Актуализация списка пользователей базы 1С по данным Active Directory

03.07.24

Администрирование - Информационная безопасность

Обработка автоматически сверяет данные из AD с указанными именами ОС пользователей информационной базы и отключает тех, кого нет в AD, или чьи учетные записи отключены.

Скачать файл

ВНИМАНИЕ: Файлы из Базы знаний - это исходный код разработки. Это примеры решения задач, шаблоны, заготовки, "строительные материалы" для учетной системы. Файлы ориентированы на специалистов 1С, которые могут разобраться в коде и оптимизировать программу для запуска в базе данных. Гарантии работоспособности нет. Возврата нет. Технической поддержки нет.

Наименование По подписке [?] Купить один файл
Актуализация списка пользователей базы 1С по данным Active Directory:
.epf 20,37Kb
12
12 Скачать (1 SM) Купить за 1 850 руб.

Основная задача

Довольно часто можно встретить ситуацию, когда люди уходят из компании, а их учетные записи в базе 1С остаются. Проходит много времени, в базе 2-3 тысячи учеток и никто не знает, чьи они, пока со стороны информационной безопасности не приходит вопрос: как в базах 1С осуществляется актуализация учетных записей?

Чтобы этот вопрос не застал врасплох, и была написана эта обработка.

 

 

Обработка умеет выполнять 2 вида проверок:

  1. Проверка наличия возможности авторизоваться под логином и паролем, при условии, что пароль пустой.
  2. Сверка учетных записей при возможности авторизоваться по данным ОС со списком пользователей в Active Directory.

 

Порядок работы

Для того, чтобы данная обработка помогала очищать вашу базу от устаревших пользователей, вы должны внутри компании применить правило, что все пользовательские учетные записи 1С должны авторизоваться только через ОС. Лишь отдельные учетные записи должны иметь возможность заходить под логином и паролем, такие как служебные пользователи и пользователи для регламентов.

Обработка должна быть сохранена в дополнительные отчеты и обработки в базе 1С, без этого она даже при открытии через "Файл \ Открыть" не сможет работать правильно, т.к. настройки она сохраняет в базу 1С. Конфигурация в которой будет работать данная обработка, должна быть построена на базе БСП и в ней должен быть включен функционал дополнительных обработок.

 

Алгоритм

Алгоритм сверки пользователей с AD

  1. В обработке хранятся три таблицы:
    1. Таблица со списком пользователей-исключений, которые не будут отключаться. К ним будут отнесены служебные пользователи базы.
    2. Таблица для хранения пользователей с отключенной авторизацией и датой отключения.
    3. Таблица со списком адресов электронной почты для уведомления об изменениях, выполненных обработкой. Уведомления по почте будут выполняться только в случае работы обработки как регламентного задания. Так же обработка логирует свои изменения в журнале регистрации.
  2. Обработка получает все активные записи Active Directory (AD).
  3. Обработка проверяет таблицу отключенных пользователей на предмет валидности их AD аккаунтов. Если УЗ AD отключенного пользователя валидна, то у пользователя ИБ включается авторизация ОС, разрешается вход в систему и он удаляется из списка к отключению.
  4. Далее обработка проверяет список пользователей базы, если пользователь не был обнаружен в AD, то система проверяет его нахождение в таблице исключений.
  5. Если пользователь есть в таблице исключений, то система приступает к проверке следующего пользователя.
  6. Если пользователя нет в таблице исключений, то система проверяет его наличие в таблице отключенных пользователей.
  7. Если он есть в таблице отключенных пользователей, то система проверяет следующего пользователя.
  8. Если пользователя нет в таблице отключенных, то у него отключается возможность входа в систему (отключаются все флаги авторизации у пользователя информационной базы), а в справочнике Пользователи ставится флаг Недействителен. Если возможность входа у пользователя уже отключена, то он просто добавляется в таблицу отключенных.
  9. После проверки всех пользователей, система начинает проверку таблицы отключенных пользователей. Если пользователь был отключен более 30 суток назад, то пользователь информационной базы удаляется, с ним удаляется и запись в таблице заблокированных пользователей.
  10. По факту добавления пользователя в таблицу отключенных пользователей на техподдержку отправляется письмо, содержащее название базы и учетные записи, которые были отключены. Помимо письма в журнал регистрации делается соответствующая запись уровня Информация.
  11. По факту удаления пользователей информационной базы делается соответствующая запись журнала регистрации уровня Информация

 

Алгоритм проверки пустых паролей

  1. Обработка получает список пользователей информационной базы
  2. Если в УЗ включена авторизация 1С (логин+пароль), но пароль пуст, то обработка отключает авторизацию 1С.
  3. По результатам отключения обработка отправляет письмо согласно таблице со списком информируемых. 
  4. По факту отключения авторизации обработка пишет лог в журнал регистрации.

 

 

Не следует путать пользователя информационной базы и справочник Пользователи. Обработка удаляет лишь пользователей ИБ, в справочник она лишь ставит признак Недействителен. Это нужно для того, чтобы нарушать ссылочную целостность базы, т.к. ссылки на справочник должны оставаться даже после увольнения пользователя.

 

Команды обработки

  • Сохранить настройки - сохраняет список таблиц в базу
  • Проверить пользователей по AD - сверяет пользователей с AD. Тех, кого нет в таблице исключений и таблице отключенных, добавляет в таблицу отключенных пользователей
  • Отключить авторизацию отключенным пользователям - проходится по таблице отключенных пользователей и для тех, кто добавлены в эту таблицу более 30 дней назад в справочник Пользователи ставит признак Недействителен, пользователя информационной базу удаляет, а из таблицы отключенных пользователей удаляет соответствующую строку
  • Проверка пустых паролей - отключает 1С авторизацию тем пользователям, у которых включена авторизация по логину и паролю и пароль пуст. Если у пользователя дополнительно установлена авторизация ОС, то эту авторизацию обработка не тронет.
  • Показать данные AD - выведет отчет по учетным данным в Active Directory

Проверено на следующих конфигурациях и релизах:

  • 1С:ERP Управление предприятием 2, релизы 2.5.12.270

См. также

Информационная безопасность Системный администратор Программист Платные (руб)

AUTO VPN (portable) - автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020    15364    25    32    

35

Информационная безопасность Программист Платформа 1С v8.3 Конфигурации 1cv8 Россия Платные (руб)

Предлагается внешняя обработка для просмотра данных в формате ASN1. Есть 2 режима: загрузка из бинарного формата и из BASE64. Реализована функция извлечения всех сертификатов, которые можно найти в ASN1-файле. В дополнении к этому продукту предлагается методическая помощь по вопросам, связанным с технической реализацией криптографии и шифрования в 1С.

2400 руб.

29.08.2016    30053    9    1    

10

Информационная безопасность Пароли Платформа 1С v8.3 Бесплатно (free)

Все еще храните пароли в базе? Тогда мы идем к вам! Безопасное и надежное хранение секретов. JWT авторизация. Удобный интерфейс. Демо конфигурация. Бесплатно.

30.05.2024    6206    kamisov    17    

60

Информационная безопасность Программист Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024    7304    PROSTO-1C    10    

39

Информационная безопасность Программист Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023    2409    platonov.e    1    

23

Информационная безопасность Системный администратор Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023    6251    20    soulner    8    

32

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022    7277    50    Silenser    12    

24
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. evvakra 311 04.07.24 17:06 Сейчас в теме
Обработка работает через ком объект COMОбъект("ADSystemInfo")?
2. Silenser 612 05.07.24 09:11 Сейчас в теме
Оставьте свое сообщение