Организация доступа к рабочим местам

Публикация № 989427

Администрирование - Защита, права, пароли

доступ контроль фрэш управляемые формы

2
Для тех кто работая в облачных сервисах хочет ограничить доступ пользователей к своим базам только с определенных рабочих мест. Под рабочим местом понимается компьютер для тонкого клиента и вэб-браузер для вэб-клиента. Также вы получите возможность оперативно получить информацию кто, когда и с какого рабочего места осуществлял вход в базу.

Сценарии использования.

1. Сотрудники работают в офисе с базой опубликованной на вэб-сервере либо в  облачной базе 1С. Можно ограничить доступ только с компьютеров в офисе, чтобы пользователи не могли запускать базу на своем домашнем компьютере.
2. Компания задействует сотрудников работающих на удаленном доступе. Если сотрудник передаст конкурентам ссылку на базу и свой логин, то запуститься по этой ссылке не получится.

Пока не работает во Фрэш (фреш не поддерживает расширение данных. Поддержка ожидается в начале 2кв 2019).

Описание

Расширение позволяет настроить правила доступа к БД. В настройках учитывается рабочее место, с которого осуществляется подключение, пользователь, выполняющий подключение, а также тип используемого клиента. Расширение «Доступ к рабочим местам» вынесено отдельной строкой в меню программы.

 

Доступ к рабочим местам – отдельная подсистема, в которой расположен весь добавляемый расширением функционал.

В связи с особенностями идентификации рабочего места, описанными в пункте «Идентификация рабочего места», возможно возникновение проблем при использовании расширения в виртуальной среде. Работа расширения в виртуальной среде не тестировалась.

 

Работа с расширением

1. Настройки

 

 

Приоритет:

  1. Выполнение любого условия (или) – Доступ разрешен, если разрешен хоть в одном разрезе
  2. Выполнение всех условий (и) – Доступ запрещен, если запрещен хоть в одном разрезе
  3. Порядок приоритета – Доступность соответствует доступу первой по порядку существующей записи
  • Пользователь
  • Рабочее место
  • Тип клиента

Флаг «Приоритет более детальных записей» - Более приоритетными являются настройки индивидуального пользователя. Настройки по умолчанию имеют самый низкий приоритет.

2. Рабочие места

 

Перечень рабочих мест, когда-либо использовавшихся для подключения к базе. Возможно изменение названия рабочего места и редактирование настроек доступа к выбранному рабочему месту.

Форма редактирования настроек доступа к рабочему месту представляет собой список всех пользователей БД, а также строку с настройками по умолчанию. Для каждого пользователя и для настроек по умолчанию задаются настройки доступа различных типов клиентов (общий доступ, толстый клиент (обычное приложение), толстый клиент (управляемое приложение), тонкий клиент, тонкий клиент (ws)). Для каждого типа клиентов есть три варианта настройки – Авто, Разрешен, Запрещен.

У пользователей с ролью Полные Права всегда будет доступ в БД с любого рабочего места под любым типом клиента, вне зависимости от настроек!

3. Настройка доступа к текущему рабочему месту

Открывает форму редактирования настроек доступа к рабочему месту, с которого осуществлено подключение в БД.

4. Попытки запуска с рабочего места

Журнал, в котором отображаются все попытки подключения к БД пользователями с различных рабочих мест. Список полей журнала: Период, Рабочее место, Пользователь, Тип клиента, Результат, Доступ. Возможен отбор записей по пользователю, рабочему месту, типу клиента и результату. Также непосредственно через журнал возможно изменение настройки доступа, соответствующей любой из попыток подключения, записанных в журнале. При нажатии кнопки «Разрешить» настройка для соответствующего пользователя, рабочего места и типа клиента перейдет в значение «Разрешить», при нажатии кнопки «Запретить» - в значение «Запретить».

5. Предоставление и отмена ранее предоставленного доступа

Существует два варианта задания настройки для доступа к БД с определенного рабочего места.

Первый вариант – администратор с ролью Полные Права подключается к БД с рабочего места, для которого требуется настроить доступ, и выполняет настройку прямо с этого рабочего места. Для этого необходимо открыть форму «Настройка доступа к текущему рабочему месту» и разрешить подключение к БД пользователям, которые будут работать на данном рабочем месте. Возможно либо разрешить подключение с помощью любого типа клиента, либо указать определённые типы клиентов, с которых будет разрешено работать в БД.

 

Второй вариант – пользователь без настроенного доступа пытается подключиться к БД, после чего администратор через журнал «Попытки запуска с рабочего места» редактирует настройку доступа для этого рабочего места. Для этого необходимо выделить соответствующую запись в журнале и нажать кнопку «Разрешить».

