SAML, OAuth и OIDC: три протокола единого входа
SAML, OAuth и OIDC — это протоколы федеративной аутентификации и авторизации, на которых строится единый вход (SSO, Single Sign-On). Они позволяют сотруднику авторизоваться один раз и получить доступ ко всем корпоративным и облачным сервисам без повторного ввода пароля в каждом.
Зачем это нужно бизнесу
В типичной компании сотрудник пользуется десятком сервисов: почта, CRM, файловое хранилище, таск-трекер, облачная бухгалтерия, корпоративный портал. Если у каждого свой логин и пароль — это и неудобно, и небезопасно: люди заводят слабые повторяющиеся пароли, записывают их на стикерах, а при увольнении забывают отозвать доступ хотя бы в одном из сервисов.
SSO собирает аутентификацию в одну точку. Сотрудник входит на единый портал, а дальше все приложения доверяют этому входу. Уволили человека — заблокировали одну учётную запись, и он мгновенно теряет доступ везде. Включили обязательную многофакторную аутентификацию на портале — она защищает сразу все сервисы. SAML, OAuth и OIDC — это «языки», на которых портал и приложения договариваются о доверии.
Чем различаются три протокола
Их часто путают, хотя задачи у них разные.
SAML (Security Assertion Markup Language) — старейший из трёх, основан на XML. Заточен под корпоративный веб-SSO: сотрудник входит в браузере, провайдер идентификации выдаёт подписанное XML-утверждение, приложение ему доверяет. До сих пор стандарт для многих enterprise-сервисов и бизнес-приложений.
OAuth (Open Authorization) — это про авторизацию, то есть про делегирование доступа, а не про вход как таковой. OAuth отвечает на вопрос «можно ли этому приложению от моего имени читать мою почту / файлы». Сам по себе он не сообщает, кто именно вошёл — он выдаёт токен доступа к ресурсу.
OIDC (OpenID Connect) — надстройка над OAuth, которая добавляет именно аутентификацию: «кто это вошёл». OIDC возвращает токен идентификации с данными о пользователе. Современный лёгкий стандарт на JSON, удобен для веб- и мобильных приложений. Сегодня для новых интеграций чаще выбирают именно OIDC.
| Протокол | Главная задача | Формат |
|---|---|---|
| SAML | Веб-SSO в enterprise | XML |
| OAuth | Делегирование доступа к ресурсу | токен доступа |
| OIDC | Аутентификация (кто вошёл) | JSON / токен ID |
Когда нужно компании
- В компании больше пяти-семи сервисов, и сотрудники жалуются на «зоопарк паролей»
- Нужно при увольнении мгновенно и гарантированно отзывать доступ ко всему сразу
- Внедряется обязательная многофакторная аутентификация — её удобнее ставить в одной точке входа
- Облачный сервис требует подключения по SAML или OIDC для корпоративного входа
- Растёт число подрядчиков и временных сотрудников с гранулированными правами
Что включает наша услуга
- Аудит сервисов и способов входа: что поддерживает SAML, что OIDC, где только локальные пароли
- Развёртывание провайдера идентификации (например, Keycloak) и единого портала входа
- Подключение приложений по нужному протоколу — SAML или OIDC под каждый сервис
- Интеграция со службой каталога (доменные учётные записи как источник пользователей)
- Настройка многофакторной аутентификации и политик доступа в рамках IAM
- Сопровождение и мониторинг входов из нашего NOC
Как связать SSO с многофакторной защитой и парольной политикой — разобрали в статье «Парольная политика и MFA: внедрение».
Связанные термины
- Keycloak — сервер единого входа (SSO) — открытый провайдер идентификации, который говорит на всех трёх протоколах
- IAM — управление идентификацией и доступом — общая дисциплина, частью которой является SSO
- MFA и 2FA — многофакторная аутентификация — второй фактор, который защищает единую точку входа
Хотите единый вход во все корпоративные сервисы?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП