SSO

Co je SSO?

SSO (Single Sign-On) je autentizační mechanismus, který umožňuje uživateli zadat své přihlašovací údaje jen jednou a potom mít přístup k celé sadě firemních aplikací bez opakovaného přihlašování. SSO se v korporátní praxi typicky implementuje přes identity provider (IdP) — například Microsoft Entra ID (dřívější Azure AD), Okta, Google Workspace nebo Keycloak pro open-source.

Nejrozšířenější SSO protokoly:

• SAML 2.0 — starší, stále dominantní v enterprise B2B
• OpenID Connect (OIDC) — moderní, na bázi OAuth 2.0, používaný v moderních SaaS
• OAuth 2.0 — striktně pro autorizaci, často v kombinaci s OIDC

Přínosy SSO:

• Uživatelská zkušenost — zaměstnanec se přihlásí jednou ráno a má přístup všude
• Bezpečnost — centralizovaná kontrola, jednodušší offboarding (vypnutí účtu v IdP odřízne přístup ze všech aplikací)
• Audit — všechna přihlášení se logují na jednom místě
• MFA — multi-factor authentication se vynucuje centrálně

Kdy se používá

SSO je dnes de facto povinností v každé střední a větší firmě:

• Při nasazení více než 5 SaaS aplikací
• Při regulatorní povinnosti (ISO 27001, SOC 2)
• V korporacích a veřejné správě

Viz stránku Bezpečnost a stránku API.

Související pojmy

• RBAC — SSO ovládá identitu, RBAC určuje oprávnění. Viz /cs/slovnik/rbac.
• ReBAC — vyspělejší oprávnění kombinované s SSO. Viz /cs/slovnik/rebac.
• ISO 27001 — SSO je obvyklou bezpečnostní kontrolou. Viz /cs/slovnik/iso-27001.

V Modulario

Modulario podporuje SSO přes SAML 2.0 a OpenID Connect — integrace s Microsoft Entra ID, Google Workspace a Okta je out-of-the-box. Při onboardování nového zaměstnance mu IT jednoduše přidělí skupinu v IdP a Modulario ho vidí automaticky. Detaily na /bezpecnost.

Při onboardingu nového zaměstnance stačí v Microsoft Entra ID přidat uživatele do skupiny „Modulario Users” — systém ho automaticky vidí, přiřadí mu default roli a pošle uvítací e-mail. Při offboardingu IT vypne účet v IdP a přístup do Modulario se automaticky odřízne do 5 minut — klíčové pro dodržení zákoníku práce a GDPR.