В платформе 1С реализовали механизм двухфакторной аутентификации пользователей

15.03.2019      39249

В версии платформы «1С:Предприятие» 8.3.15 реализовали механизм, который обеспечит дополнительную защиту информационной базы. При входе в базу механизм потребует подтвердить личность пользователя двумя разными способами.

Аутентификация

В системе «1С:Предприятия» аутентификация означает проверку логина и пароля пользователя на корректность. Платформа выполняет эту операцию самостоятельно, или пользуется помощью другого надежного ресурса, будь то операционная система или аутентификация OpenID.

OpenID – открытый стандарт децентрализованной системы аутентификации. Технология позволяет создавать единую учетную запись для аутентификации на множестве не связанных друг с другом интернет-ресурсов.

У такой системы есть недостаток: для своего удобства пользователи придумывают простые и короткие пароли. Но это противоречит сути «запароливания» данных, которые мы хотим защитить: простые пароли легко взломать.

Двухфакторная аутентификация – один из самых надежных способов защиты информации. Чтобы пройти проверку личности, пользователю нужны два из трех типов данных, например:

  • логин / пароль;
  • мобильный телефон;
  • отпечаток пальца.

Например, мы вводим логин и пароль, а затем входим по отпечатку пальца. Либо вводим присланный на мобильный телефон код.

Платформа «1С» проверит первый фактор  самостоятельно, а для второго ей потребуется помощник – провайдер.

Провайдер второго фактора аутентификации

Провайдер-помощник – веб-сервис, обладающий некоторым интерфейсом, состоящим из HTTP-запросов. Это может быть:

  • база «1С:Предприятия» с реализованным набором HTTP-сервисов, позволяющих пересылать сообщения или выполнять аутентификацию;
  • сторонний сервис, генерирующий коды для второго фактора аутентификации.

Для нас важно, чтобы провайдер умел общаться посредством HTTP-запросов.

Сценарии аутентификации

Существует два возможных сценария для второго фактора аутентификации: для «простых» и «умных» провайдеров.

В первом случае клиентское приложение показывает пользователю окно дополнительной аутентификации:

 

 

Сервер генерирует код второго кода и отправляет HTTP-запрос провайдеру с сообщение для пользователя: «Ваш аутентификационный код 94573». Провайдер пересылает СМС с кодом на мобильный телефон пользователя, его остается лишь ввести в специальном окне.

В этом случае генерирует код и формирует сообщения сервер. Провайдер только передает сообщение пользователю, а платформа ждет ввода кода.

«Умные» провайдеры сами генерируют секретный код, сообщение, умеют информировать пользователя и проверять его данные. Сервер сообщает клиентскому приложению о необходимости дополнительно проверить пользователя. Клиентское приложение покажет окно второго фактора аутентификации. 

 

Как работает «умный» провайдер

 

Сервер отправляет HTTP-запрос провайдеру с просьбой самостоятельно аутентифицировать пользователя. «Умный» провайдер просит у пользователя отпечаток пальца через специальное приложение. Пользователь сканирует палец и в окне дополнительной аутентификации указывает, что проверка пройдена. Провайдер сообщит серверу результаты, и при успешном завершении процедуры пользователь сможет начать работу.

Пользователи и провайдеры

Для каждого пользователя провайдер и способ аутентификации определяется отдельно. Чтобы описать HTTP-запросы, которые следует отправить провайдеру, в во встроенном языке платформы реализовали новый тип – ШаблонНастройкиВторогоФактораАутентификации.

Объекты этого типа – именованные объекты, которые можно сохранить в базе данных. Каждый шаблон используется для сохранения двух HTTP-запросов: один для запроса аутентификации, другой – для получения ее результата.

Оба этих запроса описываются с помощью привычных объектов HTTPЗапрос, но имеют две интересные особенности:

  • для каждого из запросов задается свой HTTP-метод в виде строки;
  • некоторые поля в запросах можно «параметризировать», используя «&» (например, &sms_phone_number). Запросы для разных пользователей будут одинаковыми, различаются лишь некоторые поля: номер телефона для отправки кода, например.

