Keycloak и SSO: единый вход во все корпоративные сервисы
Keycloak — open-source платформа для единого входа (SSO) и управления учётными записями. Один логин и пароль на портал, CRM, BI, HR-систему, корпоративный мессенджер и десятки других сервисов.
Зачем это нужно бизнесу
Современная компания пользуется десятками сервисов: облачный CRM, BI-аналитика, HR-портал, тикет-система, документооборот, мессенджер, внутренние веб-приложения. У каждого — свой логин и пароль. Сотрудник либо использует везде один (опасно), либо забывает их и регулярно ходит в Service Desk за восстановлением (дорого по времени). При увольнении проверить, что человек больше нигде не войдёт — отдельный квест по чек-листу из 30 пунктов.
Single Sign-On решает эту проблему: один вход — все сервисы. Сотрудник аутентифицируется один раз утром, дальше попадает в любое приложение без повторного ввода пароля. IT-отдел блокирует учётку в одном месте — и человек теряет доступ ко всему мгновенно.
Keycloak добавляет к этому: управление пользователями и ролями в одной консоли, многофакторную аутентификацию (MFA) для всех сервисов одной настройкой, социальные провайдеры (если нужно — Google, GitHub, корпоративные ИД), журнал входов и доступов. По функциям сопоставим с коммерческими Okta или Azure AD, но open-source и устанавливается в собственную инфраструктуру.
Как это работает
Keycloak — это сервер, работающий на Java (Quarkus в современных версиях), который реализует стандартные протоколы аутентификации:
- OpenID Connect (OIDC) — современный протокол для веб- и мобильных приложений.
- SAML 2.0 — классический протокол для корпоративных приложений и SaaS.
- OAuth 2.0 — для API и интеграций.
Сценарий работы SSO:
- Сотрудник заходит на корпоративный портал (например, BI).
- Портал не находит активной сессии и перенаправляет пользователя на Keycloak.
- Keycloak проверяет: есть ли уже активная сессия SSO? Если да — сразу возвращает токен. Если нет — показывает форму логина (один раз на день).
- После аутентификации Keycloak возвращает пользователя обратно в BI с подписанным токеном.
- Когда тот же сотрудник открывает CRM — шаг 3 проходит мгновенно, без логина.
Ключевые возможности:
- Realms — изолированные группы пользователей. Удобно для холдингов или подрядчиков.
- Identity Brokering — Keycloak может делегировать аутентификацию во внешние ИД (AD, LDAP, другой Keycloak, Google).
- User Federation — синхронизация учёток из существующего AD/LDAP, без миграции данных.
- MFA — TOTP (Google Authenticator), WebAuthn (аппаратные ключи), email/SMS.
- Fine-grained authorization — разграничение прав на уровне ресурсов и действий, не только ролей.
- Customization — кастомные темы логина под корпоративный бренд.
Для отказоустойчивости Keycloak разворачивается в кластере из 2+ узлов с общей PostgreSQL и Infinispan-кэшем сессий.
Когда нужно компании
- В компании от 5 корпоративных сервисов, у каждого свой логин — сотрудники тонут в паролях.
- Есть требования ИБ к MFA, аудиту входов, контролю доступа.
- Подключаются облачные SaaS-сервисы, нужно их интегрировать с корпоративной идентификацией.
- Развит B2B-портал для клиентов или подрядчиков — нужен управляемый вход с разными уровнями доступа.
- Есть устаревший AD и нужна модернизация без полной замены.
- Стратегия отказа от облачных идентификационных сервисов (Microsoft 365, Okta) по соображениям ИБ или санкций.
Если у вас уже работает AD с ADFS — см. Active Directory, GPO, ADFS. Keycloak часто дополняет AD, а не заменяет: AD остаётся источником учёток, Keycloak — точкой входа в современные веб-приложения.
Что включает наша услуга
- Проектирование архитектуры SSO: какие сервисы интегрируем, реалмы, провайдеры идентификации.
- Развёртывание кластера Keycloak с PostgreSQL и балансировщиком, отказоустойчивая конфигурация.
- Интеграция с существующим AD/LDAP — пользователи входят со своими корпоративными паролями.
- Подключение приложений по OIDC и SAML: внутренние веб-сервисы, SaaS, BI, тикет-системы.
- Настройка MFA, политик паролей, журналирования и алертов на подозрительные входы.
- Сопровождение: обновления, разбор инцидентов, помощь пользователям через Service Desk.
Связанные термины
Получить расчёт
Зайдите в калькулятор, отметьте чекбокс «Keycloak / SSO» и получите ориентир по проекту единого входа. Финальная смета — после обследования текущих сервисов и согласования интеграций.
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП