Developer Menu
Developer Menu
Биометрическая авторизация смартфоном для "1С"
Сервис для 1С работает через использования LoginTap как OpenID SSO провайдера. Обратите внимание, что на данный момент Logintap с 1С работает с вэб клиентом и встроенным тонким клиентом, но не с толстым клиентом.
Вы можете выбрать любой из методов авторизации - Только Биометрия, Только мессенджеры, и Биометрия плюс мессенджеры, в зависимости от ваших потребностей.
Для того чтобы использовать аутентификацию Logintap на вашей информационной базе 1С необходимо:
Вы можете выбрать любой из методов авторизации - Только Биометрия, Только мессенджеры, и Биометрия плюс мессенджеры, в зависимости от ваших потребностей.
Для того чтобы использовать аутентификацию Logintap на вашей информационной базе 1С необходимо:
1. Публикация через web server 1С
Для публикации вашей информационной базы рекомендуется использовать документ расположенный по данной ссылке в вашей инфо базе 1С, где всегда находится последняя версия базы знаний. Если по каким то причинам ссылка выше не открывается, вы можете скачать версию от Марта 2023. Обратите внимание, что документ по первой ссылке принадлежит компании 1С и она поддерживает его актуальность и наполнение.
2. Создать аккаунт и проект на Logintap
2.1. Зарегистрируйте себе аккаунт LoginTap, получите в почту данные для входа в него с почтового ящика support@logintap.com (проверьте спам на всякий случай если сразу не пришло письмо).
2.2. Зайдите в аккаунт, создайте новый проект (Create New Project), в настройках проекта установите Integration Mode - Use with Pre-Integrated product и выберите из списка "1С openid"
2.3. Дайте своему проекту латинское имя и иконку (например, логотип вашей компании). Место отмечено ниже ↓. Если не установить иконку, то будет всегда иконка 1С, а если не установить русское имя (например, название Вашей компании), то везде будет использоваться латинское из поля My Project's Name. На работу системы это не влияет и установить требуется как минимум только латинское имя.
2.4. Выполните последовательную генерацию данных для полей "APPLICATION ID", "API TOKEN" и "1C TOKEN":
2.5. Скачайте внешнюю обработку LoginTapAuth.epf для 1С и установите ее в свою инфо базу. Обработка отвечает за привязку пользователя и добавляет в личный кабинет каждого вашего пользователя возможность привязать мобильное устройство в качестве источника авторизации. Как обычно с обработками, вы можете управлять тем, кому она доступна и так далее.
Код обработки открыт, вы можете самостоятельно проверить его функционал.
Код обработки открыт, вы можете самостоятельно проверить его функционал.
2.6. (НЕОБЯЗАТЕЛЬНО) Для повышения безопасности работы системы, укажите список ваших доменов (где расположены базы ваших 1С) и Логинтап будет работать ТОЛЬКО с этими адресами.
2.7. Выведите данные необходимые для добавления OpenID провайдера в вашу информационную базу, нажав на кнопку "Вывести данные для файла default.vrd" - отмечены ↓↓. Внесение даных к вам рекомендуется делать через прямое редактирование файла default.vrd.
У 1С реализовано 2 варианта взаимодействия с протоколом OpenID - auth_code_flow и imlicit_flow, но для версия 1С платформы ниже 8.3.22 доступна только implicit_flow. Мы рекомендуем всегда использовать auth_code_flow если вы на более высокой версии 1С:
У 1С реализовано 2 варианта взаимодействия с протоколом OpenID - auth_code_flow и imlicit_flow, но для версия 1С платформы ниже 8.3.22 доступна только implicit_flow. Мы рекомендуем всегда использовать auth_code_flow если вы на более высокой версии 1С:
2.8. Выберите режим аутентификации пользователя на мобильном устройстве. На видео в начале показана работа двух режимов - Только Мессенджеры, и Только Биометрия, режим BOTH Biometry AND Messaging по сути делает и то и то - проверяет аутентичность ответа из мессенджера И проверяет биометрию пользователя на телефоне. Более подробно о режимах аутентификации можно прочитать вот здесь. Естественно, что максимально безопасные - оба режима с биометрией.
