Отключение OpenID Connect в 1С: пошаговые инструкции и нюансы

Интеграция современных протоколов безопасности с классическими ERP-системами часто становится вызовом для администраторов информационных систем. Внедрение стандарта OpenID Connect (OIDC) в платформу 1С:Предприятие позволяет организовать единую точку входа (SSO), но иногда требуется временно или полностью деактивировать этот механизм. Причины могут быть разными: от отладки конфигурации и тестирования локальных пользователей до смены провайдера идентификации или проблем с сетевой доступностью сервера авторизации.

Процесс отключения не сводится к одной кнопке в интерфейсе, так как настройка затрагивает несколько уровней архитектуры приложения. Вам придется взаимодействовать с настройками веб-сервера (IIS или Apache), редактировать служебные файлы конфигурации и, возможно, вносить изменения в параметры самой информационной базы. Неправильное выполнение шагов может привести к тому, что пользователи вообще потеряют возможность входа в систему, поэтому действовать нужно последовательно и осторожно.

В данной статье мы подробно разберем все этапы отключения внешнего провайдера идентификации. Мы рассмотрим, как вернуть классическую форму авторизации, какие файлы нужно править вручную и как проверить работоспособность системы после внесения изменений. Особое внимание уделим нюансам работы с файлом file.cfg и настройками кластера серверов, так как именно там чаще всего скрыты ключи активации внешнего входа.

Понимание архитектуры аутентификации в 1С

Прежде чем приступать к отключению, важно четко представлять, как именно OpenID Connect встроен в ваш контур безопасности. В платформе 1С:Предприятие 8.3 и выше поддержка OIDC реализуется через механизм расширений аутентификации. Когда пользователь открывает веб-клиент или толстый клиент в режиме веб-сервера, система перенаправляет запрос на внешний сервер авторизации (например, Keycloak, ADFS или Azure AD).

Если этот механизм активен, стандартная форма ввода логина и пароля 1С не отображается. Вместо этого происходит HTTP-редирект. Отключение подразумевает разрыв этой цепочки перенаправлений и возврат к локальной проверке учетных данных, хранящихся в файле ibases.v8i или в самой информационной базе. Архитектура безопасности в данном случае зависит от того, используется ли файловый вариант или клиент-серверный.

В клиент-серверном варианте настройки часто дублируются на уровне кластера серверов 1С и на уровне веб-сервера. Это создает дополнительную сложность: даже если вы отключите модуль в IIS, сервер 1С может по-прежнему ожидать заголовки от провайдера. Необходимо убедиться, что все компоненты системы синхронизированы в своем ожидании"локального" входа.

⚠️ Внимание: Перед внесением любых изменений в конфигурационные файлы обязательно создайте их резервные копии. Ошибка в синтаксисе файла web.config может привести к полной недоступности веб-приложения с кодом ошибки 500.

Также стоит учитывать версию платформы. В более ранних обновлениях механизм настройки мог отличаться от актуальных релизов, где параметры вынесены в графический интерфейс консоли администрирования. Проверьте документацию к вашей конкретной версии Platform 8.3, чтобы убедиться в актуальности путей к настройкам.

Отключение через настройки веб-сервера IIS

Наиболее распространенный сценарий развертывания 1С в вебе подразумевает использование Microsoft IIS. Именно здесь часто настраиваются модули аутентификации, перехватывающие запросы до того, как они достигнут обработчика 1С. Для отключения OIDC необходимо зайти в диспетчер служб IIS и выбрать сайт, на котором размещена ваша база.

В разделе Authentication (Аутентификация) следует проверить активные модули. Если там включен провайдер, связанный с OpenID Connect или сторонним модулем SSO, его необходимо перевести в статус Disabled. Однако часто настройка реализована не через стандартные модули IIS, а через правила URL (URL Rewrite), которые перенаправляют запросы на внешний сервер.

Откройте файл web.config, расположенный в корне директории веб-приложения 1С. Найдите секцию, отвечающую за rewrite rules. Обычно она содержит условия проверки токенов или перенаправления на адрес провайдера identity. Эти правила нужно закомментировать или удалить. Пример пути к файлу может выглядеть как C:\inetpub\wwwroot\mybase\web.config.

🔍 Проверьте наличие секции <openid-connect> или аналогичной в файле конфигурации веб-сервера.
🛑 Отключите модули аутентификации третьих сторон в оснастке IIS Manager.
💾 Сохраните копию оригинального web.config перед редактированием.

