoft Authenticator (бесплатно). Сотрудник устанавливает приложение на телефон, при входе вводит шестизначный код. Подходит для 80 % сценариев.
SMS-коды (от 0.5 руб./SMS). Удобнее для пожилых пользователей, но менее безопасно — SMS можно перехватить через подмену SIM-карты.
Аппаратные токены YubiKey (от 4 800 руб./шт). Физический ключ, который вставляется в USB. Применяем для топ-менеджмента и бухгалтерии — там, где утечка пароля = катастрофа.
Биометрия Windows Hello (бесплатно, нужна камера или сканер отпечатков). Удобно, безопасно, работает на ноутбуках бизнес-класса от ThinkPad и HP EliteBook.

В нашей практике стандарт такой: вся компания получает приложение на телефон, бухгалтерия и руководство — дополнительно YubiKey, IT-администраторы — обязательно YubiKey без альтернатив.

Сколько стоит внедрение и поддержка SSO в АйТи Фреш

Привожу честные цифры, без воды. Цены апрель 2026 года, включают НДС.

Размер офиса	Базовое внедрение	С Keycloak и облачными сервисами	Поддержка/мес
15 РМ, 4 сервиса	65 000 ₽	95 000 ₽	3 500 ₽
25 РМ, 6 сервисов	95 000 ₽	165 000 ₽	5 500 ₽
40 РМ, 8 сервисов	140 000 ₽	240 000 ₽	8 500 ₽
50 РМ, 10+ сервисов	180 000 ₽	320 000 ₽	12 000 ₽

В стоимость входит: предварительный аудит, проектирование, развёртывание (поднятие виртуальной машины с Keycloak при необходимости), интеграция перечисленных сервисов, парольная политика, настройка журналов аудита, подключение двухфакторки, обучение администратора, документация и одна сессия с пользователями офиса (1.5 часа в переговорке) для объяснения, как теперь работать.

Что не входит в базу и тарифицируется отдельно: разработка коннектора для самописного приложения (если такое есть) — от 35 000 руб. за интеграцию; миграция со сторонней системы каталога — от 25 000 руб.; написание корпоративных регламентов по парольной политике для прохождения аудита 152-ФЗ или PCI DSS — 18 000 руб. за документ.

Когда SSO внедрять не надо

Я за честный подход. Не каждому клиенту нужен SSO прямо сейчас. Вот ситуации, когда я говорю «давайте подождём год-два»:

В офисе менее 10 сотрудников и используется не более трёх сервисов. Окупаемость проекта будет 3–4 года, эффект минимальный.
Компания готовится к большой смене ПО (например, переход с 1С УТ на 1С ERP или с Microsoft на Linux/Astra). Сначала меняем платформу, потом строим SSO на новой.
Все сервисы уже в одном экосистемном контуре (например, всё на Яндекс 360 или всё на Битрикс24). Внутри этого контура единый вход уже есть «из коробки», доплачивать не надо.
Бюджета нет, а реальных болей с паролями ещё нет. Не лечим то, что не болит.

Если же у вас 15+ сотрудников, минимум 4–5 рабочих сервисов и регулярная текучка — SSO окупится за 6–9 месяцев экономией на хелпдеске и повышением безопасности.

Получите бесплатный аудит инфраструктуры и план SSO

Я лично выезжаю на аудит к каждому новому клиенту в Москве и в радиусе 50 км от МКАД. За 2–3 рабочих дня вы получите письменный отчёт со списком уязвимостей, рекомендациями по SSO и честным расчётом стоимости внедрения именно для вашего офиса. Без обязательств.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы перед внедрением SSO

Что такое SSO простыми словами?: SSO (Single Sign-On) — это когда сотрудник вводит логин и пароль один раз утром при входе на компьютер, и больше не вводит их в течение дня в почту, 1С, CRM, файловое хранилище и другие сервисы. Все сервисы доверяют одной системе аутентификации.
Сколько стоит внедрить SSO в офисе на 25 рабочих мест?: Базовое внедрение SSO на основе Active Directory с подключением 4–6 ключевых сервисов (почта, 1С, файловый сервер, Wi-Fi, CRM, телефония) в офисе на 25 РМ обойдётся в 95 000–180 000 руб. разовых работ плюс 4 000–8 000 руб./мес поддержки.
Нужен ли отдельный сервер для SSO?: Если у вас уже есть домен Active Directory — отдельный сервер не нужен, всё работает на контроллерах домена. Для офисов без AD мы поднимаем виртуальную машину 2 vCPU, 4 GB RAM — этого достаточно для 50 пользователей.
Что делать, если у нас сервисы в облаке (Битрикс24, AmoCRM)?: Большинство облачных CRM и сервисов поддерживают SSO через стандарты SAML 2.0 или OIDC. Мы настраиваем федерацию с вашим локальным каталогом — пользователи входят в облачные сервисы через корпоративный пароль без отдельной регистрации.
Что произойдёт при увольнении сотрудника?: Это главный плюс SSO. Достаточно отключить учётную запись в одном месте — и в ту же секунду сотрудник теряет доступ ко всем корпоративным системам сразу. Без SSO админу пришлось бы вспоминать и блокировать аккаунты в каждом сервисе отдельно.