Аутентификация openid в 1с что это
Прежде чем переходить к основной теме статьи, необходимо сделать лирическое отступление и описать некоторые неизвестные слова для неискушенного разработчика.
OAuth 1.0a — это открытый протокол авторизации, который позволяет предоставить третьей стороне ограниченный доступ к защищённым ресурсам пользователя без необходимости передавать ей (третьей стороне) логин и пароль. С детальным описанием протокола можно ознакомится в информационном документе RFC 5849.
OpenID 2.0 — открытый стандарт децентрализованной системы аутентификации, предоставляющей пользователю возможность создать единую учётную запись для аутентификации на множестве не связанных друг с другом интернет-ресурсов, используя услуги третьих лиц.
QuickBooks — представляет собой пакет программного обеспечения для бухгалтерского учета. Продукты QuickBooks ориентированы главным образом на малые и средние предприятия и предлагают приложения для бухгалтерского учета на местах, а также версии на основе облачных вычислений.
Проблематика:
QuickBooks использует комбинацию OAuth 1.0a + OpenID 2.0 для интеграции через приложение (App). Приложение можно создать по ссылке. После создания приложения станут доступны ключи доступа. Вот об комбинировании этой солянки и пойдет речь ниже.
ШАГ 1. Создаем приложение:
После создания приложения, необходимо получить ключи разработчика для песочницы. В нашем случае они будут:
oauth_consumer_key = qyprdEQRuexcfM4P05zd2vB0baw2TB
oauth_consumer_secret = AbQpDjBAQlTHt08GBT9yktfuklrZJkvBL7Hswhoc
ШАГ 2. Получаем request token
Приложение должно запросить набор временных учетных данных token, также известный как request token. Он еще не связаны с какой-либо компанией QuickBooks конкретного пользователя. Приложением будет выступать конфигурация «1С:Предприятие 8» и для прохождения данного этапа необходимо реализовать некоторую базовую функциональность:
Так же реализуем в виде функций ссылки (URL) для прохождения авторизации:
Следующий код реализует получение `request token`:
Функция AuthorizationHeader формирует заголовок авторизации.
Функция URIStructure предназначена для разбора ссылки на составляющие.
Функция OAuthSignature формирует подпись из переданных данных.
Внимание на реализации функции HMAC_SHA1(UrlSignature, KeySignature) заострять не буду оно довольно тривиальное и достаточно легко реализуется.
Методы шифрования в данной статье не рассматриваются и потому ветка IsBlankString(EncryptNumber) не имеет реализации чтения зашифрованных значений.
ШАГ 3. Авторизация пользователя и приложения на QuickBooks
ШАГ 4. Замена временного токена на постоянный
На последнем шаге необходимо заменить временный oauth_token на постоянный:
- Функция OAuthToken() возвращает временный token полученный на шаге 2;
- Функция OAuthVerifier()возвращает значение oauth_verifier, которое было получено на шаге 3 при переадресации на CallbackUrl:
После успешного выполнения необходимо сохранить данные таблицы EncryptedData и в дальнейшем использовать их для формирования AuthorizationHeader для выполнения запросов к ресурсам компании QuickBooks.
Вместо послесловия, полноценную рабочую версию не выкладываю из-за ограниченной лицензии, но мне кажется, не составит большого труда дописать недостающие части. Успехов в начинаниях.
OpenID-аутентификация — это один из видов аутентификации, поддерживаемых механизмом аутентификации 1С:Предприятия.
В этом случае аутентификацию пользователя выполняет не конкретная информационная база, к которой пытается подключиться пользователь, а внешний OpenID-провайдер, хранящий список пользователей.
Преимущество этого вида аутентификации проявляется тогда, когда пользователь работает с большим количеством разных информационных баз.
Если используется аутентификация 1С:Предприятия, то каждый раз, при подключении к информационной базе, пользователь будет должен вводить логин и пароль.
Если же используется OpenID-аутентификация, то однажды выполнив процедуру аутентификации при подключении к одной из баз, во все остальные базы пользователь будет заходить без запроса логина и пароля. OpenID-провайдер будет автоматически аутентифицировать пользователя на основе имеющейся у него информации.