Шаблон для простого провайдера, отправляющего СМС, формируется по одному запросу – для аутентификации. Шаблон «умного» провайдера содержит два запроса: просьба выполнить аутентификацию и запрос результатов аутентификации.

После сохранения шаблонов для провайдеров, каждый из них присваивается определенному пользователю вместе с набором значений для параметров, которые должны подставляться в этот шаблон.

Для пользователя с шаблоном «простого провайдера» записывается один параметр:  адрес для отправки HTTP-запроса (host):

Пользователь, для которого используется «умный» провайдер, потребует больше параметров:

Важно: каждому пользователю можно задать не один «набор» настроек, а несколько (массив). Свойство ОбработкаНастроекВторогоФактораАутентификации позволяет применять их по очереди в том случае, если исполнение текущего HTTP-запроса закончилось ошибкой. Например, провайдер не работает, тогда можно попробовать другого провайдера, который умеет выполнять аналогичные действия (другой набор настроек).

Журнал регистрации

Для всех новых сценариев аутентификации в журнал регистрации добавили новые события и новые поля некоторым старым событиям. Поэтому контролировать можно не только двухфакторную проверку пользователя, но и связанные с ней действия: изменение шаблонов или настроек пользователей.

Подробнее о механизме


Автор:
Редактор


Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. Darklight 32 15.03.19 14:59 Сейчас в теме
Программный API это конечно хорошо, но я думал двухфакторную аутентификацию встроят прямо в платформу - чтобы можно было использовать без программирования.
kuznetsov1c; masterok647; mnemchinov; w.r.; +4 Ответить
2. s22 19 15.03.19 15:41 Сейчас в теме
(1) А по факту так и сделано.
Только сделали, что бы было удобно через БПС
3. w.r. 645 15.03.19 16:56 Сейчас в теме
(2) сомнительное какое-то «удобство». Все-равно надо пилить напильником конфигурацию похоже
4. s22 19 15.03.19 18:05 Сейчас в теме
(3) Те, у кого конфа на БСП получат данное улучшение без дополнительного программирования.
На мой взгляд 1с приняла наилучшее решение.
A_Max; Артано; +2 Ответить
5. _anton3077944_ 15.03.19 19:06 Сейчас в теме
Вообще неплохо было бы, если бы сделали аутентификацию по сертификату ЭЦП.
Причём аутентификацию не только пользователя, но и компьютера.
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю
6. s22 19 15.03.19 20:23 Сейчас в теме
(5)
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю


Доступ только через ВПН.
А ВПН настраивается через сертификат.
dobryiden; _anton3077944_; +2 Ответить
9. insurgut 207 16.03.19 15:28 Сейчас в теме
(6) а причем тут fresh?
7. androgin 16.03.19 01:15 Сейчас в теме
непонятно, как будут теперь мобильные приложения отрабатывать авторизацию.
Если в тонком клиенте я сделаю двойную авторизацию, а для мобильного мне это не нужно - то как это реализовать?)))
У меня в мобильном приложении авторизация проходит при запуске, так как приложение хранить учетные записи пользователя. Это будет сильно раздражать и замедлять запуск приложения.
Мобильное приложение создано в XCode, а не сборщиком 1С
8. PerlAmutor 129 16.03.19 08:08 Сейчас в теме
А как сделать другой тип авторизации - собственный? Я хочу, чтобы всех пользователей без разбора, без какой-либо авторизации сразу запускало в базу, а там я уже сам спрошу с помощью диалогов всю необходимую мне информацию и обработаю собственными алгоритмами.
12. Артано 764 18.03.19 06:32 Сейчас в теме
(8) Руками =) Такие проверки реализовывались еще на семерке, так что проблемы не вижу. Или неверно понял вопрос
13. PerlAmutor 129 18.03.19 06:38 Сейчас в теме
(12) Не знаю в 1С такой настройки для полного отключения типовой авторизации. После запуска конфигурации я хочу, чтобы пользователя сразу пускало в базу без выбора пользователя и ввода (пусть даже пустого) пароля. Чтобы он мог в ней полазить с какими-то минимальными правами, а затем оттуда же, например, авторизоваться под конкретной учетной записью, где бы я ему создал новую сессию с уже другим набором прав (ролей и их RLS).
14. Артано 764 18.03.19 06:41 Сейчас в теме
(13) Понял, такого нет. Подобные вещи реализованы в некоторых конфигурациях, за счет дублирования функциональности. Т.е. все заходят под одной универсальной ролью типа "пользователь", а далее уже по итогам авторизации подключается система контроля по профилю полномочий. РЛС работать не будет, но при подходящей архитектуре решения, это и не потребуется
10. insurgut 207 16.03.19 15:29 Сейчас в теме
Нескромный вопрос - а за СМС кто платит? Сама 1С?
15. androgin 19.03.19 14:05 Сейчас в теме
(10) указано, что сторонние сервисы
16. insurgut 207 19.03.19 15:06 Сейчас в теме
(15) вообще странное нововведение - самому в 5-10 строчек кода это реализуется. На месте 1С можно было бы выпустить свой веб-сервис аутентификации + приложение для мобильных устройств, аналогично Google.Authenticator. Тогда и платить никому ни за что не пришлось бы. 1 раз зарегался и все, пароль всегда под рукой.
17. androgin 19.03.19 21:20 Сейчас в теме
(16) очень сомневаюсь, что никому и ни за что))))
это же 1С ))
сами будут тарифицировать)
11. Идальго 229 16.03.19 16:15 Сейчас в теме
Блин, лучше бы они оптимизацией своего кода занимались, чтобы упр.формы тормозили поменьше.
Skolkovo; anderson; IllayDevel; asupsam; zakiap; +5 Ответить
18. Hokner 12.01.21 10:15 Сейчас в теме
Возможно ли включение двухфакторной авторизации только для веб-клиента?
Оставьте свое сообщение

См. также

Таймлист – партнер конференции «Анализ и Управление в ИТ-проектах 2024»

Новость Aнализ&Управление Мероприятия

Продолжаем знакомить вас с партнерами конференции «Анализ и Управление в ИТ-проектах». Сегодня мы расскажем про компанию «Таймлист», которая занимается с собственными разработками в сфере искусственного интеллекта и продемонстрирует свой продукт.

сегодня в 14:00    113    eselyanina    0       

1

Собираетесь на конференцию «Анализ и Управление в ИТ-проектах»? Не забудьте ноутбук!

Новость Aнализ&Управление Мероприятия

В расписании конференции «Анализ и Управление в ИТ-проектах 2024» 61 слот занимают мастер-классы, практики, обсуждения и тренинги.

сегодня в 10:30    114    user997184    0       

1

PROF-IT GROUP примет участие в конференции Анализ и Управление в ИТ-проектах 2024

Новость Aнализ&Управление Мероприятия

С 30 мая по 1 июня 2024 года в Санкт-Петербурге состоится конференция «Анализ и Управление в ИТ-проектах 2024». Один из партнеров конференции – PROF-IT GROUP. Компания представит собственный стенд и доклад в секции «Кейсы крупных компаний».

вчера в 15:30    249    user997184    0       

15

Как идет переход на 1С в «РЖД»: актуальный статус по проекту миграции на 1С:ERP

Новость ИТ-Новость

Глава правительства Михаил Мишустин и гендиректор «РЖД» Олег Белозеров обсудили, как идет переход на 1С для одного из крупнейших российских пользователей 1С:ERP. Критически важные возможности системы уже реализованы. Полный переход намечен на 2028 год.

вчера в 13:46    1500    ЕленаЧерепнева    5       

4

Звук из текста: новый механизм для синтеза речи уже доступен в 1С:Предприятие

Новость Сервисы ИТС

Облачный продукт 1С:Синтез речи, обеспечивающий бэкенд к методам внутреннего языка 1С для генерации человеческой речи из текста, уже в продаже. Сервис можно попробовать бесплатно, и если качество устраивает, оплатить один из коммерческих тарифов.