После изменения файла конфигурации обязательно выполните команду iisreset в командной строке с правами администратора. Это перезапустит пул приложений и применит новые настройки. Без этого шага изменения могут не вступить в силу, и система продолжит работать в старом режиме, игнорируя ваши правки.

💡

Если после отключения модулей IIS вы все еще видите страницу входа провайдера, очистите кэш браузера и куки. Старые сессионные данные могут форсировать редирект.

Редактирование файла file.cfg и параметров запуска

Помимо веб-сервера, критически важным элементом является файл file.cfg, который находится в каталоге установки платформы 1С или в директории конкретной базы. Этот файл содержит параметры, управляющие поведением клиента и сервера при старте. В контексте OpenID Connect здесь могут быть прописаны адреса серверов авторизации и флаги включения внешнего входа.

Откройте файл file.cfg в текстовом редакторе (например, Notepad++). Вам нужно найти параметры, начинающиеся с префикса, указывающего на OIDC или SSO. Часто это параметры вида UseExternalAuth или ссылки на IdentityServerUrl. Значение таких параметров следует изменить на 0 или просто закомментировать строку символом ;.

Если вы используете ярлыки для запуска 1С, проверьте их свойства. В поле"Объект" может быть прописан ключ командной строки, принудительно включающий определенный режим аутентификации. Удалите ключи, связанные с внешним входом, чтобы система использовала настройки по умолчанию.

; Пример строки, которую нужно закомментировать или удалить
UseOpenIDConnect=1
IdentityProvider=https://auth.example.com

Важно понимать, что изменение file.cfg влияет на все запуски, использующие эту конфигурацию. Если у вас несколько пользователей, убедитесь, что файл имеет соответствующие права доступа, но при этом изменения применимы ко всем необходимым рабочим местам. В некоторых случаях этот файл может дублироваться в профиле пользователя.

☑️ Проверка настроек file.cfg

Найти файл file.cfg в каталоге платформы:Сделать резервную копию файла:Найти параметры OIDC и закомментировать их:Проверить ярлыки запуска на наличие ключей аутентификации

Выполнено: 0 / 1

Настройка в консоли администрирования серверов 1С

Для клиент-серверного варианта работы настройки могут храниться непосредственно в кластере серверов 1С. Запустите консоль администрирования серверов 1С (ras) и подключитесь к вашему кластеру. Перейдите к свойствам информационной базы, для которой требуется отключить внешний вход.

В свойствах базы найдите раздел, отвечающий за параметры аутентификации. В современных версиях платформы там может быть явный чекбокс или параметр, разрешающий использование внешних провайдеров. Снимите галочку или измените значение параметра на False. Это запретит серверу 1С принимать токены от внешнего источника и заставит его требовать стандартную пару логин-пароль.

Параметр	Значение при OIDC	Значение для отключения	Описание
AllowExternalAuth	True	False	Разрешение внешней аутентификации
OIDC_Provider_URL	https://...	(пусто)	Адрес сервера авторизации
AuthMode	OIDC	Standard	Режим проверки подлинности
UseSAML	True	False	Использование протокола SAML (часто сопутствует OIDC)

После изменения свойств в консоли администрирования необходимо перезапустить службу сервера 1С (1C:Enterprise 8.3 Server Agent). Это гарантирует, что кэш конфигурации кластера обновится и новые правила безопасности начнут действовать немедленно для всех новых сессий.

⚠️ Внимание: Изменение параметров в консоли администрирования требует прав администратора кластера. Убедитесь, что у вашей учетной записи есть необходимые привилегии, иначе изменения не сохранятся.

Что делать, если консоль не подключается?

Если консоль администрирования не видит кластер, проверьте службу"Агент сервера 1С:Предприятия". Она должна быть запущена. Также проверьте брандмауэр Windows, который может блокировать порт 1541 (по умолчанию).

Возврат к стандартной форме авторизации

После выполнения всех технических манипуляций следующим шагом является проверка того, что система действительно вернулась к стандартному поведению. При попытке входа через веб-клиент вы должны увидеть классическое окно ввода имени пользователя и пароля 1С, а не страницу входа корпоративного портала.

Если форма входа все еще перенаправляет вас на внешний ресурс, возможно, кэширование происходит на уровне браузера или балансировщика нагрузки (если он используется). Попробуйте открыть ссылку в режиме инкогнито. Также проверьте, не настроена ли принудительная авторизация в самой конфигурации 1С через механизмы расширения.

