Обзор Simple2FA, корпоративной системы двухфакторной аутентификации

1. 1. Введение
2. 2. Функциональные возможности Simple2FA
3. 3. Архитектура и схема работы Simple2FA
4. 4. Системные требования Simple2FA
   1. 4.1. Требования к серверу локального инстанса
   2. 4.2. Сетевые требования
   3. 4.3. Масштабирование
5. 5. Возможности использования Simple2FA
   1. 5.1. Настройка двухфакторной аутентификации для корпоративных ресурсов
   2. 5.2. Управление пользователями и группами пользователей
   3. 5.3. Мониторинг действий пользователей и администраторов
   4. 5.4. Просмотр сведений о лицензии
   5. 5.5. Пользовательский мастер настройки
6. 6. Выводы

Введение

В современном цифровом ландшафте утечка учётных данных остаётся ключевым вектором проникновения злоумышленников в корпоративную инфраструктуру. Как именно пароли попадают в чужие руки? Сценариев масса — от классического фишинга и утечек из сторонних баз до заражения вредоносным ПО и банального подбора простых комбинаций вроде «Qwerty123».

Многофакторная аутентификация (MFA) меняет правила игры. Вместо единственного барьера в виде ввода логина и пароля система запрашивает дополнительное подтверждение личности пользователя — одноразовый код из мобильного приложения, push-уведомление на смартфон или биометрические данные. Даже если пароль к учётной записи пользователя был скомпрометирован, не зная второй фактор, злоумышленник не сможет проникнуть в систему. Такой подход не только снижает вероятность взлома, но и усиливает доверие пользователей к платформе, а также выводит компанию на соответствие отраслевым стандартам информационной безопасности — таким, как ГОСТ Р ИСО/МЭК 27001 и PCI DSS.

Simple2FA — корпоративный сервис двухфакторной аутентификации (2FA) от компании Orbsoft, которая более 20 лет разрабатывает программные решения для финансового сектора и обладает практической экспертизой в области информационной безопасности. Сервис добавляет дополнительный уровень защиты при входе в информационные системы (VPN, серверы, внутренние приложения) без изменения существующего процесса авторизации (проверки первого фактора).

Функциональные возможности Simple2FA

Система Simple2FA обладает следующими ключевыми функциональными возможностями:

1. Централизованное управление пользователями, группами, лицензиями и политиками аутентификации через единую веб-консоль администратора.
2. Самостоятельная настройка второго фактора пользователями через встроенный мастер подключения без участия администратора.
3. Поддержка доверенных сессий, позволяющая пользователям не проходить повторную двухфакторную аутентификацию при каждом новом входе в течение заданного периода времени.
4. Гибкая модель лицензирования с автоматическим расширением лицензий при увеличении числа пользователей и оплатой по фактическому использованию.
5. Поддержка нескольких способов двухфакторной аутентификации, включая push-уведомления через мобильное приложение, TOTP-коды и Telegram-бота. Архитектура решения предусматривает возможность подключения дополнительных методов аутентификации.
6. Настройка обязательных методов аутентификации с возможностью требовать регистрацию нескольких способов подтверждения входа для предотвращения потери доступа к системе.
7. Гибкая настройка политик аутентификации для различных категорий пользователей, групп и информационных ресурсов.
8. Настройка внешнего вида мастера подключения пользователей, включая использование фирменной символики организации, логотипов и элементов корпоративного стиля.
9. Автоматическая синхронизация и импорт пользователей из внешних источников.
10. Поддержка популярных корпоративных решений, включая OpenVPN, Cisco ASA VPN, FortiGate VPN, Huawei VPN, Active Directory Federation Services (ADFS), Outlook Web Access (OWA), Windows RDP, Linux SSH, Linux SUDO, Keycloak, 1С и другие системы.
11. Поддержка Linux-систем через собственный PAM-адаптер, обеспечивающий двухфакторную аутентификацию для SSH, SUDO, OpenVPN и других PAM-совместимых сервисов.
12. Журналирование событий аутентификации и действий пользователей с возможностью передачи событий в системы мониторинга и управления событиями информационной безопасности (SIEM) по протоколу Syslog.
13. Собственное мобильное приложение для iOS и Android с поддержкой push-уведомлений и генерации одноразовых кодов.
14. Гибридная архитектура, обеспечивающая локальную проверку первого фактора аутентификации и облачную обработку второго фактора без передачи паролей во внешнюю среду.
15. Отказоустойчивая и масштабируемая архитектура, обеспечивающая стабильную работу системы для организаций любого масштаба, включая компании с десятками тысяч пользователей.

