В платформе 1С реализовали механизм двухфакторной аутентификации пользователей

15.03.2019     

В версии платформы «1С:Предприятие» 8.3.15 реализовали механизм, который обеспечит дополнительную защиту информационной базы. При входе в базу механизм потребует подтвердить личность пользователя двумя разными способами.

Аутентификация

В системе «1С:Предприятия» аутентификация означает проверку логина и пароля пользователя на корректность. Платформа выполняет эту операцию самостоятельно, или пользуется помощью другого надежного ресурса, будь то операционная система или аутентификация OpenID.

OpenID – открытый стандарт децентрализованной системы аутентификации. Технология позволяет создавать единую учетную запись для аутентификации на множестве не связанных друг с другом интернет-ресурсов.

У такой системы есть недостаток: для своего удобства пользователи придумывают простые и короткие пароли. Но это противоречит сути «запароливания» данных, которые мы хотим защитить: простые пароли легко взломать.

Двухфакторная аутентификация – один из самых надежных способов защиты информации. Чтобы пройти проверку личности, пользователю нужны два из трех типов данных, например:

  • логин / пароль;
  • мобильный телефон;
  • отпечаток пальца.

Например, мы вводим логин и пароль, а затем входим по отпечатку пальца. Либо вводим присланный на мобильный телефон код.

Платформа «1С» проверит первый фактор  самостоятельно, а для второго ей потребуется помощник – провайдер.

Провайдер второго фактора аутентификации

Провайдер-помощник – веб-сервис, обладающий некоторым интерфейсом, состоящим из HTTP-запросов. Это может быть:

  • база «1С:Предприятия» с реализованным набором HTTP-сервисов, позволяющих пересылать сообщения или выполнять аутентификацию;
  • сторонний сервис, генерирующий коды для второго фактора аутентификации.

Для нас важно, чтобы провайдер умел общаться посредством HTTP-запросов.

Сценарии аутентификации

Существует два возможных сценария для второго фактора аутентификации: для «простых» и «умных» провайдеров.

В первом случае клиентское приложение показывает пользователю окно дополнительной аутентификации:

 

 

Сервер генерирует код второго кода и отправляет HTTP-запрос провайдеру с сообщение для пользователя: «Ваш аутентификационный код 94573». Провайдер пересылает СМС с кодом на мобильный телефон пользователя, его остается лишь ввести в специальном окне.

В этом случае генерирует код и формирует сообщения сервер. Провайдер только передает сообщение пользователю, а платформа ждет ввода кода.

«Умные» провайдеры сами генерируют секретный код, сообщение, умеют информировать пользователя и проверять его данные. Сервер сообщает клиентскому приложению о необходимости дополнительно проверить пользователя. Клиентское приложение покажет окно второго фактора аутентификации. 

 

Как работает «умный» провайдер

 

Сервер отправляет HTTP-запрос провайдеру с просьбой самостоятельно аутентифицировать пользователя. «Умный» провайдер просит у пользователя отпечаток пальца через специальное приложение. Пользователь сканирует палец и в окне дополнительной аутентификации указывает, что проверка пройдена. Провайдер сообщит серверу результаты, и при успешном завершении процедуры пользователь сможет начать работу.

Пользователи и провайдеры

Для каждого пользователя провайдер и способ аутентификации определяется отдельно. Чтобы описать HTTP-запросы, которые следует отправить провайдеру, в во встроенном языке платформы реализовали новый тип – ШаблонНастройкиВторогоФактораАутентификации.

Объекты этого типа – именованные объекты, которые можно сохранить в базе данных. Каждый шаблон используется для сохранения двух HTTP-запросов: один для запроса аутентификации, другой – для получения ее результата.

Оба этих запроса описываются с помощью привычных объектов HTTPЗапрос, но имеют две интересные особенности:

  • для каждого из запросов задается свой HTTP-метод в виде строки;
  • некоторые поля в запросах можно «параметризировать», используя «&» (например, &sms_phone_number). Запросы для разных пользователей будут одинаковыми, различаются лишь некоторые поля: номер телефона для отправки кода, например.

Шаблон для простого провайдера, отправляющего СМС, формируется по одному запросу – для аутентификации. Шаблон «умного» провайдера содержит два запроса: просьба выполнить аутентификацию и запрос результатов аутентификации.

После сохранения шаблонов для провайдеров, каждый из них присваивается определенному пользователю вместе с набором значений для параметров, которые должны подставляться в этот шаблон.

Для пользователя с шаблоном «простого провайдера» записывается один параметр:  адрес для отправки HTTP-запроса (host):

Пользователь, для которого используется «умный» провайдер, потребует больше параметров:

Важно: каждому пользователю можно задать не один «набор» настроек, а несколько (массив). Свойство ОбработкаНастроекВторогоФактораАутентификации позволяет применять их по очереди в том случае, если исполнение текущего HTTP-запроса закончилось ошибкой. Например, провайдер не работает, тогда можно попробовать другого провайдера, который умеет выполнять аналогичные действия (другой набор настроек).

Журнал регистрации

Для всех новых сценариев аутентификации в журнал регистрации добавили новые события и новые поля некоторым старым событиям. Поэтому контролировать можно не только двухфакторную проверку пользователя, но и связанные с ней действия: изменение шаблонов или настроек пользователей.

Подробнее о механизме


Автор:
Дарья Расина Редактор


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Darklight 27 15.03.19 14:59 Сейчас в теме
Программный API это конечно хорошо, но я думал двухфакторную аутентификацию встроят прямо в платформу - чтобы можно было использовать без программирования.
mnemchinov; w.r.; +2 Ответить
2. s22 19 15.03.19 15:41 Сейчас в теме
(1) А по факту так и сделано.
Только сделали, что бы было удобно через БПС
3. w.r. 594 15.03.19 16:56 Сейчас в теме
(2) сомнительное какое-то «удобство». Все-равно надо пилить напильником конфигурацию похоже
4. s22 19 15.03.19 18:05 Сейчас в теме
(3) Те, у кого конфа на БСП получат данное улучшение без дополнительного программирования.
На мой взгляд 1с приняла наилучшее решение.
A_Max; Артано; +2 Ответить
5. anton3077944 15.03.19 19:06 Сейчас в теме
Вообще неплохо было бы, если бы сделали аутентификацию по сертификату ЭЦП.
Причём аутентификацию не только пользователя, но и компьютера.
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю
6. s22 19 15.03.19 20:23 Сейчас в теме
(5)
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю


Доступ только через ВПН.
А ВПН настраивается через сертификат.
dobryiden; anton3077944; +2 Ответить
9. insurgut 194 16.03.19 15:28 Сейчас в теме
7. androgin 16.03.19 01:15 Сейчас в теме
непонятно, как будут теперь мобильные приложения отрабатывать авторизацию.
Если в тонком клиенте я сделаю двойную авторизацию, а для мобильного мне это не нужно - то как это реализовать?)))
У меня в мобильном приложении авторизация проходит при запуске, так как приложение хранить учетные записи пользователя. Это будет сильно раздражать и замедлять запуск приложения.
Мобильное приложение создано в XCode, а не сборщиком 1С
8. PerlAmutor 124 16.03.19 08:08 Сейчас в теме
А как сделать другой тип авторизации - собственный? Я хочу, чтобы всех пользователей без разбора, без какой-либо авторизации сразу запускало в базу, а там я уже сам спрошу с помощью диалогов всю необходимую мне информацию и обработаю собственными алгоритмами.
12. Артано 705 18.03.19 06:32 Сейчас в теме
(8) Руками =) Такие проверки реализовывались еще на семерке, так что проблемы не вижу. Или неверно понял вопрос
13. PerlAmutor 124 18.03.19 06:38 Сейчас в теме
(12) Не знаю в 1С такой настройки для полного отключения типовой авторизации. После запуска конфигурации я хочу, чтобы пользователя сразу пускало в базу без выбора пользователя и ввода (пусть даже пустого) пароля. Чтобы он мог в ней полазить с какими-то минимальными правами, а затем оттуда же, например, авторизоваться под конкретной учетной записью, где бы я ему создал новую сессию с уже другим набором прав (ролей и их RLS).
14. Артано 705 18.03.19 06:41 Сейчас в теме
(13) Понял, такого нет. Подобные вещи реализованы в некоторых конфигурациях, за счет дублирования функциональности. Т.е. все заходят под одной универсальной ролью типа "пользователь", а далее уже по итогам авторизации подключается система контроля по профилю полномочий. РЛС работать не будет, но при подходящей архитектуре решения, это и не потребуется
10. insurgut 194 16.03.19 15:29 Сейчас в теме
Нескромный вопрос - а за СМС кто платит? Сама 1С?
15. androgin 19.03.19 14:05 Сейчас в теме
(10) указано, что сторонние сервисы
16. insurgut 194 19.03.19 15:06 Сейчас в теме
(15) вообще странное нововведение - самому в 5-10 строчек кода это реализуется. На месте 1С можно было бы выпустить свой веб-сервис аутентификации + приложение для мобильных устройств, аналогично Google.Authenticator. Тогда и платить никому ни за что не пришлось бы. 1 раз зарегался и все, пароль всегда под рукой.
17. androgin 19.03.19 21:20 Сейчас в теме
(16) очень сомневаюсь, что никому и ни за что))))
это же 1С ))
сами будут тарифицировать)
11. Идальго 188 16.03.19 16:15 Сейчас в теме
Блин, лучше бы они оптимизацией своего кода занимались, чтобы упр.формы тормозили поменьше.
Skolkovo; anderson; IllayDevel; asupsam; zakiap; +5 Ответить
18. Hokner 12.01.21 10:15 Сейчас в теме
Возможно ли включение двухфакторной авторизации только для веб-клиента?
Оставьте свое сообщение

См. также

Фирма «1С» проведет прямую трансляцию финала конкурса «Лучший пользователь 1С:ИТС»

Новость ИТ-новость

Финал конкурса «Лучший пользователь ИТС» впервые пройдет в режиме онлайн. Для зрителей трансляции организаторы предусмотрели возможность пройти тестирование. Обладатели лучших результатов теста получат призы.

вчера в 17:28    1011    ЕленаЧерепнева    0       

Весенняя распродажа на Инфостарте: скидки на готовые решения, абонемент, курсы и лицензии 1С-Битрикс

Новость Инфостарт

С 14 по 21 мая Инфостарт запускает масштабную распродажу: скидки до 50% на готовые решения, до 25% на лицензии 1С-Битрикс, 10% на абонемент и до 50% на курсы, видеозаписи конференции и митапов.

вчера в 09:24    1483    vikad    0       

Весенняя распродажа Инфостарта: знания со скидкой до 50%

Новость Обучение, бизнес-тренинг, курсы Инфостарт Мероприятия

С 14 по 21 мая на Инфостарте проходит большая весенняя распродажа. Вчера мы рассказали о скидках на готовые решения, а сегодня расскажем, какие знания можно будет приобрести со скидкой в течение ближайшей недели.

14.05.2021    2516    irina_selezneva    0       

Фирма «1С» предложила новую технологию для массового подключения к 1С-ЭДО

Новость 1С:Фреш Сервисы

Услуга онбординга позволит пользователям сервиса 1С-ЭДО массово переводить своих контрагентов на электронный документооборот, бесплатно подключая их к обмену электронными документами.

13.05.2021    3383    ЕленаЧерепнева    1       

Скидки до 50% на готовые решения на базе платформы 1С

Новость Инфостарт Infostart Software Partners Маркет Платные (руб) Разработка

Авторы лучших коммерческих решений на Инфостарте предоставляют скидки на свои программные продукты. Разработки помогут перенести данные из одной конфигурации в другую, анализировать цены конкурентов и конструировать боты в Telegram.

