В современных экосистемах автоматизации бизнеса интеграция с внешними сервисами стала стандартом, но иногда возникает необходимость изолировать информационную базу. Администраторы часто сталкиваются с задачей ограничения внешних подключений для повышения безопасности или соответствия внутренним регламентам компании. Отключение механизма OpenID в платформе 1С:Предприятие является одним из ключевых шагов в этом процессе, позволяющим предотвратить несанкционированный вход через сторонние провайдеры идентификации.

Процедура деактивации не всегда очевидна, так как настройки разбросаны по различным интерфейсам конфигурации и самого сервера приложений. Важно понимать, что просто убрать галочку в настройках пользователя может быть недостаточно, если на уровне веб-сервера или кластера серверов разрешены соответствующие протоколы. В этой статье мы детально разберем архитектуру авторизации и предоставим исчерпывающий алгоритм действий для полного отключения данной функции.

Некорректная настройка прав доступа может привести к тому, что легитимные пользователи потеряют возможность работать с системой, либо, наоборот, уязвимости останутся открытыми. Поэтому перед внесением изменений критически важно создать резервную копию конфигурации и файлов базы данных. Мы рассмотрим как программные методы отключения через конфигуратор, так и административные настройки через консоль управления кластером серверов.

Архитектура авторизации и роль OpenID в 1С

Механизм OpenID Connect в платформе 1С:Предприятие 8.3 и выше позволяет использовать внешние системы управления идентификацией для входа в приложение. Это удобно для крупных холдингов, где уже внедрены единые системы аутентификации (SSO), однако для изолированных контуров безопасности такая функция представляет собой лишний вектор атаки. Понимание того, как именно платформа обрабатывает токены доступа, необходимо для грамотного отключения сервиса.

Когда вы инициируете вход через внешний провайдер, система отправляет запрос на сервер авторизации, получает токен и validates его. Если этот канал связи не требуется, его следует разорвать на уровне настроек подключения. В типичных конфигурациях, таких как 1С:ERP или 1С:ЗУП, эти настройки могут быть скрыты в общих модулях или регламентных заданиях, что требует внимательного анализа структуры метаданных.

⚠️ Внимание: Отключение OpenID может повлиять на работу мобильных приложений и внешних сервисов, которые используют этот протокол для синхронизации данных. Перед внесением изменений обязательно проверьте список интегрированных систем.

Стоит отметить, что в некоторых версиях платформы поддержка OpenID включена по умолчанию для упрощения начальной настройки облачных сервисов. Однако в локальных развертываниях (on-premise) эта функция часто остается невостребованной. Администратор должен явно запретить использование внешних провайдеров, чтобы избежать случайных попыток входа через устаревшие или скомпрометированные учетные записи.

📊 Используете ли вы внешнюю авторизацию в 1С?
Да, через Active Directory
Да, через сторонний SSO
Нет, только стандартный вход
Затрудняюсь ответить

Подготовка к изменению настроек безопасности

Прежде чем приступать к техническим манипуляциям, необходимо провести аудит текущей конфигурации прав доступа. Это позволит выявить всех пользователей, которые могут иметь привязку к внешним идентификаторам. Игнорирование этого этапа может привести к ситуации, когда после отключения OpenID часть сотрудников окажется заблокированной без возможности восстановления доступа стандартными средствами.

Рекомендуется выполнить следующие действия в строгой последовательности, чтобы минимизировать риски простоя бизнеса. Каждое действие должно быть задокументировано в журнале изменений информационной системы. Особое внимание следует уделить учетным записям администраторов, так как они часто имеют расширенные права на изменение параметров аутентификации.

  • 📋 Создайте полную резервную копию базы данных и файлов конфигурации на внешний носитель.
  • 👥 Проведите инвентаризацию всех активных пользователей и зафиксируйте способы их текущей авторизации.
  • 🔒 Убедитесь, что у вас есть доступ к учетной записи с полными правами администратора системы (не через OpenID).
  • 📄 Подготовьте список внешних сервисов, которые могут зависеть от данного протокола, для последующей перенастройки.