В системе реализовано три варианта проверки второго фактора на выбор: через всплывающие уведомления на смартфоне (push-уведомления), TOTP-авторизацию (одноразовые коды Time-based One-Time Password) или подтверждение входа через Telegram-бота. Для реализации первого варианта Orbsoft предлагает собственное мобильное приложение, доступное для установки на iOS и Android.

Архитектура и схема работы Simple2FA

Архитектура Simple2FA построена по гибридной модели и включает локальный и облачный контуры. Такой подход позволяет сохранить проверку учётных данных внутри инфраструктуры организации, одновременно используя облачные сервисы для выполнения второго фактора аутентификации.

Решение состоит из следующих компонентов:

1. Локальный модуль. Разворачивается в инфраструктуре организации и интегрируется с корпоративными информационными системами. Локальный модуль при необходимости выполняет проверку первого фактора аутентификации через существующие механизмы организации (Active Directory, LDAP, Keycloak и другие системы управления учётными записями). После успешной проверки первого фактора локальный модуль инициирует процедуру подтверждения второго фактора через облачный модуль Simple2FA.
2. Облачный модуль. Выполняет проверку второго фактора аутентификации и обеспечивает взаимодействие с доступными методами подтверждения входа, включая Push-уведомления, TOTP-коды и Telegram-бота.
3. Мобильное приложение. Используется пользователями для подтверждения входа в корпоративные системы. Приложение поддерживает получение push-уведомлений и генерацию одноразовых кодов (TOTP) для работы как в онлайн-, так и в офлайн-режиме.

Рисунок 1. Общая схема работы Simple2FA

При аутентификации пользователя проверка первого фактора (логина и пароля) выполняется исключительно внутри инфраструктуры организации с использованием существующих систем управления учётными записями. После успешной проверки локальный компонент инициирует процедуру подтверждения второго фактора через облачный сервис.

Пользователь подтверждает вход с помощью одного из настроенных методов аутентификации, после чего результат проверки возвращается в локальный компонент для принятия решения о предоставлении доступа.

Благодаря гибридной архитектуре учётные данные пользователей не покидают периметр организации, а внедрение второго фактора не требует изменения существующего процесса аутентификации.

Продукт Simple2FA поставляется пользователю в виде набора компонентов, обеспечивающих двухфакторную аутентификацию в различных средах:

• Локальный инстанс Simple2FA представляет собой сервер аутентификации и управления интеграциями для развёртывания внутри контура заказчика.
• Адаптеры для преобразования данных между разными протоколами и обеспечения взаимодействия между различными элементами системы (PAM-адаптер, ADFS-адаптер, IIS-адаптер, Keycloak-адаптер).

В экосистеме Microsoft используется ADFS-адаптер для проверки второго фактора через службу Active Directory Federation Services, а также IIS-адаптер для авторизации в веб-приложениях под управлением Internet Information Services, включая Outlook Web Access (OWA).

PAM-адаптер обеспечивает простую интеграцию с сервисами и приложениями в среде Linux, добавляя проверку второго фактора через HTTPS без сложных настроек RADIUS. Он позволяет интегрировать MFA через штатный механизм Pluggable Authentication Modules для доступа к Linux-системам через SSH и SUDO.

Рисунок 2. Схема работы с PAM-адаптером

Если пользователь вводит логин и пароль на рабочем месте при входе в приложение через Keycloak, то для передачи данных в облако Simple2FA аналогичным образом используется Keycloak-адаптер. Более подробную информацию о сценариях использования продукта и настройке двухфакторной аутентификации при подключении к конкретным ресурсам (например, «1С», «С-Терра VPN» и пр.) можно найти в официальной документации разработчика.

Системные требования Simple2FA

Simple2FA использует гибридную архитектуру и состоит из двух частей:

• локального инстанса, разворачиваемого в инфраструктуре заказчика;
• облачного сервиса Simple2FA, обеспечивающего проверку второго фактора.

