Preskočiť na obsah
Strange Loops
Autentifikácia

SSO — Single Sign-On

SSO (Single Sign-On, jednotné prihlásenie) je mechanizmus, vďaka ktorému sa používateľ prihlási raz u dôveryhodného poskytovateľa identity a tým získa prístup do viacerých aplikácií, bez toho, aby sa do každej prihlasoval zvlášť. Aplikácie identitu nepreverujú samy — dôverujú poskytovateľovi.

Ako to funguje

SSO je odpoveď na to, čo dnes pozná každý: nechcem mať desať hesiel do desiatich nástrojov a desaťkrát sa prihlasovať. Pri SSO existuje jedno miesto, ktoré vie, kto ste — poskytovateľ identity (Google, Microsoft Entra/Azure AD, Okta, alebo aj váš vlastný) —, a aplikácie sa ho pýtajú „je tento používateľ prihlásený a kto to je?“ namiesto toho, aby si držali vlastné heslá. Prakticky to funguje cez štandardné protokoly: OAuth 2.0 a OpenID Connect (dnes najrozšírenejšie, používa ich aj „prihlásiť sa cez Google“) a SAML (starší, vo firemnom a vládnom prostredí stále bežný). Aplikácia sa preklikne na poskytovateľa, ten overí používateľa a vráti podpísaný token s informáciou, kto to je a čo smie.

Pre firemné systémy a B2B portály má SSO dva veľké prínosy. Pre používateľa pohodlie — partner alebo zamestnanec sa prihlási tak, ako je zvyknutý, a nemusí si pamätať ďalšie heslo. Pre firmu kontrolu a bezpečnosť — prístupy sa spravujú centrálne, dá sa vynútiť dvojfaktorové overenie na jednom mieste, a keď človek odíde (alebo partner skončí), vypne sa mu prístup raz, nie v každom systéme zvlášť. Pri B2B portáli sa SSO objaví najmä vtedy, keď väčší partner povie „naši ľudia sa budú prihlasovať cez náš firemný účet“ — vtedy sa portál napojí na ich poskytovateľa identity. Pre menších partnerov zvyčajne stačí bežné prihlásenie (e-mail a heslo alebo magic link).

Z pohľadu vývoja je SSO štandardná, dobre zmapovaná úloha — nepíše sa „od nuly“, používa sa overený auth balík (v našom prípade Better Auth), ktorý OAuth/OpenID Connect aj SAML vie, a napojí sa na konkrétneho poskytovateľa. Dôležité je premyslieť, čo sa stane po prihlásení: ako sa identita z poskytovateľa namapuje na používateľa a jeho roly v aplikácii (kto je len partner, kto obchodník, kto admin) — teda RBAC. SSO rieši „kto si“, RBAC rieši „čo smieš“. Strange Loops rieši prihlasovanie, SSO a oprávnenia od základu pri webových aplikáciách, klientskych aj B2B portáloch — bližšie pri službách B2B partnerské portály a klientske portály.

Z našej praxe

Pri novom portáli alebo systéme sa rozhodnite skoro: stačí vlastné prihlásenie (e-mail a heslo alebo magic link), alebo treba SSO na firemné účty partnerov či zamestnancov? Vlastné prihlásenie je jednoduchšie a pre menších partnerov úplne v poriadku; SSO sa oplatí, keď to väčší partner vyžaduje alebo keď chcete centrálnu správu prístupov a vynútené 2FA. SSO a RBAC riešte spolu — SSO povie, kto sa prihlásil, RBAC, čo ten človek v aplikácii smie.

Kedy to potrebujete

  • B2B portál, do ktorého sa väčší partner chce prihlasovať cez svoj firemný účet (Microsoft Entra, Okta) namiesto ďalšieho hesla.
  • Firma má viac interných nástrojov a chce, aby sa zamestnanci prihlasovali raz cez Google Workspace alebo Entra a prístupy sa spravovali centrálne.
  • Bezpečnostná požiadavka vynútiť dvojfaktorové overenie na jednom mieste pre všetky aplikácie.
  • Pri odchode človeka treba vypnúť prístup raz (u poskytovateľa identity), nie v každom systéme zvlášť.

Najčastejšie otázky

Aký je rozdiel medzi SSO, OAuth a SAML?

SSO je cieľ — prihlásiť sa raz a mať prístup do viacerých aplikácií. OAuth 2.0 / OpenID Connect a SAML sú protokoly, ktorými sa to dosahuje: OpenID Connect (na základe OAuth) je dnes najrozšírenejší a používa ho aj „prihlásiť sa cez Google“; SAML je starší, no vo firemnom a vládnom prostredí stále bežný. Aplikácia teda implementuje SSO pomocou jedného z týchto protokolov a napojí sa na poskytovateľa identity.

Potrebuje B2B portál SSO?

Nie nutne. Pre menších partnerov stačí bežné prihlásenie (e-mail a heslo alebo magic link). SSO sa oplatí, keď väčší partner vyžaduje prihlasovanie cez svoj firemný účet, alebo keď chcete centrálnu správu prístupov a vynútené 2FA. Často portál podporuje oboje — vlastné prihlásenie aj SSO pre tých partnerov, ktorí ho chcú.

Ako SSO súvisí s rolami a oprávneniami?

SSO rieši otázku „kto si“ — overí identitu cez poskytovateľa. RBAC (role-based access control) rieši „čo smieš“ — priradí prihlásenému používateľovi roly a podľa nich obmedzí, čo v aplikácii vidí a môže. Patria k sebe: po prihlásení cez SSO sa identita namapuje na používateľa a jeho roly. Jedno bez druhého nestačí.

Súvisiaca služba

B2B partnerské portály

Portály pre vašich obchodných partnerov — prihlásenie, partnerské cenové hladiny, dostupnosť skladu v reálnom čase, objednávky a ich história. Namiesto objednávok cez e-mail a telefón jeden samoobslužný systém napojený na vaše ERP.

Súvisiace pojmy

RBAC — Role-Based Access Control

RBAC (Role-Based Access Control) je model riadenia prístupov, v ktorom sú oprávnenia priradené roliam — napríklad admin, manažér, člen tímu — a nie priamo jednotlivým používateľom. Používateľ získa prístupy pridelením roly, nie individuálnymi povoleniami pre každú akciu.

B2B portál

B2B portál (partnerský portál) je webové rozhranie za prihlásením, cez ktoré obchodní partneri firmy — predajcovia, díleri, odberatelia — vidia svoje dohodnuté ceny, dostupnosť tovaru a stav objednávok a kde objednávajú sami, namiesto e-mailov a telefonátov na obchodné oddelenie.

Potrebujete s tým pomôcť?

Ak riešite niečo z toho, čo tu opisujeme, ozvite sa. Povieme vám, či a ako vieme pomôcť.

Dohodnúť hovorNaše služby