В платформе 1С реализовали механизм двухфакторной аутентификации пользователей

15.03.2019      33645

В версии платформы «1С:Предприятие» 8.3.15 реализовали механизм, который обеспечит дополнительную защиту информационной базы. При входе в базу механизм потребует подтвердить личность пользователя двумя разными способами.

Аутентификация

В системе «1С:Предприятия» аутентификация означает проверку логина и пароля пользователя на корректность. Платформа выполняет эту операцию самостоятельно, или пользуется помощью другого надежного ресурса, будь то операционная система или аутентификация OpenID.

OpenID – открытый стандарт децентрализованной системы аутентификации. Технология позволяет создавать единую учетную запись для аутентификации на множестве не связанных друг с другом интернет-ресурсов.

У такой системы есть недостаток: для своего удобства пользователи придумывают простые и короткие пароли. Но это противоречит сути «запароливания» данных, которые мы хотим защитить: простые пароли легко взломать.

Двухфакторная аутентификация – один из самых надежных способов защиты информации. Чтобы пройти проверку личности, пользователю нужны два из трех типов данных, например:

  • логин / пароль;
  • мобильный телефон;
  • отпечаток пальца.

Например, мы вводим логин и пароль, а затем входим по отпечатку пальца. Либо вводим присланный на мобильный телефон код.

Платформа «1С» проверит первый фактор  самостоятельно, а для второго ей потребуется помощник – провайдер.

Провайдер второго фактора аутентификации

Провайдер-помощник – веб-сервис, обладающий некоторым интерфейсом, состоящим из HTTP-запросов. Это может быть:

  • база «1С:Предприятия» с реализованным набором HTTP-сервисов, позволяющих пересылать сообщения или выполнять аутентификацию;
  • сторонний сервис, генерирующий коды для второго фактора аутентификации.

Для нас важно, чтобы провайдер умел общаться посредством HTTP-запросов.

Сценарии аутентификации

Существует два возможных сценария для второго фактора аутентификации: для «простых» и «умных» провайдеров.

В первом случае клиентское приложение показывает пользователю окно дополнительной аутентификации:

 

 

Сервер генерирует код второго кода и отправляет HTTP-запрос провайдеру с сообщение для пользователя: «Ваш аутентификационный код 94573». Провайдер пересылает СМС с кодом на мобильный телефон пользователя, его остается лишь ввести в специальном окне.

В этом случае генерирует код и формирует сообщения сервер. Провайдер только передает сообщение пользователю, а платформа ждет ввода кода.

«Умные» провайдеры сами генерируют секретный код, сообщение, умеют информировать пользователя и проверять его данные. Сервер сообщает клиентскому приложению о необходимости дополнительно проверить пользователя. Клиентское приложение покажет окно второго фактора аутентификации. 

 

Как работает «умный» провайдер

 

Сервер отправляет HTTP-запрос провайдеру с просьбой самостоятельно аутентифицировать пользователя. «Умный» провайдер просит у пользователя отпечаток пальца через специальное приложение. Пользователь сканирует палец и в окне дополнительной аутентификации указывает, что проверка пройдена. Провайдер сообщит серверу результаты, и при успешном завершении процедуры пользователь сможет начать работу.

Пользователи и провайдеры

Для каждого пользователя провайдер и способ аутентификации определяется отдельно. Чтобы описать HTTP-запросы, которые следует отправить провайдеру, в во встроенном языке платформы реализовали новый тип – ШаблонНастройкиВторогоФактораАутентификации.

Объекты этого типа – именованные объекты, которые можно сохранить в базе данных. Каждый шаблон используется для сохранения двух HTTP-запросов: один для запроса аутентификации, другой – для получения ее результата.

Оба этих запроса описываются с помощью привычных объектов HTTPЗапрос, но имеют две интересные особенности:

  • для каждого из запросов задается свой HTTP-метод в виде строки;
  • некоторые поля в запросах можно «параметризировать», используя «&» (например, &sms_phone_number). Запросы для разных пользователей будут одинаковыми, различаются лишь некоторые поля: номер телефона для отправки кода, например.

Шаблон для простого провайдера, отправляющего СМС, формируется по одному запросу – для аутентификации. Шаблон «умного» провайдера содержит два запроса: просьба выполнить аутентификацию и запрос результатов аутентификации.

После сохранения шаблонов для провайдеров, каждый из них присваивается определенному пользователю вместе с набором значений для параметров, которые должны подставляться в этот шаблон.

Для пользователя с шаблоном «простого провайдера» записывается один параметр:  адрес для отправки HTTP-запроса (host):

Пользователь, для которого используется «умный» провайдер, потребует больше параметров:

Важно: каждому пользователю можно задать не один «набор» настроек, а несколько (массив). Свойство ОбработкаНастроекВторогоФактораАутентификации позволяет применять их по очереди в том случае, если исполнение текущего HTTP-запроса закончилось ошибкой. Например, провайдер не работает, тогда можно попробовать другого провайдера, который умеет выполнять аналогичные действия (другой набор настроек).

Журнал регистрации

Для всех новых сценариев аутентификации в журнал регистрации добавили новые события и новые поля некоторым старым событиям. Поэтому контролировать можно не только двухфакторную проверку пользователя, но и связанные с ней действия: изменение шаблонов или настроек пользователей.

Подробнее о механизме


Автор:
Редактор


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Darklight 28 15.03.19 14:59 Сейчас в теме
Программный API это конечно хорошо, но я думал двухфакторную аутентификацию встроят прямо в платформу - чтобы можно было использовать без программирования.
kuznetsov1c; masterok647; mnemchinov; w.r.; +4 Ответить
2. s22 19 15.03.19 15:41 Сейчас в теме
(1) А по факту так и сделано.
Только сделали, что бы было удобно через БПС
3. w.r. 630 15.03.19 16:56 Сейчас в теме
(2) сомнительное какое-то «удобство». Все-равно надо пилить напильником конфигурацию похоже
4. s22 19 15.03.19 18:05 Сейчас в теме
(3) Те, у кого конфа на БСП получат данное улучшение без дополнительного программирования.
На мой взгляд 1с приняла наилучшее решение.
A_Max; Артано; +2 Ответить
5. anton3077944 15.03.19 19:06 Сейчас в теме
Вообще неплохо было бы, если бы сделали аутентификацию по сертификату ЭЦП.
Причём аутентификацию не только пользователя, но и компьютера.
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю
6. s22 19 15.03.19 20:23 Сейчас в теме
(5)
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю


Доступ только через ВПН.
А ВПН настраивается через сертификат.
dobryiden; anton3077944; +2 Ответить
9. insurgut 205 16.03.19 15:28 Сейчас в теме
7. androgin 16.03.19 01:15 Сейчас в теме
непонятно, как будут теперь мобильные приложения отрабатывать авторизацию.
Если в тонком клиенте я сделаю двойную авторизацию, а для мобильного мне это не нужно - то как это реализовать?)))
У меня в мобильном приложении авторизация проходит при запуске, так как приложение хранить учетные записи пользователя. Это будет сильно раздражать и замедлять запуск приложения.
Мобильное приложение создано в XCode, а не сборщиком 1С
8. PerlAmutor 129 16.03.19 08:08 Сейчас в теме
А как сделать другой тип авторизации - собственный? Я хочу, чтобы всех пользователей без разбора, без какой-либо авторизации сразу запускало в базу, а там я уже сам спрошу с помощью диалогов всю необходимую мне информацию и обработаю собственными алгоритмами.
12. Артано 728 18.03.19 06:32 Сейчас в теме
(8) Руками =) Такие проверки реализовывались еще на семерке, так что проблемы не вижу. Или неверно понял вопрос
13. PerlAmutor 129 18.03.19 06:38 Сейчас в теме
(12) Не знаю в 1С такой настройки для полного отключения типовой авторизации. После запуска конфигурации я хочу, чтобы пользователя сразу пускало в базу без выбора пользователя и ввода (пусть даже пустого) пароля. Чтобы он мог в ней полазить с какими-то минимальными правами, а затем оттуда же, например, авторизоваться под конкретной учетной записью, где бы я ему создал новую сессию с уже другим набором прав (ролей и их RLS).
14. Артано 728 18.03.19 06:41 Сейчас в теме
(13) Понял, такого нет. Подобные вещи реализованы в некоторых конфигурациях, за счет дублирования функциональности. Т.е. все заходят под одной универсальной ролью типа "пользователь", а далее уже по итогам авторизации подключается система контроля по профилю полномочий. РЛС работать не будет, но при подходящей архитектуре решения, это и не потребуется
10. insurgut 205 16.03.19 15:29 Сейчас в теме
Нескромный вопрос - а за СМС кто платит? Сама 1С?
15. androgin 19.03.19 14:05 Сейчас в теме
(10) указано, что сторонние сервисы
16. insurgut 205 19.03.19 15:06 Сейчас в теме
(15) вообще странное нововведение - самому в 5-10 строчек кода это реализуется. На месте 1С можно было бы выпустить свой веб-сервис аутентификации + приложение для мобильных устройств, аналогично Google.Authenticator. Тогда и платить никому ни за что не пришлось бы. 1 раз зарегался и все, пароль всегда под рукой.
17. androgin 19.03.19 21:20 Сейчас в теме
(16) очень сомневаюсь, что никому и ни за что))))
это же 1С ))
сами будут тарифицировать)
11. Идальго 212 16.03.19 16:15 Сейчас в теме
Блин, лучше бы они оптимизацией своего кода занимались, чтобы упр.формы тормозили поменьше.
Skolkovo; anderson; IllayDevel; asupsam; zakiap; +5 Ответить
18. Hokner 12.01.21 10:15 Сейчас в теме
Возможно ли включение двухфакторной авторизации только для веб-клиента?
Оставьте свое сообщение

См. также

Фирма «1С» напомнила об ограниченной поддержке 1С:Бухгалтерии 2.0 КОРП в 2023 году

Новость 1С:Бухгалтерия 2.0 ИТ-новость Сервисы

В 2023 году требования законодательства будут поддерживаться для 1С:Бухгалтерии 2.0 КОРП в ограниченном режиме. В качестве оптимального решения рекомендовано планирование перехода на актуальный релиз уже сейчас.

вчера в 17:00    902    ЕленаЧерепнева    0       

В 8.3.24 будет доступно форматирование текста в ячейках табличных документов

Новость Платформа 1С v8.3 Зазеркалье Интерфейсы ИТ-новость

Пользователи прикладных решений на платформе 1С:Предприятие 8.3.24 получат больше возможностей для оформления текста в табличных документах. Об этом сообщается в официальном технологическом блоге фирмы «1С».

вчера в 14:53    977    ЕленаЧерепнева    5       

Не пора ли освоить «Запросы и отчеты» в 1С

Новость Обучение, бизнес-тренинг, курсы Инфостарт ИТ-новость Программист Разработка

12 декабря на Инфостарте стартует онлайн-курс для начинающих 1С-разработчиков – «Запросы и отчеты». Под контролем опытного преподавателя научимся разрабатывать запросы и отчеты для прикладных решений, работающих на платформе «1С:Предприятие».

вчера в 09:30    1300    dklimchuk    0       

Фирма «1С» ограничит поддержку решений на платформе 1С:Предприятие 7.7 в 2023 году

Новость Конфигурации 1cv7 ИТ-новость Сервисы

Для типовых конфигураций 7.7, оставшихся на поддержке, в следующем году предусмотрено только обновление форм отчетности без автозаполнения показателей. При этом стоимость такого сопровождения получится дороже перехода на 1С:Предприятие 8.

06.12.2022    1678    ЕленаЧерепнева    8       

Старт курса по расчетным задачам 8 декабря. Успейте записаться

Новость Обучение, бизнес-тренинг, курсы Инфостарт ИТ-новость Программист Разработка

В этот четверг состоится первое занятие трехнедельного онлайн-курса «1C:Предприятие для программистов: Расчетные задачи». Пройдя обучение, вы научитесь пользоваться механизмами платформы «1С:Предприятие», которые предназначены для автоматизации периодических расчетов. А также получите практические навыки по разработке прикладных решений.

06.12.2022    1053    dklimchuk    0       

Фирма «1С» вводит экономичные тарифы поддержки для отраслевых решений «1С-Совместно»

Новость ИТ-новость Сервисы

С 9 декабря 2022 года тарифы на поддержку отраслевых решений будут разделены на ПРОФ и Базовый. Те пользователи, которые не нуждаются в консультациях, а только скачивают обновления, смогут приобрести подписку на отраслевой 1С:КП за меньшую цену.

