В платформе 1С реализовали механизм двухфакторной аутентификации пользователей

15.03.2019     

В версии платформы «1С:Предприятие» 8.3.15 реализовали механизм, который обеспечит дополнительную защиту информационной базы. При входе в базу механизм потребует подтвердить личность пользователя двумя разными способами.

Аутентификация

В системе «1С:Предприятия» аутентификация означает проверку логина и пароля пользователя на корректность. Платформа выполняет эту операцию самостоятельно, или пользуется помощью другого надежного ресурса, будь то операционная система или аутентификация OpenID.

OpenID – открытый стандарт децентрализованной системы аутентификации. Технология позволяет создавать единую учетную запись для аутентификации на множестве не связанных друг с другом интернет-ресурсов.

У такой системы есть недостаток: для своего удобства пользователи придумывают простые и короткие пароли. Но это противоречит сути «запароливания» данных, которые мы хотим защитить: простые пароли легко взломать.

Двухфакторная аутентификация – один из самых надежных способов защиты информации. Чтобы пройти проверку личности, пользователю нужны два из трех типов данных, например:

  • логин / пароль;
  • мобильный телефон;
  • отпечаток пальца.

Например, мы вводим логин и пароль, а затем входим по отпечатку пальца. Либо вводим присланный на мобильный телефон код.

Платформа «1С» проверит первый фактор  самостоятельно, а для второго ей потребуется помощник – провайдер.

Провайдер второго фактора аутентификации

Провайдер-помощник – веб-сервис, обладающий некоторым интерфейсом, состоящим из HTTP-запросов. Это может быть:

  • база «1С:Предприятия» с реализованным набором HTTP-сервисов, позволяющих пересылать сообщения или выполнять аутентификацию;
  • сторонний сервис, генерирующий коды для второго фактора аутентификации.

Для нас важно, чтобы провайдер умел общаться посредством HTTP-запросов.

Сценарии аутентификации

Существует два возможных сценария для второго фактора аутентификации: для «простых» и «умных» провайдеров.

В первом случае клиентское приложение показывает пользователю окно дополнительной аутентификации:

 

 

Сервер генерирует код второго кода и отправляет HTTP-запрос провайдеру с сообщение для пользователя: «Ваш аутентификационный код 94573». Провайдер пересылает СМС с кодом на мобильный телефон пользователя, его остается лишь ввести в специальном окне.

В этом случае генерирует код и формирует сообщения сервер. Провайдер только передает сообщение пользователю, а платформа ждет ввода кода.

«Умные» провайдеры сами генерируют секретный код, сообщение, умеют информировать пользователя и проверять его данные. Сервер сообщает клиентскому приложению о необходимости дополнительно проверить пользователя. Клиентское приложение покажет окно второго фактора аутентификации. 

 

Как работает «умный» провайдер

 

Сервер отправляет HTTP-запрос провайдеру с просьбой самостоятельно аутентифицировать пользователя. «Умный» провайдер просит у пользователя отпечаток пальца через специальное приложение. Пользователь сканирует палец и в окне дополнительной аутентификации указывает, что проверка пройдена. Провайдер сообщит серверу результаты, и при успешном завершении процедуры пользователь сможет начать работу.

Пользователи и провайдеры

Для каждого пользователя провайдер и способ аутентификации определяется отдельно. Чтобы описать HTTP-запросы, которые следует отправить провайдеру, в во встроенном языке платформы реализовали новый тип – ШаблонНастройкиВторогоФактораАутентификации.

Объекты этого типа – именованные объекты, которые можно сохранить в базе данных. Каждый шаблон используется для сохранения двух HTTP-запросов: один для запроса аутентификации, другой – для получения ее результата.

Оба этих запроса описываются с помощью привычных объектов HTTPЗапрос, но имеют две интересные особенности:

  • для каждого из запросов задается свой HTTP-метод в виде строки;
  • некоторые поля в запросах можно «параметризировать», используя «&» (например, &sms_phone_number). Запросы для разных пользователей будут одинаковыми, различаются лишь некоторые поля: номер телефона для отправки кода, например.

