В платформе 1С реализовали механизм двухфакторной аутентификации пользователей

В платформе 1С реализовали механизм двухфакторной аутентификации пользователей

15.03.2019     

В версии платформы «1С:Предприятие» 8.3.15 реализовали механизм, который обеспечит дополнительную защиту информационной базы. При входе в базу механизм потребует подтвердить личность пользователя двумя разными способами.

Аутентификация

В системе «1С:Предприятия» аутентификация означает проверку логина и пароля пользователя на корректность. Платформа выполняет эту операцию самостоятельно, или пользуется помощью другого надежного ресурса, будь то операционная система или аутентификация OpenID.

OpenID – открытый стандарт децентрализованной системы аутентификации. Технология позволяет создавать единую учетную запись для аутентификации на множестве не связанных друг с другом интернет-ресурсов.

У такой системы есть недостаток: для своего удобства пользователи придумывают простые и короткие пароли. Но это противоречит сути «запароливания» данных, которые мы хотим защитить: простые пароли легко взломать.

Двухфакторная аутентификация – один из самых надежных способов защиты информации. Чтобы пройти проверку личности, пользователю нужны два из трех типов данных, например:

  • логин / пароль;
  • мобильный телефон;
  • отпечаток пальца.

Например, мы вводим логин и пароль, а затем входим по отпечатку пальца. Либо вводим присланный на мобильный телефон код.

Платформа «1С» проверит первый фактор  самостоятельно, а для второго ей потребуется помощник – провайдер.

Провайдер второго фактора аутентификации

Провайдер-помощник – веб-сервис, обладающий некоторым интерфейсом, состоящим из HTTP-запросов. Это может быть:

  • база «1С:Предприятия» с реализованным набором HTTP-сервисов, позволяющих пересылать сообщения или выполнять аутентификацию;
  • сторонний сервис, генерирующий коды для второго фактора аутентификации.

Для нас важно, чтобы провайдер умел общаться посредством HTTP-запросов.

Сценарии аутентификации

Существует два возможных сценария для второго фактора аутентификации: для «простых» и «умных» провайдеров.

В первом случае клиентское приложение показывает пользователю окно дополнительной аутентификации:

 

 

Сервер генерирует код второго кода и отправляет HTTP-запрос провайдеру с сообщение для пользователя: «Ваш аутентификационный код 94573». Провайдер пересылает СМС с кодом на мобильный телефон пользователя, его остается лишь ввести в специальном окне.

В этом случае генерирует код и формирует сообщения сервер. Провайдер только передает сообщение пользователю, а платформа ждет ввода кода.

«Умные» провайдеры сами генерируют секретный код, сообщение, умеют информировать пользователя и проверять его данные. Сервер сообщает клиентскому приложению о необходимости дополнительно проверить пользователя. Клиентское приложение покажет окно второго фактора аутентификации. 

 

Как работает «умный» провайдер

 

Сервер отправляет HTTP-запрос провайдеру с просьбой самостоятельно аутентифицировать пользователя. «Умный» провайдер просит у пользователя отпечаток пальца через специальное приложение. Пользователь сканирует палец и в окне дополнительной аутентификации указывает, что проверка пройдена. Провайдер сообщит серверу результаты, и при успешном завершении процедуры пользователь сможет начать работу.

Пользователи и провайдеры

Для каждого пользователя провайдер и способ аутентификации определяется отдельно. Чтобы описать HTTP-запросы, которые следует отправить провайдеру, в во встроенном языке платформы реализовали новый тип – ШаблонНастройкиВторогоФактораАутентификации.

Объекты этого типа – именованные объекты, которые можно сохранить в базе данных. Каждый шаблон используется для сохранения двух HTTP-запросов: один для запроса аутентификации, другой – для получения ее результата.

Оба этих запроса описываются с помощью привычных объектов HTTPЗапрос, но имеют две интересные особенности:

  • для каждого из запросов задается свой HTTP-метод в виде строки;
  • некоторые поля в запросах можно «параметризировать», используя «&» (например, &sms_phone_number). Запросы для разных пользователей будут одинаковыми, различаются лишь некоторые поля: номер телефона для отправки кода, например.

Шаблон для простого провайдера, отправляющего СМС, формируется по одному запросу – для аутентификации. Шаблон «умного» провайдера содержит два запроса: просьба выполнить аутентификацию и запрос результатов аутентификации.

После сохранения шаблонов для провайдеров, каждый из них присваивается определенному пользователю вместе с набором значений для параметров, которые должны подставляться в этот шаблон.

