В платформе 1С реализовали механизм двухфакторной аутентификации пользователей

15.03.2019      39092

В версии платформы «1С:Предприятие» 8.3.15 реализовали механизм, который обеспечит дополнительную защиту информационной базы. При входе в базу механизм потребует подтвердить личность пользователя двумя разными способами.

Аутентификация

В системе «1С:Предприятия» аутентификация означает проверку логина и пароля пользователя на корректность. Платформа выполняет эту операцию самостоятельно, или пользуется помощью другого надежного ресурса, будь то операционная система или аутентификация OpenID.

OpenID – открытый стандарт децентрализованной системы аутентификации. Технология позволяет создавать единую учетную запись для аутентификации на множестве не связанных друг с другом интернет-ресурсов.

У такой системы есть недостаток: для своего удобства пользователи придумывают простые и короткие пароли. Но это противоречит сути «запароливания» данных, которые мы хотим защитить: простые пароли легко взломать.

Двухфакторная аутентификация – один из самых надежных способов защиты информации. Чтобы пройти проверку личности, пользователю нужны два из трех типов данных, например:

  • логин / пароль;
  • мобильный телефон;
  • отпечаток пальца.

Например, мы вводим логин и пароль, а затем входим по отпечатку пальца. Либо вводим присланный на мобильный телефон код.

Платформа «1С» проверит первый фактор  самостоятельно, а для второго ей потребуется помощник – провайдер.

Провайдер второго фактора аутентификации

Провайдер-помощник – веб-сервис, обладающий некоторым интерфейсом, состоящим из HTTP-запросов. Это может быть:

  • база «1С:Предприятия» с реализованным набором HTTP-сервисов, позволяющих пересылать сообщения или выполнять аутентификацию;
  • сторонний сервис, генерирующий коды для второго фактора аутентификации.

Для нас важно, чтобы провайдер умел общаться посредством HTTP-запросов.

Сценарии аутентификации

Существует два возможных сценария для второго фактора аутентификации: для «простых» и «умных» провайдеров.

В первом случае клиентское приложение показывает пользователю окно дополнительной аутентификации:

 

 

Сервер генерирует код второго кода и отправляет HTTP-запрос провайдеру с сообщение для пользователя: «Ваш аутентификационный код 94573». Провайдер пересылает СМС с кодом на мобильный телефон пользователя, его остается лишь ввести в специальном окне.

В этом случае генерирует код и формирует сообщения сервер. Провайдер только передает сообщение пользователю, а платформа ждет ввода кода.

«Умные» провайдеры сами генерируют секретный код, сообщение, умеют информировать пользователя и проверять его данные. Сервер сообщает клиентскому приложению о необходимости дополнительно проверить пользователя. Клиентское приложение покажет окно второго фактора аутентификации. 

 

Как работает «умный» провайдер

 

Сервер отправляет HTTP-запрос провайдеру с просьбой самостоятельно аутентифицировать пользователя. «Умный» провайдер просит у пользователя отпечаток пальца через специальное приложение. Пользователь сканирует палец и в окне дополнительной аутентификации указывает, что проверка пройдена. Провайдер сообщит серверу результаты, и при успешном завершении процедуры пользователь сможет начать работу.

Пользователи и провайдеры

Для каждого пользователя провайдер и способ аутентификации определяется отдельно. Чтобы описать HTTP-запросы, которые следует отправить провайдеру, в во встроенном языке платформы реализовали новый тип – ШаблонНастройкиВторогоФактораАутентификации.

Объекты этого типа – именованные объекты, которые можно сохранить в базе данных. Каждый шаблон используется для сохранения двух HTTP-запросов: один для запроса аутентификации, другой – для получения ее результата.

Оба этих запроса описываются с помощью привычных объектов HTTPЗапрос, но имеют две интересные особенности:

  • для каждого из запросов задается свой HTTP-метод в виде строки;
  • некоторые поля в запросах можно «параметризировать», используя «&» (например, &sms_phone_number). Запросы для разных пользователей будут одинаковыми, различаются лишь некоторые поля: номер телефона для отправки кода, например.

