В платформе 1С реализовали механизм двухфакторной аутентификации пользователей

15.03.2019     

В версии платформы «1С:Предприятие» 8.3.15 реализовали механизм, который обеспечит дополнительную защиту информационной базы. При входе в базу механизм потребует подтвердить личность пользователя двумя разными способами.

Аутентификация

В системе «1С:Предприятия» аутентификация означает проверку логина и пароля пользователя на корректность. Платформа выполняет эту операцию самостоятельно, или пользуется помощью другого надежного ресурса, будь то операционная система или аутентификация OpenID.

OpenID – открытый стандарт децентрализованной системы аутентификации. Технология позволяет создавать единую учетную запись для аутентификации на множестве не связанных друг с другом интернет-ресурсов.

У такой системы есть недостаток: для своего удобства пользователи придумывают простые и короткие пароли. Но это противоречит сути «запароливания» данных, которые мы хотим защитить: простые пароли легко взломать.

Двухфакторная аутентификация – один из самых надежных способов защиты информации. Чтобы пройти проверку личности, пользователю нужны два из трех типов данных, например:

  • логин / пароль;
  • мобильный телефон;
  • отпечаток пальца.

Например, мы вводим логин и пароль, а затем входим по отпечатку пальца. Либо вводим присланный на мобильный телефон код.

Платформа «1С» проверит первый фактор  самостоятельно, а для второго ей потребуется помощник – провайдер.

Провайдер второго фактора аутентификации

Провайдер-помощник – веб-сервис, обладающий некоторым интерфейсом, состоящим из HTTP-запросов. Это может быть:

  • база «1С:Предприятия» с реализованным набором HTTP-сервисов, позволяющих пересылать сообщения или выполнять аутентификацию;
  • сторонний сервис, генерирующий коды для второго фактора аутентификации.

Для нас важно, чтобы провайдер умел общаться посредством HTTP-запросов.

Сценарии аутентификации

Существует два возможных сценария для второго фактора аутентификации: для «простых» и «умных» провайдеров.

В первом случае клиентское приложение показывает пользователю окно дополнительной аутентификации:

 

 

Сервер генерирует код второго кода и отправляет HTTP-запрос провайдеру с сообщение для пользователя: «Ваш аутентификационный код 94573». Провайдер пересылает СМС с кодом на мобильный телефон пользователя, его остается лишь ввести в специальном окне.

В этом случае генерирует код и формирует сообщения сервер. Провайдер только передает сообщение пользователю, а платформа ждет ввода кода.

«Умные» провайдеры сами генерируют секретный код, сообщение, умеют информировать пользователя и проверять его данные. Сервер сообщает клиентскому приложению о необходимости дополнительно проверить пользователя. Клиентское приложение покажет окно второго фактора аутентификации. 

 

Как работает «умный» провайдер

 

Сервер отправляет HTTP-запрос провайдеру с просьбой самостоятельно аутентифицировать пользователя. «Умный» провайдер просит у пользователя отпечаток пальца через специальное приложение. Пользователь сканирует палец и в окне дополнительной аутентификации указывает, что проверка пройдена. Провайдер сообщит серверу результаты, и при успешном завершении процедуры пользователь сможет начать работу.

Пользователи и провайдеры

Для каждого пользователя провайдер и способ аутентификации определяется отдельно. Чтобы описать HTTP-запросы, которые следует отправить провайдеру, в во встроенном языке платформы реализовали новый тип – ШаблонНастройкиВторогоФактораАутентификации.

Объекты этого типа – именованные объекты, которые можно сохранить в базе данных. Каждый шаблон используется для сохранения двух HTTP-запросов: один для запроса аутентификации, другой – для получения ее результата.

Оба этих запроса описываются с помощью привычных объектов HTTPЗапрос, но имеют две интересные особенности:

  • для каждого из запросов задается свой HTTP-метод в виде строки;
  • некоторые поля в запросах можно «параметризировать», используя «&» (например, &sms_phone_number). Запросы для разных пользователей будут одинаковыми, различаются лишь некоторые поля: номер телефона для отправки кода, например.