вчера в 12:10    280    ЕленаЧерепнева    0       

1

Розыгрыш эргономичного кресла Metta Y 4D Triumph на конференции «Анализ и Управление в ИТ-проектах»

Новость Aнализ&Управление Мероприятия

На конференции «Анализ и Управление в ИТ-проектах» Инфостарт разыгрывает эргономичное компьютерное кресло Metta Y 4D Triumph. Это кресло станет вашим надежным помощником в работе, обеспечивая комфорт и здоровье спины.

вчера в 10:15    237    AnastasiaKl    0       

1

Может ли недавно созданная ИТ-компания платить страховые взносы по льготному тарифу, если она применяет УСН

Новость УСН ИТ-льготы ИТ-Новость

Минфин ответил на вопрос, какие льготы по взносам может получить ИТ-предприятие на УСН с собственным программный продуктом, если оно зарегистрировано в начале 2024 года.

21.05.2024    398    user1915669    0       

1

Reksoft — партнер конференции «Анализ и Управление в ИТ-проектах 2024»

Новость Aнализ&Управление Мероприятия

Представляем еще одного партнера конференции «Анализ и Управление в ИТ-проектах» – компанию «Рексофт». В этом году компания не только выступит партнером события, но и подготовила для участников много интересного

21.05.2024    398    user1950500    0       

15

27 мая состоится открытый вебинар «Практический опыт внедрения и эксплуатации Tantor SE 1C»

Новость

Инфостарт организует бесплатный вебинар по работе с СУБД Tantor Special Edition 1С. Встречу проведут старшие пресейл-инженеры Tantor Борис Шишкин и Кирилл Иванов.

20.05.2024    609    user997184    0       

16

CDEK – партнер конференции «Анализ и Управление в ИТ-проектах 2024»

Новость Aнализ&Управление Мероприятия

За скорость и драйв на конференции будет отвечать компания CDEK. Команда ИТ-продуктов CDEK создает и масштабирует цифровые решения в финансах, e-commerce, маркетинге и логистике.

20.05.2024    387    eselyanina    0       

2

Гринатом – партнер конференции «Анализ и Управление в ИТ-проектах 2024»

Новость Aнализ&Управление Мероприятия

Сегодня поговорим о компании Гринатом: вас ждет доклад в секции «Кейсы крупных компаний» и, конечно, стенд. На стенде для участников подготовили логические задачки и подарки, Но самое ценное здесь – обмен опытом с коллегами. 

17.05.2024    1026    user997184    0       

15

Бесплатное обучение 1С для учителей: поддержка ИТ-образования и встраивание дисциплин в учебный процесс

Новость ИТ-Новость Образование

Фирма «1С» приглашает преподавателей среднего профессионального и высшего образования, а также учителей основного общего образования на бесплатное обучение по программе «Легкий старт». Обучение проводится в дистанционном формате.

17.05.2024    830    ЕленаЧерепнева    0       

2

Новое решение «1С:Обмен данными по учету животных с ФГИС ВетИС Хорриот»

Новость

Фирма «1С» сообщила о начале продаж новой конфигурации для интеграции с компонентой «Хорриот» в системе ВетИС. Решение будет обеспечивать обмен информацией об учете животных, профилактических, диагностических, лечебных и иных мероприятиях.

17.05.2024    658    ЕленаЧерепнева    0       

2

КРОК – партнер конференции «Анализ и Управление в ИТ-проектах 2024»

Новость Aнализ&Управление Мероприятия

Команда КРОК уже не в первый раз приезжает на мероприятия Инфостарт в статусе партнера. В этом году на стенде компании всех участников ждет насыщенная программа и много нетворка с экспертами.

16.05.2024    892    user997184    0       

15

Присоединяйтесь к курсу «1С: Библиотека стандартных подсистем для начинающих»

Новость Обучение

Обучение продлится 2 недели: первый вебинар состоялся вчера, 15 мая. Но у вас еще есть возможность присоединиться к обучению и не пропустить важное. 

16.05.2024    886    user997184    2       

2

Как избежать проблем с автоматическим обновлением тонкого клиента 1С на старых версиях Windows

Новость Платформа 1С v8.3 Зазеркалье ИТ-Новость

Фирма «1С» предупредила, что при автообновлении тонкого клиента 1С с веб-сервера на некоторых старых версиях операционных систем Microsoft Windows может быть выведена надпись: «Не обнаружена цифровая подпись программы доступа».

15.05.2024    1114    ЕленаЧерепнева    0       

2

«СИТЕК» – партнер конференции «Анализ и Управление в ИТ-проектах 2024» 

Новость Aнализ&Управление Мероприятия

Продолжаем знакомиться с партнерами майской конференции Инфостарт для аналитиков и управленцев. На этот раз расскажем, что подготовила для нас компания «СИТЕК».

15.05.2024    965    user997184    0       

15

Аутентификация с помощью электронной почты в 1С:Предприятие 8.3.27

Новость Зазеркалье

Официальный технологический блог разместил анонс новых возможностей платформы, которые ожидаются в 8.3.27. Разработчики обещают реализовать вход в систему по паролю, отправленному на электронную почту пользователя.

14.05.2024    1112    ЕленаЧерепнева    0       

1

ГК «КОРУС Консалтинг» – официальный партнер конференции «Анализ и Управление в ИТ-проектах 2024»

Новость Aнализ&Управление Мероприятия

В перерывах между докладами не упустите шанс сфотографироваться на стендах, поучаствовать в активностях и забрать с собой дополнительные сувениры. 

14.05.2024    2103    user997184    0       

16

Бухгалтерия 3.0.152: настройка выплаты зарплаты и развитие интеграции с 1С:ДО 3

Новость 1С:Бухгалтерия 3.0 Новый релиз

Вышел очередной релиз прикладного решения 1С:Бухгалтерия 3.0.152. Разработчики добавили новую функциональность для настройки выплаты заработной платы, а также расширили возможности интеграции с 1С:Документооборот 3.0.

14.05.2024    890    ЕленаЧерепнева    0       

2

1С:MDM корпоративного уровня: новый продукт для управления мастер-данными

Новость

Вышел продукт «1С:MDM Управление мастер-данными КОРП». Решение позволит унифицировать НСИ для крупных распределенных компаний. Цена поставки для конечных пользователей будет зависеть от объема мастер-данных, используемых в централизованной базе.

13.05.2024    2625    ЕленаЧерепнева    1       

2

Онлайн-интенсив для новичков: быстрый старт в 1С-программировании 

Новость Обучение

4 июня стартует интенсив по 1С-программированию для новичков. Всего за 2 месяца участники курса научатся работать в самой популярной программе для автоматизации бизнеса «1С:Предприятие» и подготовятся к сдаче сертификационного экзамена 1С:Профессионал. 

13.05.2024    907    user997184    0       

15

Последний шанс купить билеты на конференцию «Анализ и Управление в ИТ-проектах 2024» со скидкой

Новость Aнализ&Управление Мероприятия

С 16 мая цены на участие в конференции «Анализ и Управление в ИТ-проектах 2024» изменятся. Если вы еще не успели купить билеты – не упустите последнюю возможность и воспользуйтесь финальной скидкой до повышения цены. 

13.05.2024    1034    user997184    0       

15

Онлайн-курс «1C:Предприятие для программистов: Запросы и отчеты»: старт уже завтра

Новость Обучение Программист

На курсе мы займемся изучением языка запросов и возможностей системы компоновки данных, которые понадобятся при разработке отчетов, работающих на платформе «1С:Предприятие».

13.05.2024    775    AnastasiaKl    0       

1

Таймлист – сервис для расшифровки и автопротоколирования совещаний и встреч получил обновления

Новость

Оставляйте заявку на демонстрационную встречу, где вы узнаете о новых функциональных возможностях сервиса «Таймлист» и корпоративной версии. После демонстрации вы сможете получить доступ к бесплатному тестированию функционала сервиса.

08.05.2024    1317    AnastasiaKl    0       

3