Последовательность действий, выполняемых при подключении пользователя, можно рассмотреть на следующей схеме:
В качестве OpenID-провайдера используется информационная база 1С:Предприятия. Для этого она публикуется на веб-сервере с указанием специальных параметров.
1- клиентское приложение обращается к информационной базе 1,
2 — информационная база 1 обращается к OpenId-провайдеру с тем, чтобы он аутентифицировал пользователя,
3 — OpenID-провайдер выполняет процедуру аутентификации: пользователь вводит логин и пароль; в случае успешной аутентификации на компьютере пользователя в cookie сохраняется признак того, что провайдер аутентифицировал пользователя,
4 — используя признак аутентификации, сохраненный в cookie, пользователь подключается к информационной базе 1 и начинает работу,
5, 6 — при обращении к другой информационной базе, пользователю не нужно снова вводить логин и пароль; на основании признака аутентификации, сохраненного ранее в cookie, OpenID-провайдер выполняет аутентификацию незаметно для пользователя.
В настройках OpenID-провайдера можно задать время жизни признака аутентифицированности. Это позволяет заново запрашивать аутентификацию в тех случаях, когда подключение к информационным базам происходит с большими промежутками времени.
Вопросы настройки OpenID-аутентификации
- 1 Терминология
- 2 Настройка OpenID
- 3 Поиск проблемы
- 3.1 Включить логирование на клиенте OpenID
- 3.2 Доступность сервера по сети
- 3.3 Тестирование в браузере
- 3.4 Проверка сертификата OP
- 3.5 Проверка использования прокси
- 3.6 Проверка допустимых адресов возврата
- 3.7 Соответствие полного имени пользователя и OP URL
1. Терминология
OP - OpenID Provider, провайдер OpenID.
RP - Relying Party, клиент OpenID (веб-расширение "1С:Предприятия").
Публикация - каталог веб-сервера, обработку любых обращений в который обслуживает расширение (wsisapi.dll или wsapXX.dll) и в который добавлен файл default.vrd.
2. Настройка OpenID
Подробно настройка веб-серверов и OpenID-аутентификации описана здесь.
1. На клиенте в файле default.vrd элемент
должен содержать url-адрес информационной базы, выступающей в роли OP
где users-ib - это каталог веб-сервера с публикацией OP. При обращении на этот адрес из браузера, вы получите XRDS-файл с именем oid2op, содержащий настройки провайдера OpenID.
Внимание! Настройки протокола, имени сервера и порта должны совпадать с теми, которые используются для обращения к OP в других местах.
2. На провайдере в файле default.vrd внутри элемента
должен присутствовать следующий текст:
где lifetime - время жизни признака аутентифицированности идентификатора в секундах. В нашем случае не является важным.
3. Цепочка сертификатов, которыми подписан сертификат веб-сервера, на котором размещена публикация OP, для версий ниже 8.3.8, должен быть добавлен в cacert.pem (см здесь), а начиная с 8.3.8, в хранилище доверенных корневых сертификатов ОС.
После этого, если для пользователя включена аутентификация OpenID, то при попытке аутентификации в информационной базе, RP будет произведено обращение к публикации OP, для входа с помощью OpenID-аутентификации.
Простейший способ добавить сертификат в файл cacert.pem - это сохранить сертификат в формате X.509 Base64-encoded с помощью браузера, и потом добавить содержимое получившегося файла к cacert.pem. Подробнее об экспорте сертификата из браузера читайте в документации к браузеру или вашей ОС.
Важно! В режиме совместимости с версией 8.3.7 в качестве хранилища сертификатов используется файл cacert.pem .
3. Поиск проблемы
Наиболее частое проявление проблемы с конфигурацией OpenID-аутентификации заключается в том, что после настройки по приведенной инструкции пользователь вместо окна аутентификации OpenID видит окно аутентификации локальной информационной базы. Стоит отметить, что для тонкого клиента окна различаются не очень сильно и одним из явных отличий локальной аутентификации является список выбора (combobox control) имен пользователя вместо обычного поля ввода для OpenID-аутентификации. Для веб-клиента всегда можно посмотреть на строку адреса браузера, в которой, при корректной работе OpenID, вместо адреса и пути к публикации клиентской информационной базой (RP), будет адрес и путь к публикации OP.