Шаблон для простого провайдера, отправляющего СМС, формируется по одному запросу – для аутентификации. Шаблон «умного» провайдера содержит два запроса: просьба выполнить аутентификацию и запрос результатов аутентификации.

После сохранения шаблонов для провайдеров, каждый из них присваивается определенному пользователю вместе с набором значений для параметров, которые должны подставляться в этот шаблон.

Для пользователя с шаблоном «простого провайдера» записывается один параметр:  адрес для отправки HTTP-запроса (host):

Пользователь, для которого используется «умный» провайдер, потребует больше параметров:

Важно: каждому пользователю можно задать не один «набор» настроек, а несколько (массив). Свойство ОбработкаНастроекВторогоФактораАутентификации позволяет применять их по очереди в том случае, если исполнение текущего HTTP-запроса закончилось ошибкой. Например, провайдер не работает, тогда можно попробовать другого провайдера, который умеет выполнять аналогичные действия (другой набор настроек).

Журнал регистрации

Для всех новых сценариев аутентификации в журнал регистрации добавили новые события и новые поля некоторым старым событиям. Поэтому контролировать можно не только двухфакторную проверку пользователя, но и связанные с ней действия: изменение шаблонов или настроек пользователей.

Подробнее о механизме


Автор:
Редактор


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Darklight 32 15.03.19 14:59 Сейчас в теме
Программный API это конечно хорошо, но я думал двухфакторную аутентификацию встроят прямо в платформу - чтобы можно было использовать без программирования.
kuznetsov1c; masterok647; mnemchinov; w.r.; +4 Ответить
2. s22 19 15.03.19 15:41 Сейчас в теме
(1) А по факту так и сделано.
Только сделали, что бы было удобно через БПС
3. w.r. 643 15.03.19 16:56 Сейчас в теме
(2) сомнительное какое-то «удобство». Все-равно надо пилить напильником конфигурацию похоже
4. s22 19 15.03.19 18:05 Сейчас в теме
(3) Те, у кого конфа на БСП получат данное улучшение без дополнительного программирования.
На мой взгляд 1с приняла наилучшее решение.
A_Max; Артано; +2 Ответить
5. _anton3077944_ 15.03.19 19:06 Сейчас в теме
Вообще неплохо было бы, если бы сделали аутентификацию по сертификату ЭЦП.
Причём аутентификацию не только пользователя, но и компьютера.
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю
6. s22 19 15.03.19 20:23 Сейчас в теме
(5)
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю


Доступ только через ВПН.
А ВПН настраивается через сертификат.
dobryiden; _anton3077944_; +2 Ответить
9. insurgut 207 16.03.19 15:28 Сейчас в теме
(6) а причем тут fresh?
7. androgin 16.03.19 01:15 Сейчас в теме
непонятно, как будут теперь мобильные приложения отрабатывать авторизацию.
Если в тонком клиенте я сделаю двойную авторизацию, а для мобильного мне это не нужно - то как это реализовать?)))
У меня в мобильном приложении авторизация проходит при запуске, так как приложение хранить учетные записи пользователя. Это будет сильно раздражать и замедлять запуск приложения.
Мобильное приложение создано в XCode, а не сборщиком 1С
8. PerlAmutor 129 16.03.19 08:08 Сейчас в теме
А как сделать другой тип авторизации - собственный? Я хочу, чтобы всех пользователей без разбора, без какой-либо авторизации сразу запускало в базу, а там я уже сам спрошу с помощью диалогов всю необходимую мне информацию и обработаю собственными алгоритмами.
12. Артано 759 18.03.19 06:32 Сейчас в теме
(8) Руками =) Такие проверки реализовывались еще на семерке, так что проблемы не вижу. Или неверно понял вопрос
13. PerlAmutor 129 18.03.19 06:38 Сейчас в теме
(12) Не знаю в 1С такой настройки для полного отключения типовой авторизации. После запуска конфигурации я хочу, чтобы пользователя сразу пускало в базу без выбора пользователя и ввода (пусть даже пустого) пароля. Чтобы он мог в ней полазить с какими-то минимальными правами, а затем оттуда же, например, авторизоваться под конкретной учетной записью, где бы я ему создал новую сессию с уже другим набором прав (ролей и их RLS).
14. Артано 759 18.03.19 06:41 Сейчас в теме
(13) Понял, такого нет. Подобные вещи реализованы в некоторых конфигурациях, за счет дублирования функциональности. Т.е. все заходят под одной универсальной ролью типа "пользователь", а далее уже по итогам авторизации подключается система контроля по профилю полномочий. РЛС работать не будет, но при подходящей архитектуре решения, это и не потребуется
10. insurgut 207 16.03.19 15:29 Сейчас в теме
Нескромный вопрос - а за СМС кто платит? Сама 1С?
15. androgin 19.03.19 14:05 Сейчас в теме
(10) указано, что сторонние сервисы
16. insurgut 207 19.03.19 15:06 Сейчас в теме
(15) вообще странное нововведение - самому в 5-10 строчек кода это реализуется. На месте 1С можно было бы выпустить свой веб-сервис аутентификации + приложение для мобильных устройств, аналогично Google.Authenticator. Тогда и платить никому ни за что не пришлось бы. 1 раз зарегался и все, пароль всегда под рукой.
17. androgin 19.03.19 21:20 Сейчас в теме
(16) очень сомневаюсь, что никому и ни за что))))
это же 1С ))
сами будут тарифицировать)
11. Идальго 226 16.03.19 16:15 Сейчас в теме
Блин, лучше бы они оптимизацией своего кода занимались, чтобы упр.формы тормозили поменьше.
Skolkovo; anderson; IllayDevel; asupsam; zakiap; +5 Ответить
18. Hokner 12.01.21 10:15 Сейчас в теме
Возможно ли включение двухфакторной авторизации только для веб-клиента?
Оставьте свое сообщение

См. также

21 марта – бесплатный вебинар по выгрузке данных из 1С в BI-аналитику

Новость Маркетплейс

На встрече поговорим о том, как автоматизировать работу по выгрузке данных из 1С для последующего анализа в BI-системах. Поможет нам в этом специальный инструмент – «Экстрактор 1С».

вчера в 16:00    179    user997184    0       

1

1С-Коннект как единое окно взаимодействия для сотрудников компании: корпоративная культура в эпоху удаленки

Новость Сервисы ИТС

1С-Коннект – готовое решение для автоматизации техподдержки со встроенным корпоративным мессенджером и возможностью удаленного подключения. Рассказываем об использовании 1С-Коннект и напоминаем, что 26 марта состоится вебинар по новым возможностям.

вчера в 15:50    129    vikad    0       

1

Онлайн-курс по прототипированию интерфейсов в Figma начнется уже сегодня: успейте присоединиться

Новость Обучение

Сегодня, 18 марта, стартует онлайн-обучению по прототипированию интерфейсов 1С. На курсе потренируемся работать с Figma, нарисуем современный баннер, спроектируем командную панель и потренируемся давать обратную связь по прототипам.

вчера в 13:00    141    user997184    0       

1

«Оркестратор 1С» v2.2: парсинг технологического журнала, топология ландшафта 1С и облегченная версия оснастки

Новость Новый релиз Обзор готовых решений

В версии 2.2 продукта мониторинга и управления системами «Оркестратор 1С» появился модуль по разбору технологического журнала, форма для просмотра и отбора записей ТЖ, отчет по распределению событий ТЖ, а также отчет «Топология ландшафта 1С».

вчера в 12:11    287    vikad    0       

1

19 марта – первое занятие по курсу «Использование Канбан Метода для управления потоком задач»

Новость Обучение

На тренинге научимся использовать Канбан Метод для организации эффективной работы и управления задачами в команде. Вы узнаете, как достигнуть равномерной и предсказуемой скорости в работе сотрудников и оправдать ожидания заказчика.