В некоторых случаях в конфигурации 1С могут быть прописаны обработчики события ПриНачалеРаботыСистемы, которые программно инициируют внешний вход. Зайдите в конфигуратор с правами администратора базы данных и проверьте наличие такого кода. Если он есть, его нужно закомментировать или удалить.

🔄 Очистите кэш браузеров всех тестируемых пользователей.
💻 Проверьте запуск толстого клиента — он также не должен запрашивать внешний токен.
📝 Убедитесь, что локальные пользователи 1С активны и имеют корректные пароли.

Важно протестировать вход под разными учетными записями. Иногда настройки могут применяться выборочно в зависимости от роли пользователя или группы безопасности, к которой он принадлежит. Убедитесь, что отключение затронуло всех пользователей без исключения.

💡

Полный возврат к стандартной аутентификации возможен только при синхронном отключении OIDC на уровне веб-сервера, кластера 1С и в конфигурации базы данных.

Диагностика возможных ошибок после отключения

Процесс отключения сложного механизма аутентификации редко проходит абсолютно гладко. Вы можете столкнуться с ситуацией, когда вход не работает ни по старому, ни по новому сценарию. Типичной ошибкой является сообщение о невозможности соединения с сервером или отказ в доступе из-за неверных учетных данных, даже если пароль верный.

В первую очередь обратитесь к журналам регистрации 1С. Включите подробное протоколирование событий аутентификации. В логах вы увидите, какой именно модуль пытается обработать вход и на каком этапе происходит сбой. Ищите записи с типами событий Authentication или Security.

Если веб-сервер выдает ошибку 401 Unauthorized или 403 Forbidden сразу после отключения OIDC, это может означать, что в IIS остались правила доступа, которые разрешают вход только авторизованным через провайдер пользователям. Проверьте настройки Authorization Rules в диспетчере IIS и добавьте разрешение для всех пользователей или конкретных групп Windows.

⚠️ Внимание: Интерфейсы и названия параметров могут отличаться в зависимости от обновления платформы 1С и версии веб-сервера. Всегда сверяйтесь с официальной документацией к вашему конкретному релизу ПО.

Также возможна ситуация"конфликта идентичностей", когда пользователь с таким же именем существует и в Active Directory (или другом провайдере), и в локальной базе 1С, но с разными правами. После отключения OIDC система начнет использовать локальную запись, что может привести к потере доступа к определенным функциям, если права не были продублированы.

💡

Ведите журнал изменений. Записывайте каждый измененный параметр и файл. Это позволит быстро откатиться назад, если отключение OIDC приведет к критическому простою работы предприятия.

Можно ли временно отключить OIDC без перезагрузки сервера?

В большинстве случаев изменения в web.config применяются автоматически без полной перезагрузки службы IIS, достаточно обновления пула приложений. Однако изменения в консоли администрирования серверов 1С обычно требуют перезапуска службы"Агент сервера 1С:Предприятия" для вступления в силу.

Что делать, если забыли пароль локального администратора после отключения SSO?

Если единственный способ входа был через OIDC, а локальный пароль администратора неизвестен, потребуется доступ к серверу баз данных (MSSQL или PostgreSQL). Можно сбросить пароль пользователя в таблице системных настроек базы данных, но это рискованная операция, требующая остановки базы.

Влияет ли отключение OIDC на работу мобильных клиентов 1С?

Да, мобильные клиенты также используют механизм аутентификации, настроенный на сервере. Если они были настроены на работу через внешний провайдер, после отключения OIDC потребуется ввести локальные учетные данные в настройках подключения на мобильном устройстве.

Нужно ли удалять сертификаты, использованные для OIDC?

Удалять сертификаты не обязательно, если вы планируете потенциальное возвращение к OIDC в будущем. Достаточно отключить их использование в настройках. Однако, если сертификат скомпрометирован или истек, его следует отозвать в центре сертификации.

Как проверить, что трафик больше не идет на сервер авторизации?

Используйте сетевые утилиты, такие как Wireshark или встроенный мониторинг ресурсов Windows. При попытке входа не должно быть исходящих HTTPS запросов на адрес вашего Identity Provider. Отсутствие таких запросов подтверждает успешное отключение маршрутизации аутентификации.

Как отключить аутентификацию OpenID Connect в 1С