Ниже приводятся методы локализации и устранения проблемы. Список не является точной последовательностью действий, которую необходимо выполнить, а представляет собой действия, которые в комплексе помогают выявить возможную причину проблемы.
- OP_NAME - имя сервера с публикацией OP
- OP_IB_PUB - путь к публикации OP
3.1. Включить логирование на клиенте OpenID
Для этого следует добавить в logcfg.xml указанные строки внутри элемента <config> :
внутри элемента<log> также следует добавить :
Подробнее о настройках технологического журнала см. в документации.
Далее запустить клиента и после получения окна аутентификации изучить созданные им логи. Следует фильтровать события Часто по логам видно, что клиент OpenID не может соединиться с сервером:
это означает следующее:
3.2. Доступность сервера по сети
Рекомендуется проверить сетевую доступность сервера, выполнив команду:
В случае доступности, соединение должно быть установлено. В случае ошибки необходимо обращаться к сетевым администраторам.
3.3. Тестирование в браузере
Зайти браузером с машины с опубликованным клиентом OpenID, на провайдер OpenID:
и проверить доступен ли адрес (должен скачиваться XRDP файл oid2op c настройками провайдера). Будте внимательны с адресом, который вы используете для проверки, лучше всего скопировать его из default.vrd публикации RP.
В случае, если файл не скачивается, необходима проверка сетевой доступности сервера OP. Так же браузер может выдать предупреждение о неверном сертификате веб сервера, подробнее смотри проверку сертификатов.
3.4. Проверка сертификата OP
Убедитесь , что сертификат OP признается клиентом, как прошедший валидацию. Это означает, что:
Помните, что прохождение валидации сертификатом в браузере, в версиях платформы "1С:Предприятие" младше 8.3.8, не означает, что они пройдут валидацию на клиенте "1С:Предприятия"! Проверьте наличие необходимых сертификатов в cacert.pem.
3.5. Проверка использования прокси
Если по пути от клиента к серверу установлено дешифрующее прокси, то вы сможете увидеть в браузере, что цепочка сертификатов выглядит по-другому. Обычно в ней вместо сертификата подписывающего сертификат сайта с публикацией OP, присутствует сертификат прокси. В этом случае добавлять в доверенные сертификаты нужно именно эту цепочку удостоверяющих сертификатов. Клиенты, проходящие через разные цепочки дешифрующих прокси или вообще не проходящие через них, будут видеть разные цепочки удостоверяющих сертификатов.
Общее правило состоит в том, что на конкретном клиенте сертификат сервера должен быть доверенным с учетом той цепочки сертификатов, как она выглядит с клиента. Т.е. необходимо открыть сертификат сервера с публикацией OP, например, в браузере и проверить, что он является доверенным. Другими словами, при наличии дешифрующего прокси добавлять в качестве доверенного нужно именно сертификат этого прокси, т.к. клиент будет устанавливать защищенное соединение именно с ним.
3.6 Проверка допустимых адресов возврата
Для защиты от перенаправлений на потенциально опасные сайты, начиная с версии 8.3.8, в публикацию OpenID-провайдера добавлен новый элемент returnto. Элемент является необязательным, может не присутствовать или использоваться несколько раз. Содержимое элемента представляет собой регулярное выражение, которое определяет маску разрешенных имен хоста, на который будет производиться возврат (редирект) пользовательского браузера после исполнения команды openid (подробнее см. в документации).
По умолчанию, из соображений безопасности в публикации элементы returnto отсутствуют.
3.7 Соответствие полного имени пользователя и OP URL
Для обеспечения безопасности производится проверка соответствия полного имени пользователя выданного OP и URL сервера OP его выдавшего. Проверка производиться по совпадению протокола, имени и порта сервера указанного в публикации vrd. Параметр openid.identity передается в форме ответа OP к RP на адрес /e1cib/oid2rp. Перехватить ответы можно с помощью прокси, например fiddler. В случае не совпадения в ТЖ логируется ошибка следующего вида:
Например подобная настройка НЕ КОРРЕКТНА (не совпадает порт):
4. Советы для локализации проблемы
- Попробуйте развернуть провайдера и клиента на одной машине, создав 2 публикации на одном и том же сервере.