Шаблон для простого провайдера, отправляющего СМС, формируется по одному запросу – для аутентификации. Шаблон «умного» провайдера содержит два запроса: просьба выполнить аутентификацию и запрос результатов аутентификации.

После сохранения шаблонов для провайдеров, каждый из них присваивается определенному пользователю вместе с набором значений для параметров, которые должны подставляться в этот шаблон.

Для пользователя с шаблоном «простого провайдера» записывается один параметр:  адрес для отправки HTTP-запроса (host):

Пользователь, для которого используется «умный» провайдер, потребует больше параметров:

Важно: каждому пользователю можно задать не один «набор» настроек, а несколько (массив). Свойство ОбработкаНастроекВторогоФактораАутентификации позволяет применять их по очереди в том случае, если исполнение текущего HTTP-запроса закончилось ошибкой. Например, провайдер не работает, тогда можно попробовать другого провайдера, который умеет выполнять аналогичные действия (другой набор настроек).

Журнал регистрации

Для всех новых сценариев аутентификации в журнал регистрации добавили новые события и новые поля некоторым старым событиям. Поэтому контролировать можно не только двухфакторную проверку пользователя, но и связанные с ней действия: изменение шаблонов или настроек пользователей.

Подробнее о механизме


Автор:
Дарья Расина Редактор


Комментарии
В избранное Подписаться на ответы Сортировка: Дата
18. Hokner 12.01.21 10:15 Сейчас в теме
Возможно ли включение двухфакторной авторизации только для веб-клиента?
17. androgin 19.03.19 21:20 Сейчас в теме
(16) очень сомневаюсь, что никому и ни за что))))
это же 1С ))
сами будут тарифицировать)
16. insurgut 193 19.03.19 15:06 Сейчас в теме
(15) вообще странное нововведение - самому в 5-10 строчек кода это реализуется. На месте 1С можно было бы выпустить свой веб-сервис аутентификации + приложение для мобильных устройств, аналогично Google.Authenticator. Тогда и платить никому ни за что не пришлось бы. 1 раз зарегался и все, пароль всегда под рукой.
15. androgin 19.03.19 14:05 Сейчас в теме
(10) указано, что сторонние сервисы
14. Артано 701 18.03.19 06:41 Сейчас в теме
(13) Понял, такого нет. Подобные вещи реализованы в некоторых конфигурациях, за счет дублирования функциональности. Т.е. все заходят под одной универсальной ролью типа "пользователь", а далее уже по итогам авторизации подключается система контроля по профилю полномочий. РЛС работать не будет, но при подходящей архитектуре решения, это и не потребуется
13. PerlAmutor 124 18.03.19 06:38 Сейчас в теме
(12) Не знаю в 1С такой настройки для полного отключения типовой авторизации. После запуска конфигурации я хочу, чтобы пользователя сразу пускало в базу без выбора пользователя и ввода (пусть даже пустого) пароля. Чтобы он мог в ней полазить с какими-то минимальными правами, а затем оттуда же, например, авторизоваться под конкретной учетной записью, где бы я ему создал новую сессию с уже другим набором прав (ролей и их RLS).
12. Артано 701 18.03.19 06:32 Сейчас в теме
(8) Руками =) Такие проверки реализовывались еще на семерке, так что проблемы не вижу. Или неверно понял вопрос
11. Идальго 165 16.03.19 16:15 Сейчас в теме
Блин, лучше бы они оптимизацией своего кода занимались, чтобы упр.формы тормозили поменьше.
Skolkovo; anderson; IllayDevel; asupsam; zakiap; +5 Ответить
10. insurgut 193 16.03.19 15:29 Сейчас в теме
Нескромный вопрос - а за СМС кто платит? Сама 1С?
9. insurgut 193 16.03.19 15:28 Сейчас в теме
8. PerlAmutor 124 16.03.19 08:08 Сейчас в теме
А как сделать другой тип авторизации - собственный? Я хочу, чтобы всех пользователей без разбора, без какой-либо авторизации сразу запускало в базу, а там я уже сам спрошу с помощью диалогов всю необходимую мне информацию и обработаю собственными алгоритмами.
7. androgin 16.03.19 01:15 Сейчас в теме
непонятно, как будут теперь мобильные приложения отрабатывать авторизацию.
Если в тонком клиенте я сделаю двойную авторизацию, а для мобильного мне это не нужно - то как это реализовать?)))
У меня в мобильном приложении авторизация проходит при запуске, так как приложение хранить учетные записи пользователя. Это будет сильно раздражать и замедлять запуск приложения.
Мобильное приложение создано в XCode, а не сборщиком 1С
6. s22 19 15.03.19 20:23 Сейчас в теме
(5)
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю


Доступ только через ВПН.
А ВПН настраивается через сертификат.
dobryiden; anton3077944; +2 Ответить 1
5. anton3077944 15.03.19 19:06 Сейчас в теме
Вообще неплохо было бы, если бы сделали аутентификацию по сертификату ЭЦП.
Причём аутентификацию не только пользователя, но и компьютера.
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю
4. s22 19 15.03.19 18:05 Сейчас в теме
(3) Те, у кого конфа на БСП получат данное улучшение без дополнительного программирования.
На мой взгляд 1с приняла наилучшее решение.
A_Max; Артано; +2 Ответить
3. w.r. 593 15.03.19 16:56 Сейчас в теме
(2) сомнительное какое-то «удобство». Все-равно надо пилить напильником конфигурацию похоже
2. s22 19 15.03.19 15:41 Сейчас в теме
(1) А по факту так и сделано.
Только сделали, что бы было удобно через БПС
1. Darklight 27 15.03.19 14:59 Сейчас в теме
Программный API это конечно хорошо, но я думал двухфакторную аутентификацию встроят прямо в платформу - чтобы можно было использовать без программирования.
mnemchinov; w.r.; +2 Ответить 1
Оставьте свое сообщение

См. также

Фирма «1С» продвигает идею цифровизации бизнеса с помощью космопончиков и миссии на Луне

Новость ИТ-новость

Фирма «1С» в третий раз участвует в проекте «Урок Цифры», который ориентирован на школьников от 1 до 11 класса. Проект позволяет в игровой форме получить знания от ведущих технологических компаний и развить навыки и компетенции цифровой экономики.

вчера в 15:10    2870    ЕленаЧерепнева    0       

Бета-версия 1С:Документооборот КОРП 3.0 доступна для скачивания

Новость ДО Конфигурация

Фирма «1С» объявила о публикации тестового релиза прикладной конфигурации 1С:Документооборот 3.0. Сейчас бета доступна всем зарегистрированным пользователям 1С:ДО КОРП.

вчера в 09:31    2697    ЕленаЧерепнева    0       

В 1С появилась поддержка протокола HTTP/2 для отправки PUSH-уведомлений в iOS

Новость iOS Зазеркалье ИТ-новость Мобильные приложения

Разработчики технологической платформы 1С:Предприятие реализовали поддержку изменений в работе PUSH-уведомлений для устройств на iOS с учетом требований, предъявляемых компанией Apple.

16.04.2021    5784    ЕленаЧерепнева    0       

Онлайн-трансляцию INFOSTART EVENT 2021 можно приобрести за авторские $m

Новость Инфостарт infostartevent Мероприятия Стартмани

C 15 по 30 апреля мы открываем продажи билетов на INFOSTART EVENT 2021 по тарифу «Онлайн» за авторские $m. Это предложение для тех, у кого на счете накопились авторские стартмани, и кто решил остаться дома.

15.04.2021    3422    eselyanina    5       

Новые условия сертификации для специалистов-консультантов по 1С:ЗУП

Новость ИТ-новость

Фирма «1С» сообщила о переходе на редакцию 1С:ЗУП 3.1 при приемке сертификационного экзамена для специалистов-консультантов. Также возобновляется очная приемка экзаменов в учебных центрах.