Для пользователя с шаблоном «простого провайдера» записывается один параметр:  адрес для отправки HTTP-запроса (host):

Пользователь, для которого используется «умный» провайдер, потребует больше параметров:

Важно: каждому пользователю можно задать не один «набор» настроек, а несколько (массив). Свойство ОбработкаНастроекВторогоФактораАутентификации позволяет применять их по очереди в том случае, если исполнение текущего HTTP-запроса закончилось ошибкой. Например, провайдер не работает, тогда можно попробовать другого провайдера, который умеет выполнять аналогичные действия (другой набор настроек).

Журнал регистрации

Для всех новых сценариев аутентификации в журнал регистрации добавили новые события и новые поля некоторым старым событиям. Поэтому контролировать можно не только двухфакторную проверку пользователя, но и связанные с ней действия: изменение шаблонов или настроек пользователей.

Подробнее о механизме



Источник: https://infostart.ru/journal/news/mir-1s/v-platforme-1s-realizovali-mekhanizm-dvukhfaktornoy-autentifikatsii-polzovateley_1022216/
Автор:
Дарья Расина Редактор


Комментарии
Избранное Подписка Сортировка: Рейтинг всех уровней
11. Идальго 130 16.03.19 16:15 Сейчас в теме
Блин, лучше бы они оптимизацией своего кода занимались, чтобы упр.формы тормозили поменьше.
Skolkovo; anderson; IllayDevel; asupsam; zakiap; +5 Ответить
1. Darklight 22 15.03.19 14:59 Сейчас в теме
Программный API это конечно хорошо, но я думал двухфакторную аутентификацию встроят прямо в платформу - чтобы можно было использовать без программирования.
mnemchinov; w.r.; +2 Ответить 1
4. s22 19 15.03.19 18:05 Сейчас в теме
(3) Те, у кого конфа на БСП получат данное улучшение без дополнительного программирования.
На мой взгляд 1с приняла наилучшее решение.
A_Max; Артано; +2 Ответить
6. s22 19 15.03.19 20:23 Сейчас в теме
(5)
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю


Доступ только через ВПН.
А ВПН настраивается через сертификат.
dobryiden; anton3077944; +2 Ответить 1
2. s22 19 15.03.19 15:41 Сейчас в теме
(1) А по факту так и сделано.
Только сделали, что бы было удобно через БПС
3. w.r. 573 15.03.19 16:56 Сейчас в теме
(2) сомнительное какое-то «удобство». Все-равно надо пилить напильником конфигурацию похоже
5. anton3077944 15.03.19 19:06 Сейчас в теме
Вообще неплохо было бы, если бы сделали аутентификацию по сертификату ЭЦП.
Причём аутентификацию не только пользователя, но и компьютера.
Потому как клиент поставил задачу сделать доступ в базу, расположенную во fresh, только с определённых компьютеров (в том числе и некоторых личных ноутбуков), а как это организовать - не знаю
7. androgin 16.03.19 01:15 Сейчас в теме
непонятно, как будут теперь мобильные приложения отрабатывать авторизацию.
Если в тонком клиенте я сделаю двойную авторизацию, а для мобильного мне это не нужно - то как это реализовать?)))
У меня в мобильном приложении авторизация проходит при запуске, так как приложение хранить учетные записи пользователя. Это будет сильно раздражать и замедлять запуск приложения.
Мобильное приложение создано в XCode, а не сборщиком 1С
8. PerlAmutor 56 16.03.19 08:08 Сейчас в теме
А как сделать другой тип авторизации - собственный? Я хочу, чтобы всех пользователей без разбора, без какой-либо авторизации сразу запускало в базу, а там я уже сам спрошу с помощью диалогов всю необходимую мне информацию и обработаю собственными алгоритмами.
9. insurgut 189 16.03.19 15:28 Сейчас в теме
10. insurgut 189 16.03.19 15:29 Сейчас в теме
Нескромный вопрос - а за СМС кто платит? Сама 1С?
12. Артано 667 18.03.19 06:32 Сейчас в теме
(8) Руками =) Такие проверки реализовывались еще на семерке, так что проблемы не вижу. Или неверно понял вопрос
13. PerlAmutor 56 18.03.19 06:38 Сейчас в теме
(12) Не знаю в 1С такой настройки для полного отключения типовой авторизации. После запуска конфигурации я хочу, чтобы пользователя сразу пускало в базу без выбора пользователя и ввода (пусть даже пустого) пароля. Чтобы он мог в ней полазить с какими-то минимальными правами, а затем оттуда же, например, авторизоваться под конкретной учетной записью, где бы я ему создал новую сессию с уже другим набором прав (ролей и их RLS).
14. Артано 667 18.03.19 06:41 Сейчас в теме
(13) Понял, такого нет. Подобные вещи реализованы в некоторых конфигурациях, за счет дублирования функциональности. Т.е. все заходят под одной универсальной ролью типа "пользователь", а далее уже по итогам авторизации подключается система контроля по профилю полномочий. РЛС работать не будет, но при подходящей архитектуре решения, это и не потребуется
15. androgin 19.03.19 14:05 Сейчас в теме
(10) указано, что сторонние сервисы
16. insurgut 189 19.03.19 15:06 Сейчас в теме
(15) вообще странное нововведение - самому в 5-10 строчек кода это реализуется. На месте 1С можно было бы выпустить свой веб-сервис аутентификации + приложение для мобильных устройств, аналогично Google.Authenticator. Тогда и платить никому ни за что не пришлось бы. 1 раз зарегался и все, пароль всегда под рукой.
17. androgin 19.03.19 21:20 Сейчас в теме
(16) очень сомневаюсь, что никому и ни за что))))
это же 1С ))
сами будут тарифицировать)
Оставьте свое сообщение

