Keycloak SSO: единый вход для всех корпоративных сервисов
▷ Смотреть презентациюУ каждого сотрудника в компании обычно пять-семь разных логинов: в 1С, в почте, в CRM, в файловом сервере, в VPN. Когда человек увольняется, отдел кадров присылает заявку в ИТ, а мы вручную обходим все эти системы и гасим доступы — и почти всегда что-то забываем. Один клиент так полгода не замечал, что уволенный менеджер по продажам заходил в CRM с домашнего компьютера и выгружал базу контактов конкурентам. Ровно это и лечит единый вход для корпоративных сервисов на базе Keycloak SSO — про него и статья.
Почему единый вход для сотрудников — это не про удобство, а про деньги и риски
У каждого сервиса свой логин и пароль — это классика для компании до 50 рабочих мест. Бухгалтер помнит пароль от 1С, менеджер — от CRM и почты, а от VPN и файлового сервера пароли обычно записаны в блокноте или в файле «пароли.txt» на рабочем столе. Когда сотрудник забывает пароль, он идёт не к директору, а в ИТ-поддержку, и по нашей статистике по клиентам такие обращения — до трети всех заявок в маленьких компаниях. Каждая такая заявка — это 10-15 минут работы специалиста, который мог бы в это время закрывать более важные задачи.
Настоящая боль начинается, когда сотрудник увольняется. Кадровик присылает в ИТ короткое письмо «уволить Иванова», а дальше начинается ручной обход десятка систем: где-то заблокировали, где-то забыли, а где-то пароль вообще не меняли годами, потому что аккаунт общий на весь отдел. У одного нашего клиента, оптовой компании на 30 человек, бывший менеджер по продажам ещё полгода заходил в CRM с личного ноутбука и выгружал базу контактов — просто потому что доступ никто не отозвал. По 152-ФЗ утечка персональных данных клиентов — это уже не только репутационный риск: с 30 мая 2025 года за это ввели оборотные штрафы, и суммы стали кратно больше прежних фиксированных.
Что даёт внедрение Keycloak SSO бизнесу
- Один логин и пароль на все сервисы — сотрудник входит один раз утром и попадает сразу в 1С, почту, CRM и файловый сервер без повторных вводов пароля
- Увольнение сотрудника закрывает доступ везде за одну минуту — отключили аккаунт в Keycloak, и человек мгновенно теряет вход во все подключённые системы, а не только в ту, о которой вспомнил кадровик
- Меньше нагрузка на ИТ-поддержку — до трети заявок в небольших компаниях это «забыл пароль», SSO снимает большую часть таких обращений и экономит 5-10 часов работы ИТ-специалиста в месяц
- Многофакторная аутентификация закрывает главный вектор атак — подобранного или слитого пароля больше недостаточно, нужен ещё код из приложения на телефоне сотрудника
- Единый журнал входов — вы видите в одном месте, кто, когда и откуда заходил в любой из подключённых сервисов, это упрощает разбор инцидентов и проверки по 152-ФЗ
- Экономия на лицензиях — Keycloak бесплатный, распространяется по лицензии Apache 2.0, вы платите только за работу по внедрению и сопровождению, а не за подписку на каждого пользователя
Как проходит внедрение Keycloak SSO
Что нужно от вас
- Список всех сервисов, куда нужен единый вход, и админ-доступы к ним
- Доступ к Active Directory/LDAP, если он у вас есть, либо список сотрудников с должностями
- Сервер или VPS под Keycloak — для компании до 50 рабочих мест хватает от 2-4 ГБ ОЗУ и 2 ядер — либо разрешение развернуть его у нас
- Решение, через какое приложение сотрудники будут получать код MFA — Google Authenticator, Яндекс.Ключ или любой другой TOTP-совместимый
- Контактное лицо, ответственное за информационную безопасность, для согласования политик доступа
Как устроена схема единого входа
Сотрудник вводит логин и пароль один раз на странице Keycloak, дальше сервер сам подтверждает его личность каждому сервису по протоколу OpenID Connect или SAML — сами сервисы пароль даже не видят.
Какие сервисы реально получится подключить
Легче всего Keycloak дружит с сервисами, которые понимают OpenID Connect или SAML: это современные CRM вроде Bitrix24 (коробочная версия), почтовые серверы Zimbra или Mailcow, Nextcloud, Confluence, Grafana, VPN-шлюзы на OpenVPN и WireGuard с веб-порталом. Для таких систем интеграция занимает от получаса до пары часов на каждый сервис.
С 1С сложнее — настольный клиент «1С:Предприятие» не умеет работать с OIDC напрямую, поэтому для веб-публикаций 1С (тонкий и веб-клиент через браузер) мы ставим перед сервисом прокси-прослойку oauth2-proxy, которая проверяет вход через Keycloak и только потом пускает пользователя дальше. Толстый клиент 1С в этом случае честно оставляем на отдельном пароле, но ограничиваем доступ к серверу по IP или через тот же VPN, подключённый к Keycloak. Полностью «завести» толстый клиент 1С под единый вход штатными средствами нельзя — обещать обратное было бы нечестно.
Почему без MFA единый вход — это риск, а не защита
Если оставить SSO только с паролем, вы на самом деле не снижаете риск, а концентрируете его: один слитый пароль теперь открывает не одну систему, а все сразу. Поэтому в паре с единым входом мы всегда включаем многофакторную аутентификацию хотя бы для критичных ролей — бухгалтерии, руководителей, ИТ-администраторов. Одноразовый код из приложения-аутентификатора живёт 30 секунд и привязан к конкретному телефону, поэтому украденного или подобранного пароля для входа уже недостаточно.
Сколько стоит внедрение Keycloak SSO
Частые вопросы
Нужно ли покупать лицензию на Keycloak?
Нет, Keycloak бесплатный, распространяется под лицензией Apache 2.0. Изначально его создала Red Hat, сейчас он развивается как проект фонда CNCF. Вы не платите за количество пользователей или серверов, оплачиваете только работу по внедрению и, если нужно, дальнейшее сопровождение.
Что если 1С или другая система не поддерживает OpenID Connect?
Для таких случаев мы ставим прокси-прослойку oauth2-proxy перед веб-публикацией сервиса — она берёт на себя проверку входа через Keycloak и уже потом пускает пользователя в систему. Для настольных (толстых) клиентов 1С единого входа штатно не сделать, поэтому оставляем отдельный логин, но защищаем его дополнительными правилами доступа по IP или через VPN.
Что случится, если сервер с Keycloak упадёт?
Мы настраиваем резервное копирование базы и конфигурации, а для критичных компаний можем сразу поставить два сервера в отказоустойчивой связке. Если единственный сервер недоступен, сотрудники не смогут войти в подключённые сервисы, поэтому для инфраструктуры с высокими требованиями к доступности рекомендуем кластер.
Сколько времени займёт добавление нового сотрудника или сервиса после внедрения?
Нового сотрудника заводите за пару минут — создаёте учётку в Keycloak или в AD, и у него автоматически появляется доступ ко всем сервисам согласно назначенной роли. Подключение нового сервиса с поддержкой OIDC или SAML занимает у нас от получаса до нескольких часов.
Оставьте заявку — за 3-5 дней подключим Keycloak SSO ко всем вашим сервисам и настроим MFA.
Оставить заявку — развернём за 3–5 дней →
Подпишитесь на рассылку ITfresh
Раз в неделю — практические гайды: внедрения, безопасность, 1С, миграции, лайфхаки из реальных проектов.