Первичная аутентификация пользователей выполняется внутри инфраструктуры заказчика. Проверка второго фактора осуществляется через облачный сервис Simple2FA.

Требования к серверу локального инстанса

Локальный инстанс поставляется в виде Docker-контейнеров и может быть развёрнут на любой современной серверной операционной системе, поддерживающей Docker.

Минимальные рекомендуемые характеристики:

• 4 vCPU;
• 4 ГБ оперативной памяти;
• 20 ГБ свободного дискового пространства;
• Docker Engine версии 24 и выше;
• доступ к сети Интернет для взаимодействия с облачной платформой Simple2FA.

Для пилотных проектов и небольших внедрений допускается использование виртуальных машин с меньшими ресурсами.

Сетевые требования

Для корректной работы требуется:

• исходящий HTTPS-доступ локального инстанса в Интернет;
• возможность взаимодействия защищаемых ресурсов с локальным инстансом Simple2FA по используемым протоколам (RADIUS, HTTPS и др.);
• корректная работа DNS-разрешения внутри инфраструктуры заказчика.

На случай отсутствия связи с облаком в Simple2FA предусмотрена возможность отключения проверки второго фактора.

Масштабирование

Simple2FA поддерживает работу в организациях любого масштаба — от нескольких десятков до десятков тысяч пользователей. При росте нагрузки архитектура предусматривает возможность горизонтального масштабирования.

Возможности использования Simple2FA

Simple2FA обеспечивает централизованное управление процессами двухфакторной аутентификации в организации. Система позволяет создавать пользовательские группы, назначать политики безопасности, определять обязательные методы подтверждения входа, управлять защищаемыми ресурсами и контролировать параметры аутентификации для различных категорий пользователей.

Для пользователей предусмотрен встроенный мастер самостоятельной настройки, который позволяет быстро подключить мобильное устройство и настроить необходимые способы аутентификации без обращения в службу поддержки. Благодаря этому внедрение двухфакторной аутентификации может выполняться с минимальными затратами ресурсов со стороны ИТ-подразделения.

Все настройки системы выполняются через единую административную консоль, обеспечивающую централизованный контроль над процессами аутентификации в организации.

Настройка двухфакторной аутентификации для корпоративных ресурсов

Раздел «Глобальные настройки» предназначен для включения/отключения двухфакторной аутентификации, установки времени жизни токена аутентификации и получения API для подключения локального компонента к облаку. Время жизни токена — временной интервал, в течение которого пользователь должен настроить проверку второго фактора.

Также у администратора есть возможность отключить проверку двухфакторной аутентификации на случай отсутствия связи с облаком Simple2FA: если по каким-либо причинам попытка соединения будет неудачной, пользователи смогут получить доступ к корпоративному приложению по логину и паролю.

Здесь же можно задать формат имени пользователя — оставить его без преобразований либо учитывать формат Active Directory. В этом случае даже если пользователь использует разные логины для доступа к разным ресурсам компании, система автоматически связывает их, распознавая его как одного и того же пользователя.

Рисунок 3. Глобальные настройки системы

Для настройки проверки первого фактора необходимо предварительно настроить провайдеров аутентификации в разделе «Поставщики учётных записей». Провайдер аутентификации — это каталог пользователей, откуда выполняется проверка первого фактора.

По умолчанию в систему заложены два типа таких сущностей: Keycloak и LDAP. В качестве примера у нас настроены Keycloak и Active Directory.

Рисунок 4. Настройка поставщиков учётных записей

По клику на поставщика учётных записей можно просматривать/менять настройки по данному провайдеру аутентификации.

Рисунок 5. Настройка Active Directory в качестве провайдера аутентификации

Настройка двухфакторной аутентификации для конкретных сервисов и приложений осуществляется в разделе «Ресурсы». При добавлении нового ресурса необходимо задать его название, протокол и порт для установления соединения, выбрать поставщика учётных записей для проверки первого фактора.

Рисунок 6. Настройка двухфакторной аутентификации для конкретных ресурсов

Для каждого ресурса может быть настроен один или несколько источников учётных записей пользователей, а также необходимость проверки первого фактора аутентификации. При выполнении проверки Simple2FA передаёт запрос в соответствующий источник учётных данных для проверки логина и пароля пользователя, выступая в качестве прокси между защищаемым ресурсом и системой аутентификации.