Шаблон для простого провайдера, отправляющего СМС, формируется по одному запросу – для аутентификации. Шаблон «умного» провайдера содержит два запроса: просьба выполнить аутентификацию и запрос результатов аутентификации.

После сохранения шаблонов для провайдеров, каждый из них присваивается определенному пользователю вместе с набором значений для параметров, которые должны подставляться в этот шаблон.

Для пользователя с шаблоном «простого провайдера» записывается один параметр:  адрес для отправки HTTP-запроса (host):

Пользователь, для которого используется «умный» провайдер, потребует больше параметров:

Важно: каждому пользователю можно задать не один «набор» настроек, а несколько (массив). Свойство ОбработкаНастроекВторогоФактораАутентификации позволяет применять их по очереди в том случае, если исполнение текущего HTTP-запроса закончилось ошибкой. Например, провайдер не работает, тогда можно попробовать другого провайдера, который умеет выполнять аналогичные действия (другой набор настроек).

Журнал регистрации

Для всех новых сценариев аутентификации в журнал регистрации добавили новые события и новые поля некоторым старым событиям. Поэтому контролировать можно не только двухфакторную проверку пользователя, но и связанные с ней действия: изменение шаблонов или настроек пользователей.

Подробнее о механизме


Автор:
Дарья Расина Редактор


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Darklight 27 15.03.19 14:59 Сейчас в теме
Программный API это конечно хорошо, но я думал двухфакторную аутентификацию встроят прямо в платформу - чтобы можно было использовать без программирования.
masterok647; mnemchinov; w.r.; +3 Ответить
2. s22 19 15.03.19 15:41 Сейчас в теме
(1) А по факту так и сделано.
Только сделали, что бы было удобно через БПС
3. w.r. 606 15.03.19 16:56 Сейчас в теме
(2) сомнительное какое-то «удобство». Все-равно надо пилить напильником конфигурацию похоже
4. s22 19 15.03.19 18:05 Сейчас в теме
(3) Те, у кого конфа на БСП получат данное улучшение без дополнительного программирования.
На мой взгляд 1с приняла наилучшее решение.
A_Max; Артано; +2 Ответить
5. anton3077944 15.03.19 19:06 Сейчас в теме
Вообще неплохо было бы, если бы сделали аутентификацию по сертификату ЭЦП.
Причём аутентификацию не только пользователя, но и компьютера.
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю
6. s22 19 15.03.19 20:23 Сейчас в теме
(5)
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю


Доступ только через ВПН.
А ВПН настраивается через сертификат.
dobryiden; anton3077944; +2 Ответить
9. insurgut 196 16.03.19 15:28 Сейчас в теме
7. androgin 16.03.19 01:15 Сейчас в теме
непонятно, как будут теперь мобильные приложения отрабатывать авторизацию.
Если в тонком клиенте я сделаю двойную авторизацию, а для мобильного мне это не нужно - то как это реализовать?)))
У меня в мобильном приложении авторизация проходит при запуске, так как приложение хранить учетные записи пользователя. Это будет сильно раздражать и замедлять запуск приложения.
Мобильное приложение создано в XCode, а не сборщиком 1С
8. PerlAmutor 124 16.03.19 08:08 Сейчас в теме
А как сделать другой тип авторизации - собственный? Я хочу, чтобы всех пользователей без разбора, без какой-либо авторизации сразу запускало в базу, а там я уже сам спрошу с помощью диалогов всю необходимую мне информацию и обработаю собственными алгоритмами.
12. Артано 715 18.03.19 06:32 Сейчас в теме
(8) Руками =) Такие проверки реализовывались еще на семерке, так что проблемы не вижу. Или неверно понял вопрос
13. PerlAmutor 124 18.03.19 06:38 Сейчас в теме
(12) Не знаю в 1С такой настройки для полного отключения типовой авторизации. После запуска конфигурации я хочу, чтобы пользователя сразу пускало в базу без выбора пользователя и ввода (пусть даже пустого) пароля. Чтобы он мог в ней полазить с какими-то минимальными правами, а затем оттуда же, например, авторизоваться под конкретной учетной записью, где бы я ему создал новую сессию с уже другим набором прав (ролей и их RLS).
14. Артано 715 18.03.19 06:41 Сейчас в теме
(13) Понял, такого нет. Подобные вещи реализованы в некоторых конфигурациях, за счет дублирования функциональности. Т.е. все заходят под одной универсальной ролью типа "пользователь", а далее уже по итогам авторизации подключается система контроля по профилю полномочий. РЛС работать не будет, но при подходящей архитектуре решения, это и не потребуется
10. insurgut 196 16.03.19 15:29 Сейчас в теме
Нескромный вопрос - а за СМС кто платит? Сама 1С?
15. androgin 19.03.19 14:05 Сейчас в теме
(10) указано, что сторонние сервисы
16. insurgut 196 19.03.19 15:06 Сейчас в теме
(15) вообще странное нововведение - самому в 5-10 строчек кода это реализуется. На месте 1С можно было бы выпустить свой веб-сервис аутентификации + приложение для мобильных устройств, аналогично Google.Authenticator. Тогда и платить никому ни за что не пришлось бы. 1 раз зарегался и все, пароль всегда под рукой.
17. androgin 19.03.19 21:20 Сейчас в теме
(16) очень сомневаюсь, что никому и ни за что))))
это же 1С ))
сами будут тарифицировать)
11. Идальго 199 16.03.19 16:15 Сейчас в теме
Блин, лучше бы они оптимизацией своего кода занимались, чтобы упр.формы тормозили поменьше.
Skolkovo; anderson; IllayDevel; asupsam; zakiap; +5 Ответить
18. Hokner 12.01.21 10:15 Сейчас в теме
Возможно ли включение двухфакторной авторизации только для веб-клиента?
Оставьте свое сообщение

См. также

Вышла новая редакция «1С:ERP Горнодобывающая промышленность 2.5»

Новость ИТ-новость

Вышел обновленный релиз отраслевого решения «Горнодобывающая промышленность» на базе «1С:ERP» редакции 2.5. Сообщается о новых возможностях, изменении состава лицензий и сроках поддержки 2.4.

15.10.2021    1939    ЕленаЧерепнева    0       

С 15 ноября экзамен «1С:Специалист-консультант» по производству и ремонтам в 1С:ERP будет приниматься на редакции 2.5

Новость ERP2 ИТ-новость

Фирма «1С» обновила условия сдачи и методичку для подготовки к экзамену «1С:Специалист-консультант» по внедрению подсистем «Управление производством и организация ремонтов». С 15 ноября экзамен будет приниматься на 1С:ERP редакции 2.5.

14.10.2021    2559    ЕленаЧерепнева    0       

Прямо из 1С: действующие сертификаты ЭЦП для 1С-Отчетности можно бесплатно продлить на 15 месяцев

Новость Сервисы

До 31 декабря 2021 года пользователи 1С-Отчетности могут продлить сертификат электронной подписи, не затрачивая время на посещение ФНС. Такая подпись будет действительна для сдачи отчетности по организации в течение последующих 15 месяцев.

13.10.2021    3006    ekandyba    0       

Infostart Toolkit 2.1: автокомплит по методам общих модулей и новые возможности редактора Monaco

Новость v8::Запросы v8::СКД Автоматизация Инфостарт Infostart Software Partners Маркет Программист Инструменты и обработки

Появилась возможность настроить внешний вид редактора Monaco, входящего в состав Infostart Toolkit. При работе с редактором кода 1С теперь выводится подсказка по методам из выгруженных модулей. А для редактора объекта сохраняется история выбора.

13.10.2021    2314    vikad    0       

Для пользователей 1С: видеокурс, который научит настраивать формы списков

Новость Обучение, бизнес-тренинг, курсы

Виталий Черненко в своем видеокурсе расскажет про все возможности работы с формами списка в 1С. Освоив эти приемы, вы изучите основы пользовательского интерфейса управляемых форм и сможете уверенно работать со списками в любой программе 1С.