Если в вашей организации используется доменная структура, убедитесь, что политики безопасности домена не форсируют использование определенных методов входа, которые могут конфликтовать с вашими планами по изоляции 1С. В некоторых случаях требуется согласование изменений с отделом информационной безопасности перед началом работ.

☑️ Чек-лист подготовки к отключению

Выполнено: 0 / 4

Отключение OpenID через интерфейс Конфигуратора

Основной метод управления параметрами аутентификации находится в режиме Конфигуратор. Здесь администратор может напрямую редактировать свойства подключения и общие настройки системы. Для начала откройте конфигурацию в режиме редактирования и перейдите в меню Администрирование или Настройки, в зависимости от версии платформы и типа конфигурации.

Вам необходимо найти раздел, отвечающий за параметры входа. В типовых решениях это часто вкладка Настройки программы -> Общие настройки -> Вход в программу. Здесь может присутствовать флажок, разрешающий вход через внешние системы. Снятие этого флага является первичным шагом, но не всегда гарантирует полное отключение на низком уровне.

Параметры запуска: /DisableOpenID true

В более сложных случаях, когда интерфейс не предоставляет явного переключателя, требуется вмешательство в код общих модулей. Найдите модуль, отвечающий за обработку событий входа, и прокомментируйте вызовы функций, связанных с инициализацией провайдера OpenID. Это требует квалификации разработчика 1С, так как ошибка в коде может нарушить работу всей системы входа.

⚠️ Внимание: Прямое редактирование кода общих модулей без тестирования на копии базы может привести к необратимым ошибкам компиляции. Всегда проверяйте изменения в тестовом окружении.

После внесения изменений в конфигурацию обязательно выполните обновление базы данных. При запуске в режиме предприятия система предложит применить изменения. В этот момент происходит перестройка таблиц регистра сведений, где хранятся настройки аутентификации. Убедитесь, что процесс завершился успешно и без ошибок в журнале регистрации.

Что делать, если кнопка отключения неактивна?

Если интерфейс не позволяет снять галочку, проверьте, не включен ли режим расширенной безопасности или не заблокированы ли настройки ролями доступа. Возможно, требуется временное повышение прав текущего пользователя.

Настройка прав доступа и ролей пользователей

Даже если технический канал связи с провайдером OpenID закрыт, пользователи могут сохранять права на использование альтернативных методов входа, если это разрешено их ролями. В подсистеме НСИ и Администрирование необходимо пересмотреть профили групп доступа. Убедитесь, что ни одна из активных ролей не содержит права на Изменение настроек аутентификации или Использование внешних сервисов.

Особое внимание следует уделить роли Полные права. Часто именно в ней по умолчанию разрешены все возможные действия, включая использование экспериментальных или внешних функций платформы. Создайте копию этой роли, удалите лишние права и назначьте её основным администраторам вместо стандартной роли.

Роль пользователя Право на вход через OpenID Рекомендуемое действие Статус после настройки
Администратор системы Разрешено Запретить Только локальный вход
Главный бухгалтер Запрещено Проверить Без изменений
Менеджер по продажам Разрешено Запретить Только локальный вход
Технический специалист Разрешено Запретить Только локальный вход

Используйте механизм ограничения доступа на уровне записей, если необходимо запретить использование определенных видов аутентификации для конкретных подразделений. Это позволяет гибко управлять безопасностью в больших организациях, где разные отделы могут иметь разные требования к защите данных. Не забудьте обновить права доступа после изменения профилей групп.

Рекомендуется принудительно завершить все сеансы пользователей после внесения изменений в роли, чтобы новые политики безопасности вступили в силу немедленно для всех подключенных клиентов.

💡

Изменение ролей доступа без отключения технического канала OpenID не гарантирует полную защиту, так как опытный пользователь может найти обходной путь.

Блокировка на уровне сервера 1С и IIS

Для гарантированного отключения функции необходимо заблокировать соответствующие запросы на уровне сервера приложений 1С:Предприятие и веб-сервера (например, IIS или Apache). Даже если в конфигурации 1С функция отключена, сервер может продолжать слушать порты или обрабатывать запросы на токены, если это не запрещено в файлах конфигурации кластера.