Также после попытки подключения пользователем становится доступна форма настройки доступа к рабочему месту, используемому для подключения. Она работает аналогично форме «Настройка доступа к текущему рабочему месту». Для того, чтобы перейти к ней, необходимо открыть форму «Рабочие места», выбрать необходимое рабочее место и перейти на вкладку «Настройки доступа к рабочему месту».

Первый способ является более предпочтительным с точки зрения безопасности, так как при использовании второго способа невозможно надежно установить местоположение рабочего места.

Идентификация рабочего места

При использовании тонкого или толстого клиента для идентификации рабочего места используется серийный номер системного раздела жесткого диска рабочего места (тестировалось на компьютерах с операционной системой Windows Linux (Ubuntu, Debian)). Таким образом, при замене жесткого диска рабочее место будет расцениваться как новое. При использовании веб-клиента для идентификации рабочего места используется информация программы просмотра (веб-браузера). Поэтому рекомендуется запретить пользователям входить с помощью вэб-клиента (браузера), оставив доступ только посредством тонкого клиента.

Типы приложений, под которыми можно настроить вход:

1) Клиентское приложение (все приложения для компьютера, для которых в 1С есть клиентская часть):

            a. Толстый клиент (обычное приложение)

            b. Толстый клиент (управляемое приложение)

            c. Тонкий клиент – локальный тонкий клиент

            d. Тонкий клиент ws –  удалённый тонкий клиент (вход по веб-ссылке)

            e. Внешнее соединение

2) Серверное приложение

            a. Соединение с автоматическим REST API

            b. Веб-сервис

            c. HTTP-сервис

            d. Фоновое задание

            e. Системное фоновое задание

3) Веб-приложение (вход через браузер)

            a. Веб-клиент

4) Мобильное приложение

            a. Мобильный клиент

Для серверных приложений клиентской части нет. Рабочее место – это сервер, поэтому все такие приложения будут иметь одно и то же рабочее место.

Особенности решения

Предоставленные 1С штатные возможности по идентификации рабочего места оказалось легко подделать. Пришлось реализовать свой механизм идентификации рабочего места.

Мы исходили из предположения, что 99% пользователей работают под Windows, поэтому для этого режима реализована наиболее полная защита от фальсификации идентификатора устройства. Обращение идет к параметрам операционной системы через Com-объект.

Рабочее место для Windows (для тонкого и толстого клиента) определяется по:

            1) Серийному номеру основного диска (с Windows)

            2) SID (идентификатор пользователя ОС), который в Windows применяется для разграничения прав пользователей.

Рабочее место для Linux (для тонкого и толстого клиента) определяется по:

            1) Серийному номеру основного диска (с Linux)

Что касается программ просмотра (фактически браузеров), то современная система безопасности браузеров настроена так, чтобы интернет-страница по возможности не получала данные о пользователе и его устройстве, поэтому приходится использовать возможности, предоставленные 1С. Данных по фальсифицируемости в веб-клиенте пока нет.

Работоспособность механизмов проверялась на Google Chrome, Safari, Opera, IE, Мобильный клиент (android).

В мобильном клиенте возможности также ограничены. Фальсифицируемость неизвестна.

Рабочее место для прочих ОС (для тонкого и толстого клиента, внешнего соединения) определяется по «идентификации рабочего места» средствами 1С, так как более надежную идентификацию для таких ОС мы не разрабатывали.

В связи со всем выше сказанным рекомендуется предоставлять сотрудникам доступ только посредством толстого и тонкого клиента (в т.ч. ws для удаленного доступа) под управлением Windows!

Установка расширения

Установка расширения в режиме Предприятия производится в меню НСИ и администрирование > Печатные формы, отчеты и обработки > Расширения > Добавить из файла.

После выбора файла расширения меню необходимо снять флаг «Безопасный режим» и перезапустить 1С:Предприятие.

 

В режиме Конфигуратора установка производится в меню Конфигурация > Расширения конфигурации. В этом случае нужно установить флаги «Безопасный режим» и «Защита от опасных действий» в значения Ложь.

 

Тестировалось на платформе 8.3.1513. Конфигурация Комплексная автоматизация 2.4.6.207

Режим совместимости не ниже 8.3.11 в связи с использованием расширения данных.

Гарантия возврата денег

ООО "Инфостарт" гарантирует Вам 100% возврат оплаты, если программа не соответствует заявленному функционалу из описания. Деньги можно вернуть в полном объеме, если вы заявите об этом в течение 14-ти дней со дня поступления денег на наш счет.

Программа настолько проверена в работе, что мы с полной уверенностью можем дать такую гарантию. Мы хотим, чтобы все наши покупатели оставались довольны покупкой.

Для возврата оплаты просто свяжитесь с нами.

2

Скачать файлы

Наименование Файл Версия Размер
29.01.2019
1.0.0.4 0 5000 руб.

Моментальная
доставка

29.01.2019
0 2400 руб.


Новый вопрос

E-mail*
Тема (вопрос)*

См. также

Специальные предложения