13.10.2021    2237    mgrinchenko    2       

Собери команду на INFOSTART EVENT 2021 Moscow Premiere и получи билет бесплатно

Новость Инфостарт infostartevent Мероприятия

Меньше месяца осталось до старта INFOSTART EVENT 2021 Moscow Premiere. Мы решили подготовить специальное предложение для команд и предоставляем 25% скидку при оформлении заказа на 5 и более офлайн-билетов.

12.10.2021    4183    eselyanina    5       

Фирма «1С» выпустила сборник задач для подготовки к экзамену «1С:Специалист» по УНФ

Новость УНФ ИТ-новость

Сборник задач для подготовки к экзамену «1С:Специалист» по конфигурированию и внедрению прикладного решения «1С:Управление нашей фирмой» уже поступил в продажу.

12.10.2021    2517    ЕленаЧерепнева    0       

Куда сходить в Москве участнику, который приехал на Infostart Event на месяц раньше

Новость Инфостарт infostartevent Мероприятия

Для программиста 1С Ивана Молокотина Infostart Event начался раньше всех: он перепутал даты и приехал на конференцию 11 октября. Мы обсудили курьез с Иваном и составили маршрут экскурсии по Москве тех, кто окажется в столице заранее.

11.10.2021    13005    vikad    31       

Станьте удаленным менеджером по продажам и частью команды Инфостарт

Новость Инфостарт Сервисы

Удаленный менеджер по продажам – это наш партнер, который не только привлекает потенциальных клиентов, но и принимает участие в продажах.

11.10.2021    5625    ekandyba    0       

INFOSTART PARTY: место встречи Stand Up Club #1

Новость Инфостарт infostartevent Мероприятия

Традиционно первый день конференции завершает зажигательная вечеринка INFOSTART PARTY. Премьерная конференция не исключение – 11 ноября приглашаем всех на INFOSTART PARTY.

11.10.2021    21508    eselyanina    8       

Инфостарт запускает демо-площадку протестированных решений в рамках проекта «Маркетплейс»

Новость Инфостарт ИТ-новость

Пользователи портала Инфостарт смогут прямо со страницы публикации запустить демо-базу, куда загружен выбранный файл отчета/ обработки/печатной формы, и в реальных условиях протестировать его перед покупкой.

11.10.2021    7187    kuntashov    21       

Выпущен рабочий релиз 1С:ERP Управление предприятием 2.5.7

Новость ERP2 Конфигурация

В финальную версию 2.5.7 включили новые возможности в подсистеме «Производство», перенесли поддержку системы прослеживаемости импортных товаров и реализовали ряд других требований российского законодательства.

08.10.2021    23755    ЕленаЧерепнева    10       

Стань супергероем в команде SM Lab. Представляем афишу партнера конференции Sportmaster Lab

Новость Инфостарт infostartevent Мероприятия

Команда Инфостарт представила 10 афиш для каждой тематической секции. Но на этом наши премьеры не заканчиваются. Партнер конференции Sportmaster Lab представляет афишу в стиле фильма «Люди Икс».

07.10.2021    7095    eselyanina    0       

Фирма «1С» анонсировала новые инструменты для HTTP-запросов в «1С:Предприятие 8.3.21»

Новость v8 Зазеркалье Интернет ИТ-новость

Разработчики платформы реализовали в «1С:Предприятие 8.3.21» асинхронную отправку HTTP-запросов, а также обеспечили их полноценную работу в веб-клиенте – в том объёме, в котором это позволяют делать современные браузеры.

07.10.2021    15813    ЕленаЧерепнева    3       

Участие в INFOSTART EVENT 2021 Moscow Premiere можно приобрести за авторские $m

Новость Инфостарт infostartevent Мероприятия

C 6 по 20 октября мы открываем продажи билетов на INFOSTART EVENT 2021 Moscow Premiere по всем тарифам за авторские $m.