В консоли администрирования серверов 1С найдите свой кластер и перейдите к свойствам главного сервера. В параметрах запуска или в файле ragent.ini (для Linux) или реестре (для Windows) необходимо проверить параметры, отвечающие за веб-расширения. Отключение HTTP-сервисов, используемых для OAuth, является надежным способом внешнее взаимодействие.

⚠️ Внимание: Блокировка портов или сервисов на уровне ОС может нарушить работу других легитимных веб-сервисов 1С, таких как публикация базы для тонкого клиента через веб-браузер. Действуйте избирательно.

Если ваша база опубликована через веб-сервер, откройте диспетчер служб IIS. Найдите виртуальный каталог вашей базы и проверьте настройки модулей аутентификации. Убедитесь, что модули, связанные с OAuth или OpenID Connect, отключены или удалены из списка обработчиков для данного приложения. Это предотвратит обработку соответствующих заголовков запросов на уровне веб-сервера.

Для продвинутых пользователей можно настроить правила файрвола, которые будут отбрасывать пакеты, идущие на специфические эндпоинты авторизации. Однако этот метод требует глубокого знания сетевой инфраструктуры и может усложнить диагностику проблем в будущем. Предпочтительнее использовать встроенные средства платформы 1С.

Проверка работоспособности и диагностика

После выполнения всех настроек необходимо провести комплексное тестирование системы. Попробуйте войти в базу под разными учетными записями, используя только стандартный логин и пароль. Убедитесь, что кнопки или ссылки, предлагающие вход через социальные сети или корпоративный портал, исчезли из интерфейса или стали неактивными.

Используйте журнал регистрации 1С для мониторинга попыток входа. Отфильтруйте события по типу Вход в систему и проанализируйте детали успешных и неуспешных попыток. Если вы видите записи о попытках использования внешних токенов, значит, где-то остался открытый канал, который требует дополнительного исследования.

  • ✅ Проверьте возможность входа с мобильного устройства (если используется мобильная платформа 1С).
  • ✅ Убедитесь, что внешние отчеты и обработки, требующие авторизации, работают корректно.
  • ✅ Протестируйте работу веб-клиента в различных браузерах (Chrome, Firefox, Edge).
  • ✅ Запустите стресс-тест на нагрузку, чтобы убедиться, что отключение сервиса не повлияло на производительность.

В случае возникновения ошибок вида"Неверное имя пользователя или пароль" при попытке входа через ранее настроенный SSO, система работает корректно — она отвергает внешний токен. Если же система пытается перенаправить пользователя на страницу провайдера, значит, отключение прошло не полностью.

💡

Для быстрой проверки используйте режим отладки или консоль разработчика в браузере (F12), чтобы отследить сетевые запросы при попытке входа. Отсутствие запросов к серверу авторизации подтверждает успешное отключение.

Часто задаваемые вопросы (FAQ)

Можно ли временно включить OpenID обратно без изменения конфигурации?

Да, если вы не удаляли код обработчиков, а только изменили настройки в интерфейсе или права доступа, вы можете быстро вернуть функциональность, восстановив прежние значения параметров или назначив пользователям права на использование внешних сервисов. Однако, если изменения вносились в код, потребуется повторная компиляция и обновление конфигурации.

Влияет ли отключение OpenID на работу 1С:Линк или других облачных сервисов?

Да, сервисы, которые полагаются на единую идентификацию через протокол OpenID, могут перестать работать корректно. В частности, интеграция с некоторыми сервисами 1С:ИТС или внешними маркетплейсами может потребовать перенастройки на использование API-ключей или базовой авторизации вместо токенов доступа.

Нужно ли перезагружать сервер 1С после отключения функции?

В большинстве случаев достаточно перезапустить службу агента сервера 1С или просто завершить все сеансы пользователей, чтобы изменения вступили в силу. Перезагрузка всего сервера ОС требуется только в том случае, если вы вносили изменения в системные переменные окружения или сетевые настройки файрвола.

Что делать, если пользователь забыл пароль после отключения внешнего входа?

Администратор должен сбросить пароль пользователя через консоль управления базой данных или в режиме предприятия (при наличии прав). Поскольку внешний провайдер больше не используется, восстановление пароля возможно только внутренними средствами системы 1С или через процедуру сброса администратором.