- Попробуйте установить клиент "1С:Предприятия" на другой компьютер и выполнить все приведенные действия на нем желательно в другой подсети или извне через интернет.
- Попробуйте подключиться к информационной базе с помощью тонкого и веб-клиентов.
5. Известные особенности работы
- Невозможно в один файл default.vrd добавить и клиента, и провайдера, но возможно создать раздельные публикации для клиента и провайдера, работающие с одной информационной базой.
- При попытке аутентификации с передачей имени пользователя и пароля, даже если включена OpenID-аутентификация, будет произведен вход с помощью аутентификации в локальной информационной базе, без попыток обращения к OP. Аналогичная ситуация будет, если для пользователя включена аутентификация средствами ОС.
- При первичном открытии публикации RP (до аутентификации) в нескольких вкладках браузера, некоторые последующие вкладки вместо редиректа на публикацию OP, будут содержать пустую страницу.
6. Обращение в поддержку
Если все же ничего не помогает, то при обращении в поддержку желательно предоставить:
Перед отправкой, необходимо учитывать, что в конфигурациях и логах могут быть сохранены персональные данные, и оценить возможность их передачи!
В статье приводится простой пример организации аутентификации при помощи OpenID, а также показывается как поднять веб-клиент 1С на веб-сервере IIS.
В качестве примера развернем на локальном компьютере 3 пустые базы - OpenID-сервер и две клиентские базы, опубликуем их на веб-сервере IIS, и настроим OpenID-аутентификацию, при помощи которой пользователь сможет входить в обе клиентские базы не вводя пароль.
На компьютере установлено: Windows 10, IIS, 1С:Предприятие 8.3 (8.3.13.1644).
1. Развернем на локальной машине 3 пустых базы 1С: OpenIDServer, OpenIDClient, OpenIDClient2 и опубликуем их на веб-сервере.
В каждой базе создадим Роль "Полные права" и пользователя Admin с паролем 123 (желательно все без русских букв). Для пользователей в конфигураторе обязательно ставим галочку "Аутентификация OpenID"
Дадим пользователю IUSR права доступа к каталогам, где расположены созданные базы для того, чтобы веб-сервер IIS мог обращаться к базам.Сертификат делаем средствами IIS сервера.
Окно аутентификации OpenID отличается от окна аутентификации 1C:Предприятия:
1С же требует точного совпадения адреса.
Откроем файл "C:\inetpub\wwwroot\OpenIDServer\default.vrd" и добавим свойство <returnto>:
или, что то же самое - нужно указать "Разрешенные адреса для переадресации адреса" при публикации или вручную.
Все решения используют публичные сервисы, мне интересно запустить в локальном контуре. В качестве сервера идентификации использовал Keykloack
Настройка Keycloack
- Тип доступа public
- Активность Implict Flow
- Адрес возврата до win сервера
- Адрес возврата до nix сервера
- Разрешение CORS между точками доступа
В realm "onec_openid" добавляю пользователя (users) "user", добавляю email "[email protected]" и пароль через вкладку "credentials".
Настройка на стороне 1С
Использую пустую конфигурацию, в ней добавляю Роль "ПолныеПрава". В каждую из баз добавляю пользователя с именем "[email protected]" с правами ПолныеПрава
Конфиг на локальном сервере
Вместо "providerconfig" можно использовать "discovery" и ссылку на ".well-known", но у меня не заработало.
В "clientconfig/scope" указан "id_token token" потому что используется Implicit Flow, с 8.3.20 возможно будет использовать более безопасный "Authorization Code Flow"
По умолчанию в качестве сопоставления для ИмяПользователя берется email, "authenticationClaimName": "email", но можно взять и имя пользователя (preferred_username).
Проверка работоспособности
Тонкий клиент
Недостаток, не сохраняет внутри себя токены (каждый раз нужно вводить логин и пароль)
Google Chrome
Сразу перенаправляет на страницу аутентификации
Либо показывает окно выбора варианта
При успешной аутентификаци загружается рабочее место 1С
При ошибке выдает страницу с ней, в данном случае на сервере 1С nix нет пользовательской лицензии.
Общее
При использовании стандартной темы валится список ошибок подключения шрифтов, возможно решается параметрами установки или настройки
Проверку на подделку JWT не делал, тема отдельного блока тестов.