15.03.2024    304    user997184    1       

1

Новый «Урок цифры»: от начинающего до легендарного супертестировщика

Новость Образование

В рамках проекта «Урок цифры» опубликован новый урок от фирмы «1С». Школьникам 1-11 класса рассказывают о преимуществах профессии тестировщика, обучают азам тестирования и предлагают получить сертификат в случае успешного прохождения тренажёров.

15.03.2024    540    ЕленаЧерепнева    0       

3

Два по цене одного: фирма «1С» удваивает пакеты распознавания страниц для новых клиентов сервиса

Новость Сервисы ИТС

Новые пользователи сервиса «1С:Распознавание первичных документов», оплатив определенное количество распознаваний в сервисе, смогут загрузить в два раза больший объем документов. Рассказываем, как воспользоваться специальным предложением от «1С».

14.03.2024    459    ЕленаЧерепнева    0       

15

Бесплатный митап «1С в облаке» уже завтра! Присоединяйтесь к открытому обсуждению опыта экспертов

Новость Infostart Meetup Мероприятия

В эту пятницу, 15 марта в 11:00 мск на Инфостарте состоится бесплатный митап о передовых методах размещения инфраструктуры 1С в облаке. В программе 5 докладов и круглый стол. Успейте зарегистрироваться, будет интересно!

14.03.2024    519    vikad    0       

15

Секция «Программная инженерия»: рассказываем, о чем секция и как попасть в нее с докладом

Новость Aнализ&Управление Мероприятия

До конца приема заявок на доклады оставалось немного времени – дедлайн 19 марта. И мы продолжаем знакомить с секциями конференции «Анализ и Управление в ИТ-проектах», чтобы вам было проще определиться с темой выступления.

14.03.2024    369    AnastasiaKl    0       

1

До конца приема заявок на доклады конференции «Анализ & Управление в ИТ-проектах» осталось 5 дней

Новость Инфостарт Aнализ&Управление Мероприятия

Через 2,5 месяца стартует конференция для аналитиков и руководителей проектов. Если вы готовы делиться знаниями, организовать мастер-класс, воркшоп или другую активность – смело подавайте заявку. Успейте стать докладчиком до 19 марта!

13.03.2024    510    vikad    0       

15

Интервью с Павлом Филатовым о тонкостях работы с Базой знаний, 1С:ЗУП и критикой на Инфостарт

Новость Сообщество

Поговорили с постоянным автором обработок и статей для Базы знаний Инфостарт – Павлом Филатовым. Павел рассказал нам, как пришел в 1С, начал работать с ЗУП и дал советы начинающим авторам статей и обработок.

13.03.2024    767    Sofya_Sukur    3       

10

Единый семинар 1С: выступления экспертов фирмы «1С» и подарки от Инфостарт

Новость Единый семинар 1С Сервисы ИТС

3 апреля 2024 года, в среду, приглашаем бухгалтеров и руководителей присоединиться к традиционному «Единому семинару 1С». Мероприятие пройдет онлайн, а участие в нем бесплатное. Регистрация уже открыта.

13.03.2024    477    vikad    0       

16

Участвуйте в опросе и развивайте сервис 1С-Store вместе с нами

Новость Сообщество

Инфостарт совместно с фирмой «1С» запустил пилот сервиса 1С-Store. Планируем добавить в сервис больше конфигураций. Для этого нам нужна «помощь зала» – пройдите опрос и расскажите, с какими программными продуктами работаете вы.

12.03.2024    615    user997184    0       

17

Бесплатный вебинар по 1С:LIMS: публикуем ответы на вопросы участников

Новость

В конце февраля прошел онлайн-вебинар для всех, кто интересуется вопросами эффективного управления за качеством продукции на производстве. На онлайн-встрече мы подробно рассказали о возможностях решения 1С:LIMS и ответили на вопросы слушателей.

12.03.2024    617    AnastasiaKl    0       

15

КриптоПРО на MacOS заблокирована, но все равно работает

Новость Mac OS Безопасность Сервисы ИТС Цифровая подпись

Некоторые пользователи MacOS столкнулись с проблемой при использовании квалифицированной электронной подписи, которая требует использования криптографии. Проблемы возникли из-за блокировки компанией Apple продуктов КриптоПРО.

12.03.2024    1111    ЕленаЧерепнева    0       

1

Продолжаем рассказывать о секциях конференции «Анализ и Управление в ИТ-проектах»

Новость Aнализ&Управление Мероприятия

Сегодня даем слово модераторам секции «Soft skills, управление командой проекта». Узнайте, как лучше подготовить свою заявку, чтобы она прошла отбор, и какие темы докладов и мастер-классов мы рассматриваем в первую очередь.

12.03.2024    502    AnastasiaKl    0       

15

Система взаимодействия в 8.3.26: больше приватности и обновленная интеграция

Новость Зазеркалье

Официальный технологический блог «Заметки из Зазеркалья» анонсировал новые фичи в Системе взаимодействия, которые должны появиться в технологической платформе 1С:Предприятие 8.3.26. Рассказываем, что ждать от очередного нового релиза.

12.03.2024    655    ЕленаЧерепнева    0       

1

Подорожание продуктов 1С:Предприятие: до 29 марта успейте купить по старой цене

Новость

С 1 апреля 2024 года цены на лицензии, типовые и отраслевые продукты 1С увеличатся на 14-15%. Чтобы сэкономить, позаботьтесь о расширении парка лицензий заранее – оставьте заявку до 29 марта и получите счет на оплату по старой цене.

11.03.2024    1457    ЕленаЧерепнева    0       

16

Минфин пояснил, как учитывать экосбор для налога на прибыль

Новость ИТ-Новость Минфин Налоги

Минфин пояснил, надо ли учитывать расходы на оплату экологического сбора для налога на прибыль. А также как их учитывать и в каком налоговом периоде.

11.03.2024    427    user1915669    0       

1

Онлайн-курс по изучению механизмов платформы «1С:Предприятие»: старт завтра

Новость Обучение Программист

На курсе «”1С:Предприятие” для программистов» вы научитесь легко адаптировать систему под нужды заказчика и делать процесс разработки более гибким с помощью механизма расширений.

11.03.2024    638    AnastasiaKl    4       

16

Памятка: как правильно оформить публикацию в Базе знаний

Новость Инфостарт Сообщество Стартмани

При размещении публикации на Инфостарте важно не только сформулировать свои знания и опыт, но и аккуратно их оформить. Расскажем, о чем нужно помнить при оформлении публикации на Инфостарте и как эффективно использовать возможности редактора сайта.

07.03.2024    1420    vikad    3       

19

Узнайте о новых возможностях 1С-Коннект на бесплатном вебинаре

Новость Сервисы ИТС

26 марта в 11:00 (МСК) приглашаем на бесплатный онлайн-вебинар, где мы расскажем о новых функциональных возможностях сервиса 1С-Коннект. Платформа предназначена для автоматизации технической поддержки, услуг и коммуникаций.

07.03.2024    955    AnastasiaKl    0       

15

Приглашаем на бесплатный вебинар о GitFlic 3.0 – первом российском сервисе для работы с исходным кодом

Новость

11 марта в 14:00 Инфостарт проведет бесплатный вебинар на тему «GitFlic – платформа для разработчиков». Расскажем о преимуществах новой версии сервиса, а также обсудим стратегию обмена идеями между разработчиками для развития ИТ-отрасли.

06.03.2024    1386    vikad    0       

16

Новый сервис «Доки»: работа с электронными документами из 1С через веб-интерфейс

Новость Сервисы ИТС ЭДО

Сервис «Доки» выгружает сформированные в 1С электронные документы в защищенное облако, позволяя согласовывать, подписывать и отправлять их не только в программе 1С, но и из веб-браузера.

06.03.2024    1999    ЕленаЧерепнева    6       

3

Готова программа онлайн-митапа «1С в облаке: возможности и риски, решения и кейсы»

Новость Мероприятия

15 марта состоится бесплатный онлайн-митап «1С в облаке: возможности и риски, решения и кейсы». Модераторы уже собрали финальную программу мероприятия: вас ждут 5 докладов, один круглый стол и море пользы.

06.03.2024    1197    user997184    0       

16