14.04.2021    2180    ЕленаЧерепнева    0       

Вышел новый релиз модуля «Казначей»

Новость Конфигурация

Теперь модуль не только интегрируется в учетную систему, но и может работать как отдельная программа. «Казначей» взаимодействует с любым количеством информационных баз, поэтому вести централизованное казначейство станет еще проще.

13.04.2021    2659    user997184    0       

Представляем мотопартнера INFOSTART EVENT – мастерскую кастомбайков Wild Welding

Новость Инфостарт infostartevent Мероприятия

В этом году на конференции планируется 105 докладов от 70 спикеров, вечеринка в клубе «Морзе» и VIP-ужин в ресторане «Маймун». А в перерывах между докладами можно будет сделать фото на память с кастомбайками от мастерской Wild Welding.

13.04.2021    2079    eselyanina    0       

OneScript для «облачных функций» вызвал интерес у 1С-разработчиков

Новость ИТ-новость Облачные технологии Яндекс

Предложение реализовать поддержку OneScript в облачном сервисе Yandex.Cloud Functions буквально за пару дней после публикации стало лидером по числу голосов.

13.04.2021    2081    ЕленаЧерепнева    1       

Фирма «1С» обновила возможности сервисов 1С:Контрагент и 1СПАРК Риски

Новость Сервисы

В сервисах, предназначенных для получения информации о контрагентах, добавили несколько новых возможностей. Обновление уже доступно зарегистрированным пользователям 1С:Бухгалтерии, начиная с 3.0.90.

12.04.2021    6126    ЕленаЧерепнева    0       

На INFOSTART EVENT 2021 закрывающие документы выдаваться не будут

Новость Инфостарт infostartevent Мероприятия

Чтобы получить закрывающие документы, не нужно стоять в очереди и тратить драгоценное время конференции. Сканы можно будет скачать в личном кабинете на сайте infostart.ru, а подписанные электронной подписью экземпляры вы получите по ЭДО.

12.04.2021    2553    eselyanina    0       

Представляем новые комплексные тарифы по сопровождению 1С

Новость Инфостарт Сервисы

Комплексные тарифы на доступ к сервисам Инфостарта и 1С:ИТС ПРОФ теперь включают услуги по сопровождению 1С за стартмани. Оплата услуг по абонементу экономит 20% от оплаты по отдельному счету.

09.04.2021    2158    ekandyba    0       

13 апреля стартует бесплатный двухдневный интенсив по разработке роботов на платформе OneRPA

Новость Обучение, бизнес-тренинг, курсы

Занятия проведет идейный вдохновитель проекта – Олег Филиппов. Курс подойдет разработчикам и аналитикам 1С, которые хотят расширить арсенал рабочих инструментов и находить решения по автоматизации даже там, где, казалось бы, нет подходящих вариантов.

09.04.2021    2925    user997184    26       

Новый атмосферный партнер INFOSTART EVENT – brainLight GmbH

Новость Инфостарт infostartevent Мероприятия

Меньше месяца остается до конференции INFOSTART EVENT 2021. Мы уже выбрали фотографов, танцоров и закупили почти тонну крафтового пива на вечеринку. Сегодня мы хотим рассказать вам о том, кто спасет вас на второй день мероприятия.

09.04.2021    7885    kbazzh    2       

Фирма «1С» обновила ассортимент решений для автоматизации сельхозпредприятий

Новость Сельское хозяйство и рыболовство Конфигурация

В продажу поступил новый продукт на базе типовой конфигурации 1С:КА2 для автоматизации агрокомплексов. Разработчики сообщают о существенном упрощении процесса установки отраслевых обновлений.

09.04.2021    2181    ЕленаЧерепнева    0       

Фирма «1С» в очередной раз возглавила рейтинг франшиз в России

Новость ИТ-новость Рейтинг

По версии РБК партнерская сеть «1С» является самой популярной франшизой. Остальные крупные франчайзеры уступают лидеру по основным показателям рейтинга в разы.

08.04.2021    4350    ЕленаЧерепнева    0       

Представляем книжного партнера INFOSTART EVENT – издательство «МИФ»

Новость Инфостарт infostartevent Мероприятия

Кто был последние три года на INFOSTART EVENT – знает, что на конференции можно не только послушать полезные доклады и пообщаться с коллегами, но и купить книги «дешевле, чем по городу» (как написал в отзыве один из участников прошлой конференции).

07.04.2021    3636    irina_selezneva    0       

В платформе 8.3.20 расширятся возможности отладки для мобильного клиента с автономным режимом

Новость Зазеркалье ИТ-новость Мобильные приложения

Из-за особенностей архитектуры мобильного клиента с автономным режимом работы при отладке могли возникать сложности. Разработчики мобильной платформы придумали, как их избежать.

06.04.2021    3287    ЕленаЧерепнева    8       

Табличный редактор в 1С: вышла КОРП-версия «Табулы»

Новость Автоматизация

«Табула» – табличный редактор, разработанный на платформе 1С. Рассказываем о КОРП-версии решения и анонсируем обзорный вебинар от разработчика «Табулы» Сергея Тангатарова. 

06.04.2021    11024    user997184    6       

Готово расписание INFOSTART EVENT 2021

Новость Инфостарт infostartevent Мероприятия

Ровно месяц остается до старта конференции INFOSTART EVENT 2021 Post-Apocalypse – самое время представить вам расписание мероприятия. За три дня в 5 залах на площадке конференции прозвучат 107 докладов и мастер-классов.

06.04.2021    5799    kbazzh    3       

Готовится эксперимент по маркировке антисептиков и санитайзеров

Новость Infostart Software Partners Маркет Маркировка Минпромторг

Минпромторг сообщил о возможности проведении эксперимента по маркировке санитайзеров и антисептиков. Из-за пандемии спрос и производство этих товаров выросли в разы, а соответствие их качества требованиям Роспотребнадзора – под вопросом.

05.04.2021    3409    Senator_I    1       

«1С:Документооборот 2.1.28» научили переписываться с ФНС

Новость ДО Конфигурация

Опубликован очередной релиз конфигурации «1С:Документооборот». Это еще не 1С:ДО 3.0, но несколько интересных нововведений для обмена электронными документами доступны уже в 1С:ДО 2.1.28.

02.04.2021    2858    ЕленаЧерепнева    0       

INFOSTART EVENT 2021 переносится в Магадан. Главный приз – костюм химзащиты

Новость Инфостарт infostartevent Мероприятия

К сожалению, площадка проведения INFOSTART EVENT 2021 отказалась принимать гостей конференции в этом году, поэтому мы приняли решение перенести мероприятие в Магадан. Рассказываем сегодня о том, как все будет проходить.

01.04.2021    4577    kbazzh    11       

Поддержка 1С:УПП может быть завершена в 2026 году

Новость ERP2 КА2 УПП1

Фирма «1С» объявила о предварительных сроках снятия с поддержки конфигурации «1С:Управление производственным предприятием», рассказала об условиях апгрейда и особенностях сопровождения на ближайшие несколько лет.

01.04.2021    3486    ЕленаЧерепнева    4       

Опубликован новый гайд по CRM в 1С:УНФ

Новость УНФ Конфигурация

Фирма «1С» систематизировала описание последних изменений подсистемы CRM в 1С:УНФ. Разбираем особенности и главные фишки.

31.03.2021    6552    ЕленаЧерепнева    4       

Осталось 7 дней до… Окончания 20% скидки для участников INFOSTART EVENT

Новость Инфостарт infostartevent Мероприятия

Остается чуть больше месяца до INFOSTART EVENT 2021 и 7 дней до окончания скидки 20% для тех, кто уже был на конференции. Сегодня мы хотим рассказать вам о месте проведения мероприятия, а также о том, что вас ждет на INFOSTART PARTY.

30.03.2021    13512    kbazzh    0