Непонятен порядок работы 1С с refresh_token, т.к. по умолчанию в keykloack они короткоживущие.
Благодарю за внимание.
Специальные предложения
Просмотры 658
Загрузки 0
Рейтинг 5
Создание 22.10.21 09:00
Обновление 22.10.21 09:00
№ Публикации 1538390
Тип файла Нет файла
Конфигурация Не имеет значения
Операционная система Не имеет значения
Вид учета Не имеет значения
Доступ к файлу Бесплатно (free)
Код открыт Да
См. также
Подбираем сервер для 1C:ERP Промо
На Infostart Meetup Ekaterinburg ведущий разработчик 1С в компании ФТО Виталий Онянов рассказал, как подобрать сервер для 1С:ERP и на какие показатели ориентироваться, чтобы оборудование для высоконагруженной системы оправдало вложения.
26.03.2021 15292 Tavalik 72
Профили управления доступом к объектам в любой конфигурации на БСП
В данной статье рассмотрим механизмы стандартного управления профилями доступа к объектам в любой типовой конфигурации, в основе которой лежит БСП.
17.11.2021 1665 quazare 3
Запрет изменения документа для всех пользователей, кроме автора
Вариант решения вопроса, как закрыть возможность изменить документ для всех пользователей, кроме автора. Подходит для конфигураций, снятых с поддержки, придется внести изменения в конфигурацию. Решение разрабатывалось для УТ 10.3, обычные формы.
12.11.2021 557 shar74 5
Особенности (ограничения) производительного RLS
В своей деятельности при работе с производительным RLS мы сталкиваемся с рядом особенностей (ограничений) данного RLS. В своей статье Ретунский Александр, ведущий программист компании АО «Корпоративные ИТ-проекты» (официальный партнер ИнфоСофт), поделится информацией, полученной опытным путем на ряде задач по производительному RLS.
05.11.2021 777 Alexsandr_Retunskiy 5
Права доступа в 1С:Документооборот 2.1 Промо
В программе 1С:Документооборот ред 2.1 механизм системы прав доступа сильно изменился. С одной стороны, права доступа в данной версии стали проще и быстрее, с другой стороны - права по рабочим группам объектов теперь могут противоречить политикам доступа. Разберемся в данной статье как работает механизм прав доступа в 1с документообороте 2.1.
16.09.2016 88485 vlush78 0
Публикация веб-сервисов 1С 8.3 вручную в Linux
Актуальный пример настройки публикации веб-сервисов под Linux
02.11.2021 394 tubusx 1
Внешняя компонента как REST-API-компонента.
. и совсем немного кода на С[++].
01.11.2021 1096 starik-2005 10
22.10.2021 592 malikov_pro 0
Доработки RLS. Примеры шаблонов. (в т.ч исключения из ограничений) Промо
Допиливаем шаблоны RLS. Даем доступ пользователям к некоторым объектам
19.06.2013 70709 EvilDoc 38
Обновление платформы 1С тонкого клиента с вебсервера, когда сервер 1С ПРОФ
19.10.2021 1442 ser6702 13
Как доработать производительный RLS
Неоднократно в последнее время поступали задачи, когда требовалось доработать новый производительный RLS. В своей статье Ретунский Александр, программист компании АО «Корпоративные ИТ-проекты» (официальный партнер ИнфоСофт) опишет последовательность действий при доработке нового RLS, ключевые моменты и сложности, с которыми столкнулся. В Интернете статей или инструкций, которые подробно и просто описывают – как доработать производительный RLS, не так много и автор делиться своим опытом. В данной статье не будут описаны различия и плюсы/минусы между стандартным и производительным RLS, в Интернете по этому вопросу есть много информации.
18.10.2021 2458 Alexsandr_Retunskiy 4
1С, Linux, облака…
05.10.2021 1032 ArtfulCrom 2
Перекуем Cloud на Oracle. Тестируем размещение 1С в облачной платформе Oracle Cloud.
После цикла публикаций про размещение 1С в облачных сервисах я думал, что все различные варианты рассмотрены и тема для меня закрыта. Однако есть события, мимо которых не пройти. Так вот и сейчас, когда наблюдается аттракцион невиданной щедрости от Oracle, мимо этого просто так не пройти.