Также есть возможность отправки ссылки на почту пользователя при подключении без настроенного второго фактора — для этого нужно отметить соответствующий чекбокс при настройке ресурса. Эта опция полезна для ситуаций, когда пользователь обращается к ресурсу в первый раз, например подключается к VPN, который не может отображать визард. В этом случае при первом входе пользователю автоматически будет отправлена ссылка для настройки второго фактора на почту.

Рисунок 7. Пример настройки аутентификации для OpenVPN

Есть ещё очень удобная опция — автоматическое создание пользователей. При её выборе администратору не нужно вручную создавать пользователей, импортировать их список или задавать синхронизацию с каталогом. Достаточно отметить соответствующий чекбокс, после чего любой пользователь, впервые успешно прошедший первый фактор аутентификации, будет автоматически создан в системе Simple2FA. Особенно актуально на этапе начального внедрения двухфакторной аутентификации в организации.

Здесь же настраивается кеширование сессий (с установлением соответствующего таймаута): благодаря этой возможности после успешной авторизации пользователя у него не будет запрашиваться второй фактор в течение указанного времени.

В разделе «Синхронизация учётных записей» настраивается автоматическая синхронизация системы с каталогом, то есть с данными от поставщиков учётных записей. Эта настройка позволяет автоматически получать новых пользователей из каталога и создавать их в системе.

Рисунок 8. Синхронизация учётных записей

Здесь задаются различные гибкие настройки: интервалы синхронизации, тайм-ауты, атрибуты, которые следует использовать для идентификации. Есть специальная функция для новых пользователей: если отметить соответствующий чекбокс, сотрудник автоматически получит на почту ссылку для настройки второго фактора. Также можно ограничить время жизни этой ссылки. Ниже идёт стандартный маппинг — сопоставление групп каталога с группами внутри панели. Дополнительно есть кнопка ручной синхронизации — не обязательно ждать, пока сработает расписание.

Рисунок 9. Параметры настройки синхронизации

Управление пользователями и группами пользователей

Раздел «Пользователи» предназначен для управления пользователями: их добавления, удаления и деактивации, персональной настройки аутентификации по каждому пользователю и мониторинга её текущего состояния.

Рисунок 10. Управление пользователями в Simple2FA

Добавлять новых пользователей можно как вручную (по кнопке «Добавить пользователя»), так и импортировав файл в формате CSV (по кнопке «Импорт»). Для удобства здесь же доступен для скачивания шаблон для импорта с заголовками: login, email, name.

В таблице пользователей по каждому из них отображаются настроенные способы аутентификации (доступные конкретному пользователю), используемые им способы, дата создания и последнего входа пользователя.

Рисунок 11. Пример информации по пользователю

Настройка внутренних групп пользователей и их администрирование производится в разделе «Группы пользователей».

Рисунок 12. Управление группами пользователей

Для каждой группы пользователей можно задать доступные и обязательные способы аутентификации, ограничить доступ к конкретным ресурсам, а при необходимости — отключить проверку второго фактора.

Доступные факторы — это те, которые доступны для настройки и входа группе пользователей. Обязательные способы аутентификации — это факторы, без настройки которых пользователь не сможет завершить настройку 2FA и войти в нужный сервис. Их можно выбрать только из доступных способов аутентификации.

Рисунок 13. Пример информации по группе

Настройка нескольких обязательных способов аутентификации позволяет обеспечить резервный доступ к корпоративным ресурсам. Если пользователь временно теряет возможность использовать один из способов подтверждения входа, он сможет пройти аутентификацию с помощью другого настроенного метода.

Мониторинг действий пользователей и администраторов

Отслеживать попытки авторизации пользователей и их итог можно в разделе «Попытки авторизации».

Рисунок 14. Журнал попыток авторизации

Добавление и удаление новых администраторов системы, выдача им паролей и обновление их данных производится в разделе «Администраторы» (по умолчанию в системе предусмотрена встроенная учётная запись admin). Вместо удаления учётную запись можно временно деактивировать (сняв отметку в чекбоксе «Активный»).

В будущих версиях системы планируется поддержка аутентификации администраторов через корпоративные каталоги пользователей (Active Directory, LDAP и другие источники учётных записей), что позволит использовать существующие корпоративные учётные данные для входа в административную консоль.