3. Настроить связку Logintap и 1С
3.1. Скопируйте данные из пункта 2.7 (отмечены ↑↑↑) и добавьте в файл default.vrd который у вас должен был появиться после настройки web server после выполнения пункта 1 данной инструкции.
3.2. Запустите обработку LoginTapAuth.epf из среды вашей инфо базы и укажите в каких разделах вы желаете разместить доступ к ней, например в разделы связанные с настройкой пользователей.
Нажмите "Выполнить". При первом запуске обработки нужно указать данные из полей "ISSUER" и "1C TOKEN" которые были получены на шаге 2.3 выше из проекта LoginTap.
3.3. Если данные указаны верно - запустится стандартная процедура регистрации вашего 1С пользователя в системе.
Сфотографируйте куар код. Дальнейшие события будут развиваться в зависимости от установленного способа авторизации между "Только Биометрия", "Только Мессенджеры", "Биометрия и Мессенджеры". Разницу между типами авторизации смотрите в видео или других разделах сайта.
Сфотографируйте куар код. Дальнейшие события будут развиваться в зависимости от установленного способа авторизации между "Только Биометрия", "Только Мессенджеры", "Биометрия и Мессенджеры". Разницу между типами авторизации смотрите в видео или других разделах сайта.
3.4. Каждый пользователь будет иметь возможность привязать биометрию запустив привязку из раздела в вашей конфигурации, куда вы добавили обработку на шаге 3.2 выше. Первый шаг у пользователя всегда одинаков - сделать привязку биометрии или/и мессенджера из защищенной зоны внутри 1С, то есть после входа по обычному логину и паролю.
Второй шаг это при входе в клиента (на данный момент Logintap работает с вэб клиентом и с тонким клиентом) 1С нажать использовать вход через другой сервис - Logintap.
Второй шаг это при входе в клиента (на данный момент Logintap работает с вэб клиентом и с тонким клиентом) 1С нажать использовать вход через другой сервис - Logintap.
3.5. ВАЖНО!!! Вы можете сохранить возможность пользователей использовать старый способ входа по логину и паролю добавив в deafult.vrd следующую команду в секцию <openidconnect> :
<allowStandardAuthentication>true</allowStandardAuthentication>
Если этого кода нет, или установлено false - 1С будет всегда запрашивать только Биометрию пользователя через Logintap. Данная процедура рекомендуется как True только на первое время, пока все пользователи не привязали себе более безопасную авторизацию.
<allowStandardAuthentication>true</allowStandardAuthentication>
Если этого кода нет, или установлено false - 1С будет всегда запрашивать только Биометрию пользователя через Logintap. Данная процедура рекомендуется как True только на первое время, пока все пользователи не привязали себе более безопасную авторизацию.
4. FAQ по типам авторизации
1. Биометрия + мессаджинг дает максимальное количество проверок устройства пользователя, но реальный уровень защиты примерно равен чистой биометрии.
2. Чистая биометрия также является очень защищенной авторизацией.
3. Только мессенджеры это максимально удобно и быстро, но проверятся минимальное количество точек.
2. Чистая биометрия также является очень защищенной авторизацией.
3. Только мессенджеры это максимально удобно и быстро, но проверятся минимальное количество точек.
Серверная версия новее чем 22. Вэб интерфэйс в полном объеме.
В данном случае выбирайте "Только Биометрия" - пользователю придется каждый раз при входе фотографировать куар код на экране 1С терминала. Это менее удобно, но зато значительно усложняет дистанционное подтверждение входа.
В данном случае выбирайте всегда чтото с мессенджерами, и пользователь сможет увидеть уведомление в телефоне и отказать во входе в эккаунт находясь не у своего компьютера с 1С.
Оплате происходит ежеквартально, по факту выполненных авторизаций или купленного пакета авторизаций. Напрямую или через региональных партнеров Logintap. Оплата возможна безналичным путем. Обратитесь в support@logintap.com на русском языке, если у вас есть вопросы.
Вот и все :)