13.05.2021    3241    pvasiletc    1       

Видеозаписи докладов Infostart Event 2021 доступны участникам конференции

Новость Инфостарт infostartevent Мероприятия

С 6 по 8 мая в Санкт-Петербурге прошла десятая конференция Infostart Event 2021 Post-Apocalypse. Чтобы гости Infostart Event могли пересмотреть доклады и ознакомиться с презентациями, мы подготовили и выложили видеозаписи и материалы мероприятия.

12.05.2021    5333    user997184    14       

Вышла новая версия «Мастера отчетов 2.0»

Новость v8::СКД Infostart Software Partners Маркет Внешний отчет (ert,erf) Платные (руб)

Выпущена новая версия универсального конструктора для создания отчетов без программирования в любых конфигурациях на базе 1С:Предприятие 8.3.

12.05.2021    4272    iivanov1    0       

Windows 10 получила функцию удаления программ из консоли

Новость Windows Автоматизация ИТ-новость

Менеджер пакетов Winget в Windows 10 теперь позволяет удалить ПО из командной строки. Использовать эту функцию можно так же, как в Linux.

11.05.2021    3997    user1015646    0       

Десятая конференция Infostart Event 2021: мы это сделали!

Новость Инфостарт infostartevent Мероприятия

Сегодня завершилось значимое событие сообщества Инфостарт – Infostart Event 2021 Post-Apocalypse. Несмотря на ограничения, удалось организовать и провести масштабное мероприятие – 3 дня, 800 участников, 5 параллельных потоков и 80 докладов.

08.05.2021    6533    AnastasiaKl    489       

Приглашаем гостей конференции поучаствовать в розыгрыше призов от SM Lab

Новость Инфостарт infostartevent Мероприятия

В разгаре третий, заключительный день конференции Infostart Event. Это значит, что у наших гостей еще есть время пообщаться, посетить запланированные доклады, сделать фотографии и участвовать в активностях наших партнеров.

08.05.2021    3678    user997184    0       

Стендап от 1С-ников: как это было

Новость Инфостарт infostartevent Мероприятия

Каждый год мы организуем новые и интересные события на мероприятии. В этом году вечеринку Infostart Party открыла стендап-комедия от наших докладчиков.

07.05.2021    4193    AnastasiaKl    6       

Состоялся первый день десятой конференции Infostart Event 

Новость Инфостарт infostartevent Мероприятия

Прошел первый день Infostart Event Post-Apocalypse! Мы прожили его активно, продуктивно и весело, а главное – в теплой и дружеской атмосфере. 

07.05.2021    3908    AnastasiaKl    0       

Конференция Infostart Event 2021 Post-Apocalypse официально открыта!

Новость Инфостарт infostartevent Мероприятия

Десятая конференция Infostart Event наконец открыта! Мы соскучились и рады встрече с нашими участниками. 

06.05.2021    5505    AnastasiaKl    0       

Спортивный партнер Infostart Event 2021 SM Lab о работе с продуктами 1С

Новость Инфостарт infostartevent Мероприятия

Sportmaster Lab – спортивный партнер конференции Infostart Event. Мы уже знакомили вас с активностями, которые предлагает компания, а теперь знакомим вас со стеком технологий, который использует команда SM Lab. 

06.05.2021    3160    user997184    0       

Фотоконкурс для участников Infostart Event: приз – бесплатная поездка на конференцию в 2022 году

Новость Инфостарт infostartevent Мероприятия

Конференция Infostart Event 2021 Post-Apocalypse открыта! Напоминаем, что в этом году ношение маски – обязательное условие для участников конференции. Но мы решили сделать эту обязанность не только полезной, но еще и приятной.

06.05.2021    5044    user997184    0       

Представляем Каталог услуг компании Инфостарт

Новость Инфостарт ИТ-новость

Инфостарт организует полный цикл работ по автоматизации бизнеса на платформе 1С и дальнейшему сопровождению. Все это мы можем сделать в режиме единого окна – с помощью Каталога услуг Инфостарта. 