06.10.2021    7422    irina_selezneva    0       

С 25 октября по 3 ноября пройдет онлайн-тренинг «Переговорные стратегии руководителя. Системный подход»

Новость Обучение, бизнес-тренинг, курсы

25 октября 2021 года стартует онлайн-курс «Переговорные стратегии руководителя. Системный подход». Курс проводится в формате тренинга – участники отработают переговорные ситуации и научатся выбирать успешную тактику для бесконфликтных переговоров.

06.10.2021    7275    mgrinchenko    0       

Вышла новая версия технологической платформы 8.3.20

Новость v8 Зазеркалье ИТ-новость

В числе заметных нововведений – добавление возможностей для работы с расширениями и системой взаимодействия, обновление языка запросов и языка выражений СКД, а также сервис для публикации мобильных приложений.

06.10.2021    15389    ЕленаЧерепнева    14       

INFOSTART EVENT 2021 Moscow Premiere: подводим итоги конкурса на лучшую идею афиши

Новость Инфостарт infostartevent Мероприятия

За последний месяц мы выпустили 10 афиш конференции. Но команде Инфостарт было интересно – с каким фильмом ассоциируется специфика работы 1С-ников. Мы объявили конкурс на лучшую идею для афиши фильма. Подводим итоги и объявляем победителя конкурса.

05.10.2021    7581    eselyanina    2       

Хорошие одинэсники используют статический анализ. Презентуем афишу секциии «Инструментарий разработчика. Приемы и методы разработки»

Новость Инфостарт infostartevent Мероприятия

Представляем последнюю афишу тематических секций конференции INFOSTART EVENT 2021 Moscow Premiere. На повестке дня – секция «Инструментарий разработчика. Приемы и методы разработки».

05.10.2021    7147    eselyanina    3       

Готово расписание INFOSTART EVENT 2021 Moscow Premiere

Новость Инфостарт infostartevent Мероприятия

За 2 дня московского кинофестиваля про 1С участники смогут посетить 90+ докладов, мастер-классов, батлов, практикумов и круглых столов. Все активности пройдут в 7 потоков – точно будет из чего выбирать.

04.10.2021    43724    irina_selezneva    0       

Welcome-вебинар: «Компетенции руководителя проекта в современных условиях» 6 октября 2021 года

Новость Обучение, бизнес-тренинг, курсы Инфостарт Управление проектами

6 октября в 12:00 мск приглашаем на открытый вебинар Базового курса по управлению ИТ-проектами, который будет посвящен теме «R06;Компетенции руководителя проекта в современных условиях».

04.10.2021    8521    mgrinchenko    0       

Выпущена новая редакция «1С:ERP+PM Управление проектной организацией 2.5»

Новость Конфигурация

В конфигурации для автоматизации проектных организаций стала доступна функциональность типовой конфигурации «1С:ERP 2.5» и появились новые отраслевые возможности. Фирма «1С» сообщила об условиях апгрейда и сроках поддержки предыдущих версий.

04.10.2021    13849    ЕленаЧерепнева    0       

5 и 6 ноября: приглашаем на курс о твердых правилах в управлении командой

Новость Обучение, бизнес-тренинг, курсы Управление проектами

Курс «Жесткий менеджмент или твердый менеджмент» – не про крики на подчиненных и прочие проявления истерии слабых менеджеров, а про здравый смысл в основе вашего бизнеса и про твердые правила в управлении командой.

01.10.2021    20791    mgrinchenko    0       

Фирма «1С» выпустила продукт для автоматизации гаражных кооперативов

Новость Конфигурация

Новая конфигурация «1С:Гаражи» позволит автоматизировать учет в гаражно-строительных кооперативах, а также организовать сдачу регламентированной отчетности.

01.10.2021    38534    ЕленаЧерепнева    1       

Бизнес не покупает сервис, бизнесу продают сервис. Представляем афишу секции «Управление ИТ»

Новость Инфостарт infostartevent Мероприятия

Премьерный сезон в разгаре – сообществу представлены 8 афиш технических и управленческих секций. Сегодня публикуем афишу к секции «Управление ИТ».

01.10.2021    15396    eselyanina    3