06.12.2022    1258    ЕленаЧерепнева    0       

Ищем авторов вопросов для новогодней интеллектуальной игры «Что Если Тогда»

Новость Инфостарт ИТ-новость

22 декабря в 17:00 МСК подведем итоги уходящего 2022 года: эксперты сообщества INFOSTART назовут лауреатов премии INFOSTART AWARDS 2022, а знатоки клуба «Что Если Тогда» сразятся против команды зрителей.

05.12.2022    1116    eselyanina    0       

ТОП продаж от маркетплейса Инфостарт: подводим итоги за ноябрь

Новость Инфостарт Infostart Software Partners ИТ-новость Маркет

Подводим ноябрьские итоги продаж от маркетплейса Инфостарт и подробно рассказываем о самых продаваемых разработках. Для удобства делим рейтинг по количеству и сумме продаж.

05.12.2022    1266    user1837220    0       

Продолжается прием заявок на Infostart Awards 2022

Новость Инфостарт ИТ-новость

В этом году церемония вручения премии Infostart Awards 2022 пройдет онлайн, 22 декабря. Эксперты отрасли 1С в прямом эфире объявят лауреатов, а на десерт нас ждет онлайн-игра “Что Если Тогда”.

02.12.2022    1702    user997184    0       

1С:Документооборот 3.0.9: МЧД, улучшение обработки документов и другие изменения

Новость 1С:Документооборот ИТ-новость

Выпущен обновленный релиз для прикладного решения 1С:Документооборот. Значимые изменения произошли в подсистемах обработки документов и совместной работы. Рассказываем, на что обратить внимание в обновлении 1С:ДО 3.0.9.

02.12.2022    2002    ЕленаЧерепнева    0       

Продолжается набор на онлайн-курс для 1С-разработчиков «Запросы и отчеты в 1С»

Новость Обучение, бизнес-тренинг, курсы ИТ-новость Программист

12 декабря на Инфостарте начнется онлайн-курс для 1С-разработчиков – «Запросы и отчеты». Под контролем опытного преподавателя научимся разрабатывать запросы и отчеты для прикладных решений, работающих на платформе «1С:Предприятие».

01.12.2022    2651    dklimchuk    0       

Битрикс24: широкие возможности для бизнеса со скидкой до 35%

Новость Битрикс Infostart Software Partners ИТ-новость Облачные технологии

С 1 по 29 декабря приобретайте облачные тарифы Битрикс24 и подписку Битрикс24.Маркет Плюс со скидкой до 35%! Автоматизация процессов, контроль сделок и продаж, создание сайтов и магазинов, совместная работа – под каждую задачу всегда найдется решение.

01.12.2022    1574    PVM007    0       

«1С-Битрикс: Управление сайтом»: скидки до 20% на лицензии

Новость Битрикс Infostart Software Partners ИТ-новость

С 1 по 29 декабря 1С-Битрикс проводит акцию на покупку CMS «1С-Битрикс: Управление сайтом». Максимальный размер скидки на лицензии достигает 20%. Рассказываем, какие скидки вас ждут, и что сделать, чтобы принять участие в акции.

01.12.2022    1678    PVM007    0       

Бизнес–форум 1С:ERP 2022: подведены итоги года корпоративной автоматизации

Новость ИТ-новость Мероприятия

Фирма «1С» провела девятый по счету Бизнес-форум 1С:ERP. Презентационные материалы уже опубликованы на официальном сайте и доступны для просмотра. Рассказываем о главных событиях форума в этом году, в том числе о новом решении 1С:Персонал.

30.11.2022    2084    ЕленаЧерепнева    0       

Изменение в правилах: Начисление стартмани за сообщения на форуме отменяется

Новость Инфостарт ИТ-новость

Многие темы и комментарии создавались не для решения проблем, а для накрутки стартмани. Поэтому было принято решение – отменить символические начисления стартмани за простые комментарии на форуме и оставить только вознаграждение за ответ.

