С выходом версии платформы 1С:Предприятие 8.3.27 разработчикам и администраторам стал доступен новый штатный механизм — аутентификация с помощью электронной почты. Этот инструмент позволяет не только упростить процесс входа для пользователей, но и реализовать полноценную двухфакторную аутентификацию (2FA) без привлечения сторонних расширений или сложных доработок конфигурации. В данной статье мы подробно разберем, как работает этот механизм, как его правильно настроить и какие нюансы следует учитывать при эксплуатации.
Рассмотрим основные сценарии, в которых данный функционал становится незаменимым. Проанализируем ситуацию: ваша база опубликована в интернете и доступна через веб-клиент или тонкий клиент. Обычной связки логин-пароль в современных реалиях часто бывает недостаточно. Аутентификация по почте решает следующие задачи:
Для того чтобы механизм заработал, нам необходимо выполнить последовательные действия как на уровне параметров информационной базы, так и в настройках конкретных пользователей. Проанализируем каждый этап подробнее.
Первым делом выясним, каким образом будет осуществляться отправка писем. Платформа предлагает два варианта: использование стандартного сервиса фирмы «1С» и использование собственного SMTP-сервера. Важное замечание: на текущий момент (релизы начала 8.3.27) стандартный почтовый сервис 1С может быть недоступен или находиться в стадии отладки. Поэтому мы рекомендуем настраивать собственный почтовый сервер.
Для настройки параметров информационной базы нам потребуется доступ к консоли администрирования или использование программных методов установки параметров. Разберем параметры, которые необходимо задать:
ИспользоватьАутентификациюПочтовымАдресом — устанавливается в значение Истина.АдресСервераSMTP — адрес вашего почтового сервера (например, smtp.yandex.ru или внутренний корпоративный сервер).ПортСервераSMTP — обычно 465 (для SSL) или 587 (для TLS).ПользовательSMTP и ПарольSMTP — учетные данные технического почтового ящика, от имени которого будут уходить уведомления.После того как глобальные параметры заданы, нам необходимо подготовить карточку пользователя. Перейдем в список пользователей в конфигураторе или в интерфейсе «Управление пользователями» (если используется БСП). Выполним следующие действия:
Рассмотрим подробнее настройки безопасности кода подтверждения. В свойствах информационной базы мы можем регулировать следующие параметры:
Многие разработчики при тестировании сталкиваются с ошибкой при включении опции Использовать стандартный сервис отправки. Как отмечается в документации вендора и обсуждениях экспертов, этот сервис может быть временно недоступен. В этом случае при попытке получения кода пользователь увидит системное сообщение об ошибке связи. Выход один — настроить прямой доступ к вашему SMTP-серверу. Убедитесь, что сервер 1С имеет сетевой доступ к указанному почтовому серверу по соответствующим портам.
Одной из приятных особенностей версии 8.3.27 является возможность настройки внешнего вида письма с кодом. Мы можем программно или через свойства конфигурации изменить заголовок и тело сообщения. Это важно для корпоративной гигиены — пользователь должен понимать, от какой системы пришел код. Рассмотрим пример логики настройки шаблона:
В тексте можно использовать теги подстановки. Разберем типичный пример структуры сообщения:
Ваш код подтверждения для входа в 1С:Предприятие: [КодПодтверждения]. Код действителен в течение 5 минут.
Интересно проанализировать, как новый механизм входа по почте соотносится с другими технологиями аутентификации. В платформе 8.3.27 продолжается развитие поддержки JWT-токенов (JSON Web Token). Теперь проверка времени жизни токена стала более строгой, что повышает общую безопасность системы.
Что касается биометрии (FaceID, отпечатки пальцев), то в 1С это реализуется преимущественно через OpenID Connect и внешние провайдеры идентификации (IDP). Если в вашей компании развернут Keycloak или используется Microsoft Azure AD, вы можете настроить вход в 1С через них. В этом случае 1С доверяет результату авторизации внешнего сервиса, который, в свою очередь, может запрашивать биометрию на устройстве пользователя. Аутентификация по почте в данном контексте выступает как более простая и доступная альтернатива «из коробки».
Посмотрим на использование нового механизма с точки зрения мобильного пользователя. Ввод длинного и сложного пароля на экранной клавиатуре смартфона часто вызывает затруднения. Переключение между мобильным приложением 1С и почтовым клиентом происходит мгновенно. Более того, современные мобильные операционные системы умеют автоматически подхватывать код подтверждения из входящего сообщения, что делает процесс входа практически бесшовным.
Подводя итог нашему разбору, выделим ключевые правила успешного внедрения аутентификации по e-mail:
Таким образом, платформа 1С 8.3.27 предоставляет мощный и гибкий инструмент для защиты доступа к данным. Совмещая аутентификацию по почте с использованием защищенных каналов связи и актуальных механизмов JWT, мы получаем современную и безопасную информационную систему.