Всем привет.
Недавно пришлось выбирать систему двухфакторной аутентификации для организации. Вначале думал «по‑быстрому» глянуть какой‑нибудь сравнительный обзор, но оказалось, подходящих обзоров корпоративных MFA просто нет — все они слишком общие: без конкретных сравнений по функционалу и цене. В итоге ресерч пришлось делать самостоятельно, и раз я его сделал, то решил поделиться с миром.
Компания у нас небольшая: 75 сотрудников, и второй фактор нужен для ADFS и RDP. С учетом нынешнего времени, ключевым фактором при выборе была цена. Помимо цены, так же важно было наличие возможности самообслуживания для пользователей, чтобы уменьшить время на поддержку.
Сбор информации происходил следующим образом:
Поиск решений через поисковик и существующие обзоры (например от AM);
Изучение сайтов и документации;
Формирование заявки и получение коммерческого предложения.
С какими решения ознакомился:
Мультифактор
Контур.ID
Simple2FA
MFASOFT
Indeed AM
БИТ.Аутентификатор
MWS
Avanpost
Помимо этого общался с представителями Blitz Identity Provider и RooX UIDM, но это оказались полноценные Idp с проверкой первого и второго фактора.
Для начала отмечу общие моменты:
Все решения поддерживают внедрение второго фактора для большинства систем: ADFS, RDP, VPN'ы всех видов, веб‑приложения, 1С и тому подобное. Тут отличий почти нет;
Большинство решений скрывают цену до момента выставления КП. Отметились только Simple2FA и БИТ.Аутентификатор — у них цены прям на сайтах;
Ценообразование у всех одинаковое — N рублей за пользователя в месяц. 1 пользователь = 1 лицензия. Кол‑во лицензий обычно предлагают купить на год;
У всех примерно одинаковая архитектура: в вашем контуре разворачиваются и настраиваются необходимые адаптеры (для работы с защищаемыми системами) с которых должен быть доступ в интернет, а второй фактор валидируется в облаке. Встречаются и full on‑premise варианты, но конкретно у нас нужды в этом нет;
Решения можно внедрять как самостоятельно, так и запросить сотрудника для внедрения;
Набор способов подтверждения входа, в большинстве случаев, тоже одинаковый: push, totp, мессенджеры, биометрия, sms/звонок. Некоторые решения имеют только часть популярных способов, но по словам представителей они «могут добавить их в любой момент, при необходимости».
Теперь отличия:
Цена. Разница в цене у некоторых решений отличается в разы (цены будут ниже). По наблюдениям, на цену влияют размер компании и срок существования продукта.
Самообслуживание для пользователей. У большинства решений есть селфпортал, через который пользователь может управлять настройками второго фактора. Но Мультифактор и Simple2FA имеют еще и визард (пошаговый мастер настройки) для самообслуживания, который нативно встраивается в большинство систем — выглядит удобно.
Минимальное количество пользователей. Во время переговоров выяснилось, что некоторые решения имеют ограничения по минимальному количеству подключаемых пользователей. Например, у Контур.ID минимальное кол‑во приобретаемых лицензий — 80, соответственно для компаний поменьше это не очень выгодно.
Функционал. Базовый функционал у всех схож: синхронизация пользователей с AD, автосоздание при входе, отправка ссылки на перочинную настройку, настройка групповых политик и тому подобное. Но встречаются небольшие отличия. Например, у MFASOFT есть возможность гибко настраивать условия автоблокировки пользователей, Контур.ID при первичной настройке выдает одноразовые коды для возможности входа при утере настроенного способа аутентификации, а у Мультифактора есть свой SSO.
Гибкое лицензирование. Здесь речь о кейсе «У меня в течение года добавилось несколько пользователей. Мне нужно докупать лицензии, иначе они не смогут работать?». Удалось выяснить, что у Контур.ID и Simple2FA есть схема с постоплатой за добавленные лицензии.
Хочу отметить, что Мультифактор, Индид, Simple2FA и Контур быстро ответили на заявку и довольно оперативно отвечали на возникающие вопросы. Остальные это делали медленно, а некоторые вообще довольно неохотно. Вероятно, это связано с целевой аудиторией — некоторые компании ориентируются только на Enterprise, поэтому на заявки с ~80 пользователей они даже не отвечают.
Сравнительная таблица
Решение | Цена за пользователя в месяц, руб. | Минимальное количество пользователей | Особенности |
Мультифактор | 379 | нет ограничений | Нативный визард (пошаговый мастер настройки), SSO |
Контур.ID | 233 | 80 | Одноразовые коды для входа при утере доступа к способу аутентификации, гибкое лицензирование |
Simple2FA | 119 | нет ограничений | Нативный визард (пошаговый мастер настройки), гибкое лицензирование |
MFASOFT* | 102 | 100 | Настройка условий автоблокировки, фокус на on‑premise |
Indeed AM | 275 | SSO, поддержка криптографических смарт‑карт для аутентификации | |
БИТ.Аутентификатор | 99 | нет ограничений | Самая низкая стоимость |
MWS | 196 | нет ограничений | - |
Avanpost | 166 | 11 способов аутентификации, фокус на on‑premise, настройка условий автоблокировки |
* — внедряют только full on‑premis. Облачное решение они распространяют через партнеров.
Обращу внимание, что у некоторых решений есть скрытая тарификация в зависимости от количества пользователей или срока лицензирования, поэтому цены конкретно для вас могут отличаться.
Для себя мы, в итоге, выбрали Simple2FA из‑за низкой цены и наличия нативного визарда.