29.11.2022    1798    vikad    150       

Новое приобретение фирмы «1С» – доля в бизнесе в ЭТП Bidzaar

Новость ИТ-новость Облачные технологии

Предполагается, что вхождение «1С» в состав учредителей Bidzaar позволит более эффективно расширять возможности решений для автоматизации тендерных закупок. В совместном пресс-релизе говорится, что первых результатов можно ожидать уже в 2023 году.

29.11.2022    2019    ЕленаЧерепнева    0       

Подводим итоги митапа «1С:ERP: Важные аспекты комплексной автоматизации»

Новость Инфостарт ИТ-новость Мероприятия Бизнес-аналитик Руководитель проекта

Вместе со слушателями обсудили все тонкости проектов по внедрению ERP, а также использование возможностей таких систем для решения задач бизнеса.

28.11.2022    3073    PVM007    0       

22 декабря: вручение ежегодной независимой премии INFOSTART AWARDS и праздничная игра «Что Если Тогда»

Новость Инфостарт infostartevent ИТ-новость

INFOSTART проводит уходящий год двойным событием. 22 декабря, в 19:00 в прямом эфире мы объявим лауреатов премии INFOSTART AWARDS 2022 и проведем новогоднюю игру «Что, Если, Тогда».

28.11.2022    1715    user997184    2       

Последний день МЕГАраспродажи на Инфостарте: успейте купить курс или готовое решение со скидкой до 50%

Новость Обучение, бизнес-тренинг, курсы Инфостарт Infostart Software Partners ИТ-новость Маркет

Сегодня, 25 ноября заканчивается МЕГАраспродажа на Инфостарте. Собрали курсы и готовые решения отдельно, чтобы найти курс или разработку по сниженной цене было удобнее.

25.11.2022    2633    user997184    0       

Битрикс24 объявляет акцию «Черная пятница»

Новость Битрикс ИТ-новость

Только сегодня, 25 ноября, облачные тарифы «Битрикс24» и подписку на «1С-Битрикс24.Маркет Плюс» можно приобрести со скидкой до 40%. Акция продлится всего один день! Рассказываем подробнее о скидках и условиях участия.

25.11.2022    2689    AnastasiaKl    1       

Последняя возможность пойти на курс по управлению проектами со скидкой до 25%

Новость Обучение, бизнес-тренинг, курсы ИТ-новость Руководитель проекта

Сегодня последний день, когда можно выгодно приобрести курс по классическим методам управления проектами. До 24 ноября включительно на покупку курса действуют скидки 10% и 25% в зависимости от выбранного тарифа.

24.11.2022    6730    dklimchuk    0       

Проблемы с доступом к 1С-ЭДО? Установите патч

Новость ИТ-новость

Недавний сбой в работе сервисов 1С вызвал затруднения в работе ЭДО. Сейчас уже все работает. Однако если у кого-то все еще есть проблемы с обменом электронными документами, предлагаем несколько рекомендаций для устранения неполадок.

24.11.2022    4777    ЕленаЧерепнева    2       

Отвечаем на вопросы о переходе на КЭДО с сервисом «1С:Кабинет сотрудника»

Новость ИТ-новость Сервисы

16 ноября состоялся бесплатный вебинар «КЭДО без затрат на внедрение и сопровождение. Такое бывает!» Участники прямого эфира задали столько вопросов, что мы не успели на все из них ответить. Исправляемся и отвечаем в этой новости.

24.11.2022    3313    user1763361    0       

Новые возможности для работы с буфером обмена в 1С:Предприятие 8.3.24

Новость Платформа 1С v8.3 Зазеркалье ИТ-новость

Фирма «1С» сообщила, что в технологической платформе 8.3.24 будет реализована работа с буфером обмена из встроенного языка. Заметка, посвященная новой функциональности, размещена в официальном технологическом блоге «Заметки из Зазеркалья».

22.11.2022    6885    ЕленаЧерепнева    5       

Новый 1С:Тестировщик 1.0.4 сможет преобразовывать сценарий в текстовый формат

Новость

Фирма «1С» выпустила обновление для конфигурации 1С:Тестировщик. В релиз добавили функциональность преобразования сценария в текстовый формат. Это существенно расширяет возможности редактирования и настройки тестов.

22.11.2022    2179    ЕленаЧерепнева    1