02.09.2021 676 capitan 22
Ферма ОДИНа или как управлять множеством Серверов 1С: Предприятие из одной точки
У Вас много серверов приложений 1С Предприятие разных версий и их надо мониторить и администрировать. Новое приложение для управления фермой ОДИНа как раз для тебя.
26.08.2021 1078 khorevaa 8
Доменная аутентификация ОС при бесшовной интеграции 1С:Документооборот 8 КОРП, редакция 2.1 и 1С:ERP Управление предприятием 2 (в клиент-серверном режиме)
Доменная аутентификация ОС при бесшовной интеграции 1С:Документооборот 8 КОРП, редакция 2.1 (2.1.27.1) и 1С:ERP Управление предприятием 2 (2.4.13.103) (в клиент-серверном режиме). Проблема: «После перехода на новую платформу перестала работать доменная аутентификация».
01.06.2021 2415 user1387741 13
Как добыть последнюю версию SQL Server 2012 Native Client
Краткое руководство администраторам 1С по получению свежей версии SQL Server 2012 Native Client, необходимого для работы сервера 1С.
13.05.2021 2142 tedkuban 3
Настройка сборки данных в Performance Monitor Windows Server. Рецепты от Капитана
Каждый опытный сисадмин знает, что лучший показатель ухудшения быстродействия 1С, это главный бухгалтер, движущийся в сторону ИТ отдела со скоростью, превышающей 1.1 м/с. Но только мудрейшие из них настраивают сбор счетчиков, чтобы эта встреча не застала их врасплох. Об этом и поговорим под катом.
07.05.2021 3552 capitan 21
Статистика для кадровика
Вызов отчетов статистики П-4 для кадровика.
05.05.2021 487 VladSmall2020 0
Xubuntu 20.04 для бухгалтера 1С
В публикации представлен необходимый минимум для настройки Xubuntu 20.04 в качестве рабочего места бухгалтера, ведущего учёт в программе 1С: Бухгалтерия 3.0 файловый вариант. Кроме этого, настроено подключение и других сотрудников через тонкий клиент 1С к опубликованной на веб-сервере базе бухгалтерии.
12.04.2021 4812 compil7 25
Подготовка отчетности за 2020 год в условиях ограничений на уровне записей RLS в УПП 1.3
Если предприятие использует ограничения на уровне записей RLS в УПП 1.3 и ограничение на доступ к организациям, бухгалтерскую отчетность за 2020 год (конкретно Пояснения. Раздел 5 "Дебиторская и кредиторская задолженность") сформировать невозможно пользователю, у которого нет прав на чтение всех платежных поручений и кассовых ордеров по всем организациям. Происходит ошибка "У пользователя недостаточно прав на исполнение операции над базой данных.". Данная статья предлагает решение этой проблемы.
29.03.2021 849 ksnik 0
16.03.2021 3718 ardn 10
Установка платформы 1С 8.3.20.1363 и более старших версий на RHEL8 и любые другие rpm-based linux. Решение проблемы установки меньших версий 1С8.3 (webkitgtk3) на RHEL 8 / CentOS 8 / Fedora Linux
08.03.2021 3707 ksnik 47
CRM в облаках
29.01.2021 1352 Plotks2017 1
Как убрать/заблокировать давно удаленных пользователей из Системы взаимодействия
Данная статья будет служить как вспомогательная человеку, столкнувшемуся на своем пути с Системой взаимодействия, и особо особенному человеку, у кого конфигурация 1С:Предприятие 8. Автосервис (1.6.16.153).
22.01.2021 929 user1135816 0
Восстановление пароля в 1С 8.3
Здравствуйте, коллеги! Сегодня поговорим о восстановлении паролей 1С и трудностях, которые могут возникнуть у пользователя в процессе. Сейчас, если пользователь забыл пароль, ему необходимо обращаться к администратору базы, чтобы он сбросил его, назначив новый самостоятельно, либо поставив флаг о том, что при удачной авторизации пользователь может придумать новый пароль самостоятельно. Данная процедура занимает много времени как у пользователя, так и у администратора, отвлекая его от других дел.
Читайте также: