Аутентификация операционной системы 1с 8. Из консоли кластера

Механизм аутентификации позволяет определить, кто именно из пользователей, перечисленных в списке пользователей системы, подключается к прикладному решению в данный момент.

Система поддерживает два вида аутентификации, которые могут использоваться в зависимости от конкретных задач, стоящих перед администратором информационной базы:

• аутентификация средствами 1С:Предприятия;
• аутентификация средствами Windows.

Аутентификация средствами 1С:Предприятия

Для выполнения аутентификации средствами 1С:Предприятия пользователь, при начале работы с прикладным решением, должен выбрать (или ввести) имя пользователя и соответствующий этому имени пароль:

Если пароль, введенный пользователем, не соответствует тому, который хранится в информационной базе, доступ к прикладному решению будет закрыт:

Аутентификация средствами Windows

При выполнении аутентификации средствами Windows, от пользователя не требуется каких-либо действий по вводу логина и пароля. Система анализирует, от имени какого Windows-пользователя выполняется подключение к прикладному решению, и на основании этого определяет соответствующегопользователя 1С:Предприятия. При этом диалог аутентификации 1С:Предприятия не отображается, если не указан специальный параметр командной строки. Аутентификацию средствами Windows имеет смысл использовать для NT-подобных операционных систем, например NT, 2000, XP.

Если для пользователя не указан ни один из видов аутентификации, - такому пользователю доступ к прикладному решению закрыт.

Многие из клиентов нашей компании сильно озабочены вопросом безопасности доступа к 1С через интернет. Особенно обостряет эту проблему ситуация, когда бухгалтера хранят свой пароль на стикере, прилепленном на монитор. При таком раскладе введение дополнительных требований к сложности пароля и регулярному его изменению погоды не делает.

Чтобы максимально исключить влияние человеческого фактора мне поставили задачу организовать двухфакторную аутентификацию для веб-доступа к 1С. Ниже подробно о том, как это работает.

Первым фактором аутентификации является логин и пароль пользователя. В качестве второго фактора аутентификации мы будем использовать одноразовые пароли, передаваемые в виде SMS-сообщений на телефон зарегистрированного пользователя. Использование SMS в качестве транспорта - довольно удобное и распространенное решение.

Наряду с SMS мы протестировали вариант использования токенов и вариант получения пароля по электронной почте. Токены - не самое удобно решение, так как приходится покупать отдельный токен для каждого пользователя и ставить на компьютеры пользователей дополнительное ПО. Вариант получения паролей по электронной почте отпал из-за того, что не у всех наших пользователей есть доступ к электронной почте в тот момент времени, когда они хотят авторизоваться в 1С. В конечном счете для получения одноразовых паролей решили использовать SMS как наиболее простое и удобное решение.

В итоге получилось вот что. С точки зрения пользователя схема работы выглядит так:

Доступ к 1С предоставляется по прямой ссылке до базы данных. При переходе сразу открывается окно авторизации, оно требует имя пользователя и пароль. На данном шаге происходит проверка существования данного пользователя и наличия у него права для доступа к сайту.

После введения кода пользователь перенаправляется на сайт, где может авторизоваться в 1С.

Загрузочный экран… еще чуть-чуть:)

Готово! Можно приступать к работе!

Схематично решение двухфакторной аутентификации представляет собой следующее:

Рассмотрим алгоритм работы системы:

1. Пользователь подключается по полученной ссылке к прокси серверу, вводит свой логин и пароль.
2. UAG передает логин/пароль серверу Swivel по RADIUS протоколу. RADIUS протокол – это протокол аутентификации, который позволяет различным системам проводить аутентификацию доступа к своим ресурсам.
3. Swivel проверяет наличие такого пользователя, правильность пароля, и сообщает UAG об успехе/неуспехе первого этапа аутентификации.
4. При успешном первом этапе Swivel отправляет одноразовый код через SMS шлюз.
5. Пользователь получает код на свой телефон и вводит его на прокси сервере.
6. UAG передает код серверу Swivel и получает ответ об успехе/неуспехе второго этапа аутентификации.
7. При успешном вводе кода пользователь получает доступ к Web серверу 1С.

Из всего разнообразия серверов, изображенных на схеме, наибольший интерес, на мой взгляд, представляет сервер двухфакторной аутентификации Swivel. Он поддерживает самые разнообразные методы аутентификации, включая мобильное приложение, SMS, токены OATH и звонок по телефону, а также строгую аутентификацию при помощи показа изображений в браузере. В нашей реализации использована передача одноразовых паролей через SMS. Кроме того, ПО Swivel интегрируется с большим количеством различных приложений и серверов, имеет обширную базу знаний по настройке и решению возможных проблем.

В процессе выбора продукта для двухшаговой аутентификации наряду со Swivel мне довелось рассмотреть варианты RSA и Aladdin. RSA - довольно дорогой продукт с широким спектром возможностей, что для нашей задачи как из пушки по воробьям палить. Aladdin и Swivel похожи по функционалу и находятся в одном ценовом диапазоне. Основное отличие Swivel состоит в том, что у Swivel лицензия постоянная, у Аладдина – годовая или двухгодичная. В итоге я остановился на сервере и программном продукте Swivel. Вот несколько скриншотов консоли управления сервером:

Надеюсь, я максимально полно раскрыл полученное решение, пишите свои вопросы.

05.12.2014

Установление пароля при входе в 1С Зарплата и Управление персоналом.

К основным механизмам администрирования относится также механизм аутентификации, служащий для идентификации пользователя, подключившегося к программному продукты в данный момент.

Существует 3 вида аутентификационных механизмов, выбор которых напрямую зависит от цели, которую преследует администратор базы данных:

• аутентификация 1С: Предприятия;
• аутентификация ОС;
• OpenID-аутентификация.

Аутентификация 1С: Предприятия - один из механизмов аутентификации, для использования которого необходимо создать пароль в конфигураторе программы 1С: Предприятия:

При использовании данного механизма для входа в систему необходимо выбрать имя пользователя и ввести пароль к данной учетной записи:

В случае введения неправильного пароля (не совпал с хранящимся в базе данных) пользователю будет отказано в доступе к данному программному продукту.

Механизм аутентификации может быть также создан и в 1С: Предприятие. Чтобы открыть режим создания и правки пароля, необходимо выбрать в программном меню «Сервис» и затем перейти к «Параметрам пользователя» - на мониторе появится диалоговое окно.

В появившемся окне необходимо ввести полное и краткое имя пользователя, также чтобы исключить возможность подбора пароля, вводится его повторное подтверждение.

Следующим механизмом аутентификации 1С: Предприятия становится аутентификация операционной системы.

Данный механизм аутентификации подразумевает выбор одного из существующих пользователей в конфигураторе:

При входе в систему, используя данный механизм аутентификации, ввод логина и пароля не являются обязательным процессом. В задачу системы входит анализ имени пользователя и определение пользователя 1С: Предприятия 8, который начинает работу с программным продуктом. Таким образом, нет необходимости в появлении диалогового окна, если не создано особое условие командной строки.

Что же такое OpenID-аутентификация? Данный механизм основывается не на данных некой информационной базы, а на данных внешнего OpenID-провайдера, который содержит информацию о пользователях.

Несомненным достоинством данного механизма аутентификации является удобство работы с большим количеством информационных баз.

Если применять аутентификацию 1С: Предприятия, возникает необходимость вводить логин и пароль каждый раз при подключении к базе данных.

В случае использования OpenID-аутентификации такой необходимости уже не возникает: единожды пройдя процедуру аутентификации при подключении к базам, Вы сможете постоянно получать доступ без ввода логина и пароля. Аутентификация пользователя будет совершаться автоматически благодаря информации, сохраненной у провайдера.

Следующая схема отражает алгоритм действий при прохождении процедуры аутентификации:

На данной схеме мы видим, что база данных 1С: Предприятия выступает в качестве OpenID-провайдера (специальные параметры Вы можете найти на веб-сервере).

1 – пользователь начинает использование базы данных 1,

2 – база данных 1 отсылает запрос к OpenID-провайдеру для осуществления аутентификации пользователя,

3 – выполнение провайдером идентификации пользователя: в случае подтверждения логина и пароля в файлах cookie происходит сохранение подтверждения подключения,

4 – благодаря подтверждению подключения пользователь выполняет вход и начинает работу с базой данных 1,

5, 6 – если пользователь захочет выполнить подключение к иной базе данных, нет необходимости заново проходить процедуру аутентификации – с помощью сохраненного подтверждения в cookie OpenID-провайдер проведет аутентификацию, не привлекая пользователя.

Настройки OpenID-провайдера позволяют регулировать срок действия запоминания аутентичности, в случае, если пользователь в течение длительного времени не обращался к базам данных.

Для осуществления доступа к программному продукту пользователю необходимо иметь хотя бы один из видов аутентификации.

Администрирование и контроль пользователей 1С 8.3 — это неотъемлемая часть внедрения и поддержки любого программного продукта фирмы 1С. На самом деле это несложная задача, и, я уверен, любой человек без проблем сможет справиться с ней. Рассмотрим процесс администрирования пользователей 1С подробнее.

Управление пользователями в 1С — процесс достаточно простой и интуитивно понятный, однако всё равно нуждается в описании.

Условно администрирование и контроль включает в себя:

• создание пользователя;
• установка прав пользователей;
• просмотр активных пользователей;
• анализ действий пользователей.

Рассмотрим каждый из этих пунктов подробнее:

Создание и установка прав пользователей 1С 8.2

В зависимости от конфигурации пользователи вводятся либо в конфигураторе, либо в режиме пользователя. Практически все современные конфигурации поддерживают ввод пользователей в режиме 1С: Предприятие 8. Также в режиме 1С: Предприятие, как правило, вводятся дополнительные параметры пользователей.

Однако, независимо от конфигурации, первый пользователь с административными правами всегда вводится в режиме конфигуратор. Поэтому мы рассмотрим оба режима ввода пользователей.

Ввод пользователей в Конфигураторе

Для входа в режим 1С Конфигуратор необходимо в списке выбора баз выбрать вариант Конфигуратор:

После входа необходимо выбрать в меню пункты Администрирование — Пользователи. Откроется список пользователей, если Вы заводите первого пользователя, он будет пуст. Добавим нового пользователя «Администратор»:

На этой странице Вы должны указать настройки пользователя:

• Имя и Полное имя — наименование пользователя.
• Если установлен флаг Аутентификация 1С: Предприятия, то станут доступны пункты Пароль (пароль, который используется для входа в 1С), Пользователю запрещено изменять пароль (делает доступным возможность смены пароля пользователем в пользовательском режиме), Показывать в списке выбора (делает доступным выбор пользователя в списке, в противном случае имя пользователя необходимо вводить вручную).
• Аутентификация операционной системы — флаг, отвечающий за возможность авторизации с помощью имени пользователя операционной системы. Пользователь — имя пользователя информационной системы (например, \\dom\kirill, где dom — домен сети, а kirill имя пользователя ОС). 1С при запуске сначала проверяет авторизацию через ОС, а потом авторизацию 1С 8.2.
• Аутентификация OpenID — включение возможности авторизации с помощью технологии OpenID. OpenID - это открытая децентрализованная система, которая позволяет пользователю использовать единую учётную запись для аутентификации на множестве не связанных друг с другом сайтов, порталов, блогов и форумов.

Получите 267 видеоуроков по 1С бесплатно:

На вкладке Прочее нужно указать соответствующие роли для пользователя (). В нашем случае мы укажем для администратора Полные права . Для других пользователей здесь можно отметить флагами требующиеся роли. Права пользователей суммируются из доступных объектов разных ролей. Т.е. если у пользователя выбрано две роли, в одной есть доступ к справочнику «Номенклатура», а у второй роли нет, доступ будет. Для любого пользователя без «Полных прав» обязательна установка роли «Пользователь» (если она присутствует).

Также на этой вкладке можно указать Основной интерфейс (работает только для обычных форм). Язык по умолчанию — если конфигурация разработана на нескольких языках. Режим запуска — управляемое или обычное приложение.

Создание пользователя в 1С Бухгалтерия 2.0

После того как в системе зарегистрирован пользователь с полными правами, пользователей можно вводить в режиме 1С: Предприятие. Для примера создадим пользователя в самой распространенной конфигурации — Бухгалтерия предприятия 8.2.

Для этого в меню необходимо выбрать пункт Сервис — Управление пользователями и доступом . Откроется справочник «Пользователи». Создайте нового пользователя:

Занесите информацию о пользователе и его основные , нажмите кнопку «ОК»: система предложит создать автоматически пользователя БД:

Необходимо согласиться, отобразится форма нового пользователя базы данных:

Вот и всё! Создание пользователя и назначение ему прав завершено.

Просмотр активных пользователей в базе 1С

Для просмотра работающих в базе данных пользователей в режиме 1С: Предприятие необходимо выбрать пункт Сервис — Активные пользователи . Откроется список работающих в базе данных пользователей:

Как отключить пользователей в 1С 8.3 и 8.2

Отключить активного пользователя в базе 1С можно двумя способами:

• в интерфейсе программы (для конфигураций 1С Бухгалтерия 3.0, Управление торговлей 11 и т.д);
• через консоль кластера серверов (доступно только в клиент-серверном режиме работы).

Из интерфейса

В пользовательском режиме выкинуть зависшего пользователя можно, зайдя в меню «Администрирование» — «Поддержка и обслуживание», затем выбрав пункт «Активные пользователи»:

Выбираем в списке нужного пользователя и нажимаем кнопку «Завершить».

Из консоли кластера

Если у Вас есть доступ к административной панели сервера 1С, завершить сеанс можно с её помощью. Заходим в консоль, находим зависшего пользователя в меню «Сеансы», вызываем контекстное меню и нажимаем «Удалить»:

Контроль работы пользователей 1С 8.3

Для просмотра истории работы пользователей необходимо зайти в меню в пункт Сервис — :

Механизм аутентификации позволяет определить, кто именно из пользователей, перечисленных в списке пользователей системы, подключается к прикладному решению в данный момент.

Система поддерживает два вида аутентификации, которые могут использоваться в зависимости от конкретных задач, стоящих перед администратором информационной базы:

аутентификация средствами 1С:Предприятия;

аутентификация средствами Windows.

Аутентификация средствами 1С:Предприятия

Для выполнения аутентификации средствами 1С:Предприятия пользователь, при начале работы с прикладным решением, должен выбрать (или ввести) имя пользователя и соответствующий этому имени пароль:

Если пароль, введенный пользователем, не соответствует тому, который хранится в информационной базе, доступ к прикладному решению будет закрыт:

Аутентификация средствами Windows

При выполнении аутентификации средствами Windows, от пользователя не требуется каких-либо действий по вводу логина и пароля. Система анализирует, от имени какого Windows-пользователя выполняется подключение к прикладному решению, и на основании этого определяет соответствующего пользователя 1С:Предприятия. При этом диалог аутентификации 1С:Предприятия не отображается, если не указан специальный параметр командной строки. Аутентификацию средствами Windows имеет смысл использовать для NT-подобных операционных систем, например NT, 2000, XP.

Если для пользователя не указан ни один из видов аутентификации, - такому пользователю доступ к прикладному решению закрыт.

Список пользователей

Система 1С:Предприятие позволяет вести список пользователей, которым разрешена работа с системой. Этот список не является частью прикладного решения, а создается отдельно в конкретной организации, в которой используется система:

Администратор информационной базы имеет возможность добавлять, удалять пользователей, а также модифицировать данные пользователя. Создание новых пользователей возможно также путем копирования уже существующих пользователей.

Для каждого пользователя может быть задано имя, идентифицирующее пользователя в системе, полное имя, используемое при отображении справочной информации, и порядок аутентификации (опознавания) пользователя системой. Кроме этого, список пользователей позволяет указать роли, которые будут доступны пользователю при работе с прикладным решением, а также основной интерфейс и язык, на котором будут отображаться надписи содержащиеся в интерфейсе прикладного решения:

Систему ролей, существующую в конкретном прикладном решении, определяет разработчик в процессе создания прикладного решения. Администратор может только выбирать среди существующих в прикладном решении ролей.

Активные пользователи

Список активных пользователей позволяет получать информацию о том, кто из пользователей работает с информационной базой в данный момент:

Список активных пользователей содержит информацию об имени пользователя, режиме, в котором пользователь использует систему, времени начала его работы и пр. Администратор имеет возможность вывести список активных пользователей на печать в виде текстового или табличного документа. Кроме этого, из списка активных пользователей можно открыть журнал регистрации системы, или просмотреть историю работы пользователя - содержимое журнала регистрации, отфильтрованное по тому пользователю, на котором установлен курсор.

Журнал регистрации

Журнал регистрации содержит информацию о том, какие события происходили в информационной базе в определенный момент времени или какие действия выполнял тот или иной пользователь:

Журнал регистрации доступен как в режиме 1С:Предприятие, так и в режиме Конфигуратор.

В режиме 1С: Предприятие по щелчку мыши в полях Данные и Представление данных можно перейти к тому объекту прикладного решения, который указан в записи журнала регистрации.

Информацию, находящуюся в журнале регистрации, можно отбирать по большому количеству критериев. Например, можно отобрать только информацию о том, какие документы изменялись определенным пользователем в заданный промежуток времени:

Кроме этого, журнал регистрации поддерживает динамическую фильтрацию событий, при которой новые события, удовлетворяющие наложенному фильтру, будут появляться в списке.

Существует возможность настройки уровня событий, отображаемых в журнале регистрации:

Кроме этого разработчик может самостоятельно добавлять записи в журнал регистрации, используя средства встроенного языка. Такая возможность позволяет настраивать журнал регистрации под нужды конкретного прикладного решения.

В процессе длительной эксплуатации системы в журнале регистрации может накапливаться значительное число записей. Поэтому поддерживается возможность сокращения журнала регистрации и удаления записей, ставших неактуальными. При сокращении журнала регистрации можно записать удаляемые события в файл, если предвидится необходимость их анализа в будущем:

Используя средства работы со списками, разработчик имеет возможность выгрузить журнал регистрации в текстовый или табличный документ, который в дальнейшем может быть сохранен в собственном формате или, например, формате листа Excel или документа HTML.