См. также

3 июня состоится бесплатный онлайн-практикум «Как воспитать в себе РП» 

Новость Обучение, бизнес-тренинг, курсы

Вебинар пройдет в формате практикума. Слушатели обсудят, какими навыками и знаниями должен обладать руководитель ИТ-проектов. 

вчера в 16:00    242    irina_selezneva    0       

К лету готов! Скидки на знания до 50%

Новость Обучение, бизнес-тренинг, курсы Инфостарт

Для тех, кто решил провести лето с пользой, Инфостарт запускает акцию «К лету готов!». С 29 мая по 5 июня наши курсы продаются со скидкой.

29.05.2020    828    irina_selezneva    0       

«1С:Документооборот КОРП 2.1.19» поможет выявить «вялых» сотрудников

Новость Конфигурация

Фирма «1С» представила релиз 1С:ДО КОРП 2.1.19, в котором реализованы средства мониторинга за активностью пользователей. Предполагается, что с их помощью можно будет оценивать эффективность работы персонала.

29.05.2020    2879    ЕленаЧерепнева    9       

Осталось 5 дней до окончания конкурса «Как заказчики объясняют отсутствие ТЗ»

Новость Обучение, бизнес-тренинг, курсы Конкурс

Расскажите нам в комментариях к этой новости, если вы столкнулись с такой ситуацией: задача от заказчика слишком размыта, но поставить ее четче почему-то невозможно.

28.05.2020    900    MariaTemchina    35       

Четыре новых митапа Инфостарта: DevOps, интеграция, инструментарий РП и баттл СУБД

Новость Инфостарт Мероприятия

После трех прошедших митапов мы объявляем перезагрузку онлайн-мероприятий Инфостарта. Отныне каждый митап будет посвящен одной узкоспециализированной тематике. 

28.05.2020    1005    kbazzh    2       

Бесконтактная оплата и другие новые возможности в «1С:Розница 2.3.4» 

Новость

В конфигурацию добавили поддержку новых версий стандартных библиотек, а также анонсировали интеграцию с платежной системой SWIP и сервисом «1С:Доставка».

28.05.2020    1812    ЕленаЧерепнева    0       

Vanessa Automation 1.2.032: новые возможности для оформления видеоинструкций

Новость Интеграция Инструменты и обработки

В новой версии Vanessa Automation 1.2.032 значительно расширились возможности создания видеоинструкций и фиксации в отчете Allure данных о состоянии системы при ошибке.

27.05.2020    2375    vikad    6       

Расписание Новосибирск.Online готово! Подводим итоги конкурса

Новость Infostart Meetup Конкурс Мероприятия

Мы опубликовали расписание новосибирского митапа, который пройдет 19 июня. Сегодня мы хотим рассказать о нем подробнее, а также подвести итоги конкурса на бесплатное участие в Новосибирск.Online.

26.05.2020    1244    kbazzh    1       

Фирма «1С» изменила форму поставки 1С:ИТС для учебных заведений

Новость Образование

Физическая поставка 1С:ИТС ПРОФ ВУЗ, начиная с мая этого года, заменяется на дистанционную.

26.05.2020    868    ЕленаЧерепнева    0       

Объявляем конкурс на бесплатное участие в курсе по 1С-программированию

Новость Обучение, бизнес-тренинг, курсы Инфостарт

Продолжается набор на «Базовый онлайн-курс для начинающих 1С-программистов», который начнется уже 2 июня. Сегодня мы подробнее расскажем о программе курса и разыграем бесплатное участие в нем!

25.05.2020    3264    irina_selezneva    75       

«Демосервис 1С»: онлайн-знакомство с отраслевыми и специализированными решениями из дома

Новость Конфигурация

Фирма «1С» рекомендует воспользоваться бесплатно «Демосервисом 1С», который позволяет в дистанционном формате ознакомиться с выбранным отраслевым решением, получить консультацию специалистов и даже детально изучить его.

25.05.2020    1055    user-programmist    1       

Открыт набор на летний поток «Базового курса для начинающих 1С-программистов»

Новость Обучение, бизнес-тренинг, курсы Инфостарт

Курс сформирует у слушателей базовые практические навыки, связанные с разработкой собственных или доработкой существующих прикладных решений, работающих на платформе «1С:Предприятие».

22.05.2020    1193    user997184    0       

Доступен новый плагин 1C:SSL support для 1С:EDT

Новость EDT

Фирма «1С» продолжает развивать возможности 1C:EDT. Разработчикам предложили опробовать бета-версию плагина, который должен сделать более удобной работу над проектами с использованием возможностей 1С:БСП.

22.05.2020    3352    ЕленаЧерепнева    1       

Объявляем конкурс для руководителей проектов «Как заказчики объясняют отсутствие ТЗ»

Новость Обучение, бизнес-тренинг, курсы Конкурс

В июне стартует «Базовый курс по управлению ИТ-проектами», и мы в поисках кейсов, которые обсудим и разберем на вебинарах вместе с участниками обучения.

21.05.2020    1888    user997184    24       

Бесплатное размещение инструментов для разработчиков на Infostart.ru

Новость Инфостарт

Делиться инструментами для разработчиков на Инфостарте теперь можно бесплатно! 

21.05.2020    4035    user997184    11       

Антикризисная акция от фирмы «1С» и «Лаборатории Касперского»: бесплатные предложения для малого бизнеса

Новость

Фирма «1С» и «Лаборатория Касперского» подготовили для поддержки малого и среднего бизнеса ряд предложений, доступных бесплатно до 1 сентября 2020 года.

21.05.2020    1501    user-programmist    0       

Загрузка документов поступления в 1С из Контур.Диадок

Новость БП3.0 КА2 УПП1 Infostart Software Partners Маркет Инструменты и обработки

Уже зарекомендовавшая себя обработка загрузки документов из Диадок теперь поддерживает не только «1С:Бухгалтерию 3», но и «1С:Управление производственным предприятием» редакции 1.3, а также «1С:Комплексную автоматизацию» редакции 2.

21.05.2020    1990    iivanov1    3       

Google раскрыл статистику распространения разных версий Android

Новость Android Google Мобильные приложения Новости компаний

Долгие годы Google публично демонстрировал процент устройств, использующих каждую версию Android, на странице диаграммы распределения.

20.05.2020    1510    SKravchenko    0       

Инфостарт составил подборку самых продаваемых готовых решений за апрель

Новость Infostart Software Partners Маркет

Составляя список, мы учитывали аналитику продаж и запросы клиентов за месяц. Разработки прошли проверку предыдущими заказчиками, авторы устранили в них ошибки и недочеты. 

20.05.2020    4269    iivanov1    3       

Екатеринбург.Online: участникам доступны видеозаписи докладов

Новость Инфостарт Infostart Meetup Мероприятия

15 мая Инфостарт провел очередной онлайн-митап. Столицей встречи на этот раз стал Екатеринбург, а онлайн-формат мероприятия позволил нам собрать 140 участников из 37 городов России и ближнего зарубежья.

20.05.2020    1858    kbazzh    1       

Фирма «1С» предложила новый подход для написания ботов системы взаимодействия

Новость Зазеркалье

В очередном релизе технологической платформы «1С:Предприятие 8.3.18» появится новый объект метаданных, который позволит разработчикам создавать новых улучшенных ботов для системы взаимодействия.

19.05.2020    7702    ЕленаЧерепнева    19       

Табель учета отработанного времени для «1С:Бухгалтерии»

Новость БП3.0 НДФЛ Infostart Software Partners Маркет Инструменты и обработки

Для небольших предприятий, ведущих учет зарплаты в «1С:Бухгалтерии 3.0», актуальна проблема потери ручных корректировок отработанного времени при перезаполнении документа «Начисление зарплаты». Расширение добавляет в «1С:Бухгалтерию» документ табеля.

19.05.2020    1320    iivanov1    0       

Джедайский онлайн-воркшоп от Марии Темчиной: развиваем навыки управления проектами

Новость Обучение, бизнес-тренинг, курсы

Участники обучения обсудят, какие навыки необходимы руководителю проектов, а какие – излишни и вредны. А также проследят «джедайский путь» развития успешного РП-шника. 

19.05.2020    823    user997184    3       

Подписан закон об эксперименте с электронными трудовыми договорами

Новость Законодательство

Эксперимент продлится до 31 марта 2021 года. По его итогам правительство подготовит предложения о внесении изменений в трудовое законодательство.

19.05.2020    1548    AnastasiaKl    0       

Скидка 30% на программный продукт «Обмен с системой ЦРПТ»

Новость Infostart Software Partners Маркет

Чтобы участники оборота маркированной продукции успели подготовиться к переменам, расскажем о них подробнее и объявляем скидку на тематический программный продукт – «Обмен с системой ЦРПТ»!

18.05.2020    1486    iivanov1    0