06.05.2021    3274    tefremova    0       

Секретный проект из ИТ-лаборатории Инфостарта: приоткрываем завесу

Новость Инфостарт Infostart Software Partners Маркет

Уже некоторое время команда ИТ-лаборатории Инфостарта в качестве одного из проектов занимается разработкой внутреннего стартапа под названием «Магазин решений». Если кратко, то это – маркетплейс решений для конфигураций на платформе 1С:Предприятие 8.

06.05.2021    6285    kuntashov    20       

Фирма «1С» уведомила об ограничении поддержки прикладных конфигураций на платформе 7.7

Новость v8 v7.7

В 2021 году поддержка типовых конфигураций на платформе 1С:Предприятие 7.7 будет существенно ограничена. Пользователям таких продуктов рекомендуется рассмотреть переход на «восьмерку».

05.05.2021    4076    ЕленаЧерепнева    11       

Веселый водовоз, Neva Coffee, Teaton: все участники INFOSTART EVENT 2021 будут испытывать только жажду знаний!

Новость Инфостарт infostartevent Мероприятия

Пока на площадке конференции идет монтаж и вся команда Инфостарт собирает инфопакеты, мы вам расскажем о том, где на конференции можно будет выпить чашечку ароматного кофе, чая или восстановить водный баланс.

05.05.2021    3314    eselyanina    0       

Sportmaster Lab: рассказываем, чем можно будет заняться на стенде партнера

Новость Инфостарт infostartevent Мероприятия

Пока наши участники собирают чемоданы, а некоторые уже в дороге на Санкт-Петербург, мы расскажем об активностях Sportmaster Lab, которые наш партнер подготовил специально для INFOSTART EVENT 2021.

04.05.2021    3283    eselyanina    0       

Фирма «1С» расскажет, как организовать переход с 1С:УПП на 1С:ERP

Новость ERP2 УПП1 Конфигурация

Специалисты фирмы «1С» проведут бесплатный вебинар по переходу с 1С:УПП на 1С:ERP. На мероприятии планируется рассмотреть технические инструменты для перехода и обсудить практический опыт по таким проектам.

30.04.2021    4941    ЕленаЧерепнева    1       

Новый мобильный 1С:Ник опубликован в Google Play и доступен для скачивания

Новость ИТ-новость Мобильные приложения Образование

Приложение 1С:Ник предназначено для подготовки к тестированию 1С:Профессионал. В обновленной версии, кроме учебных тестов, будет содержаться несколько дополнительных функциональных возможностей.

30.04.2021    4795    ЕленаЧерепнева    0       

Приложения 1С под Android, собранные на последних версиях мобильной платформы, необходимо будет пересобрать

Новость Android Зазеркалье ИТ-новость Мобильные приложения

Фирма «1С» сообщила разработчикам о необходимости проверить свои мобильные 1С-приложения на соответствие политикам безопасности Google Play.

29.04.2021    2968    ЕленаЧерепнева    0       

Infostart Toolkit 1.8: развитие инструментария СКД и другие улучшения

Новость v8::Запросы v8::СКД Инфостарт Infostart Software Partners Маркет Разработка Инструменты и обработки

В новом релизе Infostart Toolkit для просмотра и сравнения схем XML используется редактор Monaco, доработана универсальность «Консоли кода» и улучшена информативность инструмента «Регламентные и фоновые задания».

29.04.2021    8043    vikad    0       

Yandex.Cloud – облачный партнер конференции INFOSTART EVENT 2021 Post-Apocalypse

Новость Инфостарт infostartevent Мероприятия

Совсем скоро в отеле Park Inn by Radisson Pribaltiyskaya начнут заселять гостей конференции, а мы в свою очередь начнем возводить сцену, завозить аппаратуру и, конечно, помогать нашим партнерам застраивать стенды.

29.04.2021    5656    kbazzh    0