АйТи Фреш
Главная / Статьи / Информационная безопасность
Единый вход за 3-5 дней

Keycloak SSO: единый вход для всех корпоративных сервисов

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-13
▷ Смотреть презентацию
Keycloak SSO: единый вход для всех корпоративных сервисов

У каждого сотрудника в компании обычно пять-семь разных логинов: в 1С, в почте, в CRM, в файловом сервере, в VPN. Когда человек увольняется, отдел кадров присылает заявку в ИТ, а мы вручную обходим все эти системы и гасим доступы — и почти всегда что-то забываем. Один клиент так полгода не замечал, что уволенный менеджер по продажам заходил в CRM с домашнего компьютера и выгружал базу контактов конкурентам. Ровно это и лечит единый вход для корпоративных сервисов на базе Keycloak SSO — про него и статья.

Почему единый вход для сотрудников — это не про удобство, а про деньги и риски

У каждого сервиса свой логин и пароль — это классика для компании до 50 рабочих мест. Бухгалтер помнит пароль от 1С, менеджер — от CRM и почты, а от VPN и файлового сервера пароли обычно записаны в блокноте или в файле «пароли.txt» на рабочем столе. Когда сотрудник забывает пароль, он идёт не к директору, а в ИТ-поддержку, и по нашей статистике по клиентам такие обращения — до трети всех заявок в маленьких компаниях. Каждая такая заявка — это 10-15 минут работы специалиста, который мог бы в это время закрывать более важные задачи.

Настоящая боль начинается, когда сотрудник увольняется. Кадровик присылает в ИТ короткое письмо «уволить Иванова», а дальше начинается ручной обход десятка систем: где-то заблокировали, где-то забыли, а где-то пароль вообще не меняли годами, потому что аккаунт общий на весь отдел. У одного нашего клиента, оптовой компании на 30 человек, бывший менеджер по продажам ещё полгода заходил в CRM с личного ноутбука и выгружал базу контактов — просто потому что доступ никто не отозвал. По 152-ФЗ утечка персональных данных клиентов — это уже не только репутационный риск: с 30 мая 2025 года за это ввели оборотные штрафы, и суммы стали кратно больше прежних фиксированных.

Что даёт внедрение Keycloak SSO бизнесу

Как проходит внедрение Keycloak SSO

1
Аудит и проектирование1 день
смотрим, какие сервисы у вас есть — 1С, почта, CRM, файловый сервер, VPN — и как каждый умеет авторизовывать пользователей: через OpenID Connect, SAML или вообще никак. Составляем схему подключения и список рисков
2
Установка Keycloak1 день
разворачиваем сервер (ваш VPS или наш), ставим Keycloak с базой PostgreSQL, настраиваем HTTPS-сертификат и резервное копирование базы и конфигурации
3
Подключение каталога пользователей1 день
связываем Keycloak с вашим Active Directory или LDAP, если он есть, либо заводим локальную базу сотрудников с ролями и группами по отделам
4
Интеграция сервисов1-2 дня
подключаем 1С (веб-публикацию), почту, CRM, файловый сервер и VPN к Keycloak через OIDC или SAML; для систем без поддержки этих протоколов ставим прокси-прослойку oauth2-proxy
5
MFA и политики безопасности1 день
включаем вход по одноразовому коду из приложения-аутентификатора для критичных систем, настраиваем политику паролей и блокировку после неудачных попыток входа
6
Тестирование и обучение1 день
проверяем вход, выход и отзыв доступа на реальных аккаунтах, показываем кадровику и ИТ-администратору, как выдавать и гасить доступы, передаём инструкцию

Что нужно от вас

Как устроена схема единого входа

СотрудникKeycloak (SSO-сервер)Active Directory/LDAPPostgreSQL1С, CRM, почта, файлов

Сотрудник вводит логин и пароль один раз на странице Keycloak, дальше сервер сам подтверждает его личность каждому сервису по протоколу OpenID Connect или SAML — сами сервисы пароль даже не видят.