По каждой учётной записи можно просматривать историю изменений — она доступна при выборе конкретной записи по кнопке «История» в правом верхнем углу.

Рисунок 15. Раздел «Администраторы»

Кроме того, в Simple2FA можно отслеживать действия администраторов системы — выполненные ими изменения глобальных настроек. Данная опция доступна по кнопке «История» в разделе «Глобальные настройки».

Рисунок 16. Просмотр истории изменений глобальных настроек

Просмотр сведений о лицензии

Лицензирование продукта осуществляется по количеству пользователей. При исчерпании лимита приобретённых лицензий дополнительные лицензии подключаются автоматически, а их стоимость включается в следующий расчётный период. Благодаря этому новые пользователи не блокируются, а организации не требуется заранее приобретать резерв лицензий.

Лицензирование гибкое: клиент может выбрать любое количество лицензий и срок действия пакета. При этом стоимость лицензии не меняется.

Контролировать число подключённых и доступных лицензий можно в разделе «Пакеты лицензий».

Рисунок 17. Просмотр сведений о лицензировании

Пользовательский мастер настройки

Для самостоятельной настройки второго фактора в системе предусмотрен встроенный пользовательский мастер настройки. Мастер может запускаться автоматически в процессе входа пользователя в защищаемую систему либо по персональной ссылке. Ссылка может быть сформирована администратором для последующей отправки пользователю или направлена ему напрямую по электронной почте из интерфейса системы.

Рисунок 18. Формирование ссылки на настройку для отправки

Пройдя по этой ссылке, пользователь попадает в простое меню с пошаговыми инструкциями.

Рисунок 19. Начало работы с визардом

Уже на этапе выбора методов двухфакторной аутентификации пользователь видит, какие из них являются обязательными (если такие установлены).

Рисунок 20. Подключение проверки через push-уведомления

Рисунок 21. Подключение проверки через Telegram-бота

Рисунок 22. Подключение проверки через TOTP-коды

Посмотреть, как это работает, можно на тестовом стенде разработчика.

Если же второй фактор уже настроен, но пользователь хочет изменить текущие настройки (например подключить 2FA на новом устройстве), то перед прохождением аутентификации ему нужно отметить чекбокс «Настроить проверку второго фактора после входа».

Рисунок 23. Повторная настройка второго фактора

Стоит отметить, что пользовательский визард можно кастомизировать, выбрав цветовое оформление и добавив логотип организации. Эти настройки доступны в разделе «Тема визарда» в админ-панели.

Рисунок 24. Настройка темы визарда

Выводы

Simple2FA — универсальная система двухфакторной аутентификации, которая позволяет защитить корпоративные информационные системы от несанкционированного доступа. Данное решение, прежде всего, ориентировано на SMB-сегмент (Small and Medium-sized Businesses), то есть организации малого и среднего бизнеса: его отличает простота настройки, низкая стоимость внедрения и гибкость лицензирования. Однако за счёт практически неограниченной масштабируемости Simple2FA может применяться и крупными организациями с распределённой инфраструктурой и тысячами сотрудников.

Достоинства:

• Продукт включён в реестр РПО (реестровая запись № 31414 от 26.12.2025).
• Внедрение без изменения существующего процесса аутентификации пользователей.
• Встроенный мастер самостоятельной настройки пользователей, снижающий нагрузку на администраторов.
• Гибкая модель лицензирования с автоматическим расширением лицензий при росте числа пользователей.
• Возможность работы с несколькими источниками учётных записей в рамках единой системы.
• Возможность назначения нескольких обязательных методов аутентификации для предотвращения потери доступа пользователей.
• Поддержка интеграции с широким перечнем корпоративных систем и сервисов.
• Кэширование MFA-сессий, позволяющее сократить количество повторных запросов на подтверждение второго фактора.
• Собственное мобильное приложение для iOS и Android.
• Масштабируемая архитектура, обеспечивающая работу как в небольших организациях, так и в крупных компаниях с тысячами сотрудников.

Недостатки:

• Отсутствует поддержка аппаратных токенов.
• Нет полноценной On-Premise версии для автономной работы сервера аутентификации (в разработке).
• Нельзя настроить отправку кодов подтверждения в национальный мессенджер «Макс» (в разработке).