Какие сервисы реально получится подключить

Легче всего Keycloak дружит с сервисами, которые понимают OpenID Connect или SAML: это современные CRM вроде Bitrix24 (коробочная версия), почтовые серверы Zimbra или Mailcow, Nextcloud, Confluence, Grafana, VPN-шлюзы на OpenVPN и WireGuard с веб-порталом. Для таких систем интеграция занимает от получаса до пары часов на каждый сервис.

С 1С сложнее — настольный клиент «1С:Предприятие» не умеет работать с OIDC напрямую, поэтому для веб-публикаций 1С (тонкий и веб-клиент через браузер) мы ставим перед сервисом прокси-прослойку oauth2-proxy, которая проверяет вход через Keycloak и только потом пускает пользователя дальше. Толстый клиент 1С в этом случае честно оставляем на отдельном пароле, но ограничиваем доступ к серверу по IP или через тот же VPN, подключённый к Keycloak. Полностью «завести» толстый клиент 1С под единый вход штатными средствами нельзя — обещать обратное было бы нечестно.

Почему без MFA единый вход — это риск, а не защита

Если оставить SSO только с паролем, вы на самом деле не снижаете риск, а концентрируете его: один слитый пароль теперь открывает не одну систему, а все сразу. Поэтому в паре с единым входом мы всегда включаем многофакторную аутентификацию хотя бы для критичных ролей — бухгалтерии, руководителей, ИТ-администраторов. Одноразовый код из приложения-аутентификатора живёт 30 секунд и привязан к конкретному телефону, поэтому украденного или подобранного пароля для входа уже недостаточно.

Сколько стоит внедрение Keycloak SSO

от 55 000 ₽
В базовую стоимость входит установка сервера, подключение каталога пользователей и трёх-четырёх сервисов через OIDC/SAML. Цена растёт, если нужно подключать системы без поддержки современных протоколов через прокси-прослойку, интегрировать больше десятка сервисов или разворачивать отказоустойчивый кластер из двух серверов. Для компании до 50 рабочих мест под ключ это обычно 55 000-120 000 ₽; точную смету называем после короткого аудита.
Рассчитать стоимость →

Частые вопросы

Нужно ли покупать лицензию на Keycloak?
Нет, Keycloak бесплатный, распространяется под лицензией Apache 2.0. Изначально его создала Red Hat, сейчас он развивается как проект фонда CNCF. Вы не платите за количество пользователей или серверов, оплачиваете только работу по внедрению и, если нужно, дальнейшее сопровождение.

Что если 1С или другая система не поддерживает OpenID Connect?
Для таких случаев мы ставим прокси-прослойку oauth2-proxy перед веб-публикацией сервиса — она берёт на себя проверку входа через Keycloak и уже потом пускает пользователя в систему. Для настольных (толстых) клиентов 1С единого входа штатно не сделать, поэтому оставляем отдельный логин, но защищаем его дополнительными правилами доступа по IP или через VPN.

Что случится, если сервер с Keycloak упадёт?
Мы настраиваем резервное копирование базы и конфигурации, а для критичных компаний можем сразу поставить два сервера в отказоустойчивой связке. Если единственный сервер недоступен, сотрудники не смогут войти в подключённые сервисы, поэтому для инфраструктуры с высокими требованиями к доступности рекомендуем кластер.

Сколько времени займёт добавление нового сотрудника или сервиса после внедрения?
Нового сотрудника заводите за пару минут — создаёте учётку в Keycloak или в AD, и у него автоматически появляется доступ ко всем сервисам согласно назначенной роли. Подключение нового сервиса с поддержкой OIDC или SAML занимает у нас от получаса до нескольких часов.

Хотите, чтобы увольнение сотрудника закрывало доступ везде за одну минуту?
Оставьте заявку — за 3-5 дней подключим Keycloak SSO ко всем вашим сервисам и настроим MFA.
Оставить заявку — развернём за 3–5 дней →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды: внедрения, безопасность, 1С, миграции, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи