Настройки авторизации в 1с документообороте
Мы в фирме 1С широко используем собственные разработки для организации работы компании. В частности, «1С:Документооборот 8». Помимо управления документами (как следует из названия) это ещё и современная ECM-система (Enterprise Content Management — управление корпоративным контентом) с широким набором функциональных возможностей – почта, рабочие календари сотрудников, организация совместного доступа к ресурсам (например, бронирование переговорных), учёт рабочего времени, корпоративный форум и многое другое.
В фирме 1С документооборотом пользуется более тысячи сотрудников. База данных стала уже внушительной (11 млрд. записей), а это значит, что она требует более тщательного ухода и более мощного оборудования.
Как устроена работа нашей системы, с какими сложностями при обслуживании базы мы сталкиваемся и как их решаем (в качестве СУБД мы используем MS SQL Server) – расскажем в статье.
Для тех, кто впервые читает про продукты 1С.
1С:Документооборот — это прикладное решение (конфигурация), реализованное на базе фреймворка для разработки бизнес-приложений — платформе 1С:Предприятие.
«1С:Документооборот 8» (сокращённо – ДО) позволяет автоматизировать работу с документами на предприятии. Один из основных инструментов взаимодействия сотрудников – электронная почта. Помимо почты ДО также решает и другие задачи:
А ещё благодаря подключенному к Документообороту другому нашему продукту – Системе взаимодействия – мы непосредственно в Документообороте получаем функциональность мессенджера – чаты, аудио и видеозвонки (включая групповые, что сейчас стало особенно актуально, в том числе и с мобильного клиента), быстрый обмен файлами плюс возможность написания чат-ботов, упрощающих работу с системой. Ещё один плюс от использования Системы Взаимодействия (по сравнению с другими мессенджерами) – возможность вести контекстные обсуждения, привязанные к конкретным объектам Документооборота – документам, мероприятиям и т.п. То есть Система взаимодействия глубоко интегрируется с целевым приложением, а не выступает просто «отдельной кнопкой».
Число писем в нашем ДО уже перевалило за 100 млн., а вообще в СУБД – более 11 млрд. записей. Суммарно система использует почти 30 Тб хранилища: объём базы – 7,5 Тб, файлы для коллективной работы лежат отдельно и занимают ещё 21 Тб.
Если говорить о более конкретных цифрах, то вот количество писем и файлов на данный момент:
На каком оборудовании мы всё это обрабатываем?
Эти цифры говорят о внушительном объёме задач, так что перед нами встала необходимость выделить под нужды внутреннего ДО довольно производительное оборудование. На текущий день его характеристики следующие: 38 ядер, 240 Гб ОЗУ, 26 Тб дисков. Приводим таблицу серверов:
В будущем мы планируем наращивать мощность оборудования.
Как обстоят дела с загрузкой серверов?
Сетевая активность никогда не была проблемой ни у нас, ни у наших заказчиков. Как правило, слабое место – это процессор и диски, потому что с нехваткой памяти все уже бороться умеют. Приведём скриншоты наших серверов из Resource Monitor, на которых видно, что у нас никакой страшной нагрузки нет, она весьма скромная.
Например, на скриншоте ниже мы видим SQL-сервер, где ЦПУ загружен на 23%. И это очень хороший показатель (для сравнения: если загрузка будет приближаться к 70%, то, скорее всего, сотрудники будут наблюдать довольно существенные замедления работы).
На втором скриншоте показан сервер приложений, на котором работает платформа 1С:Предприятие – он обслуживает только пользовательские сеансы. Здесь нагрузка процессора несколько больше – 38%, она ровная и спокойная. Загрузка диска есть, но она приемлемая.
Третий скриншот показывает ещё один сервер 1С:Предприятия (он второй, у нас их два в кластере). Только предыдущий обслуживает пользователей, а на этом работают роботы. Например, принимают почту, маршрутизируют документы, выполняют обмен данными, считают права и т.п. Все эти фоновые активности выполняют примерно 90-100 фоновых заданий. И вот этот сервер загружен очень сильно – на 88%. Но на людях это не сказывается, и он реализует как раз всю ту автоматику, которую должен делать Документооборот.
Какие есть метрики для определения эффективности работы?
У нас в ДО встроена серьёзная подсистема замеров показателей производительности и вычислений различных метрик. Это нужно для того, чтобы и в текущий момент времени, и в исторической перспективе понимать, что в системе происходит, что становится хуже, что становится лучше. Средства мониторинга – метрики и замеры времени – входят в типовую поставку «1С:Документооборот 8». Метрики требуют настройки на внедрении, но сам механизм типовой.
Метрики – это замеры различных бизнес-показателей в те или иные моменты времени (например, среднее время доставки почты в моменте 10 минут).
Одна из метрик показывает количество активных пользователей в базе. В среднем их 1000-1400 в течение дня. На графике видно, что на момент скриншота в базе было 2144 активных пользователя.
Таких действий больше 30, список под катом.
На позапрошлой неделе у нас средняя активность пользователей увеличилась в полтора раза (на графике показана красным) – это связано с переходом большинства сотрудников на удалённую работу (в связи с известными событиями). Также число активных пользователей увеличилось в 3 раза (на скрине показаны синим), так как сотрудники стали активно пользоваться мобильными: каждый мобильный клиент создаёт подключение к серверу. Сейчас в среднем на каждого нашего сотрудника приходится 2 подключения к серверу.
Для нас, как для администраторов, это сигнал, что нужно внимательнее относиться к вопросам быстродействия, смотреть, не стало ли хуже. А смотрим мы это по другим параметрам. Например, как меняется время доставки почты по внутренней маршрутизации (на скриншоте ниже показано синим). Мы видим, что оно до этого года скакало, а сейчас стабильное – для нас это показатель, что с системой всё в порядке.
Ещё одна прикладная метрика для нас – среднее время ожидания загрузки писем с почтового сервера (на скриншоте показана красным). Грубо говоря, сколько будет письмо гулять по Интернету, прежде чем оно окажется у нашего сотрудника. На скриншоте видно, что это время тоже никак не изменилось за последнее время. Есть отдельные всплески – но они связаны не с задержками, а с тем, что время сбивается на почтовых серверах.
Или, например, ещё метрика (на скриншоте показана синим) – обновление писем в папке. Открытие папки писем – очень частая операция, и нужно, чтобы она выполнялась быстро. Мы замеряем, с какой скоростью она выполняется. Этот показатель измеряется для каждого клиента. Можно посмотреть как общую картину по фирме, так и динамику, например, по отдельному сотруднику. По скриншоту видно, что до этого года метрика была неуравновешенна, потом мы сделали ряд улучшений, и сейчас она не становится хуже – практически ровный график.
Метрики – это, в основном, инструмент администратора для мониторинга системы, для быстрого реагирования на какие-то изменения в поведении системы. На скриншоте – метрики внутреннего ДО за год. Скачок на графиках обусловлен тем, что перед нами поставили задачи по развитию внутреннего ДО.
Вот перечень еще некоторых метрик (под катом).
- Активность пользователей
- Активные пользователи
- Активные процессы
- Количество файлов
- Размер файлов (Мб)
- Количество документов
- Количество объектов к отправке адресатам
- Количество контрагентов
- Невыполненные задачи
- Среднее время ожидания загрузки писем с почтового сервера за последние 10 минут
- Внешний буфер данных: количество файлов
- Отставание границы от текущей даты
- Долгая очередь
- Оперативная очередь
- Возраст необработанной учётной записи по внешней маршрутизации
- Размер очереди приемки по внутренней маршрутизации (долгая очередь)
- Размер очереди приемки по внутренней маршрутизации (быстрая очередь)
- Время доставки почты по внутренней маршрутизации (долгая очередь)
- Время доставки почты по внутренней маршрутизации (быстрая очередь)
- Время доставки почты по внешней маршрутизации (среднее)
- Число документов Бронирование
- Число документов Отсутствие
- Число документов «Запись о работе с контрагентом»
- Почта Обновление писем в папке
- Почта Открытие карточки письма
- Почта Перенос письма в папку
- Почта Переход по папкам
Наша система круглосуточно делает замеры более 150 показателей, но не все из них можно оперативно отслеживать. Они могут пригодиться потом, в какой-нибудь исторической перспективе, а сосредоточиться можно на самых важных для бизнеса.
На одном из внедрений было выбрано, например, только 5 показателей. Заказчик поставил перед собой цель сделать минимальный набор показателей, но в то же время такой, чтобы он покрывал основные сценарии работы. Включать в акт приёма 150 показателей было бы неоправданно, потому что даже внутри предприятия сложно согласовать, какие показатели считать приемлемыми. А про эти 5 показателей они знали и уже предъявляли их к системе до начала проекта внедрения, включив в конкурсную документацию: время открытия карточки не более 3 секунд, время исполнения задачи с файлом не больше 5 секунд и т.д. У нас в ДО как раз и были метрики, которые очень чётко отражали исходный запрос из ТЗ заказчика.
А ещё у нас есть профильный анализ замеров производительности. Показатели производительности – это фиксация длительности каждой выполняющейся операции (запись письма в базу, отправка письма на почтовый сервер и т.д.). Это используется исключительно техническими специалистами. Показателей производительности у нас в программе копится очень много. Сейчас мы измеряем примерно 1500 ключевых операций, которые разбиты по профилям.
Один из наиболее важных для нас профилей – «Список ключевых показателей почты с точки зрения потребителей». Этот профиль включает в себя, например, следующие показатели:
- Выполнение команды: Отбор по тегу
- Открытие формы: Форма списка
- Выполнение команды: Отбор по папке
- Отображение письма в области чтения
- Сохранение письма в любимую папку
- Поиск писем по реквизитам
- Cоздание письма
Как мы обслуживаем такую большую базу данных?
Наш внутренний ДО – пример реально работающего высоконагруженного проекта. Расскажем о технических особенностях его базы данных.
Сколько времени идёт реструктуризация больших таблиц базы данных?
SQL-сервер требует периодического обслуживания, наведения порядка в таблицах. По-хорошему это нужно делать минимум раз в сутки, а для высоковостребованных таблиц – ещё чаще. Но если база большая (а у нас число записей уже перевалило за 11 млрд.), то ухаживать за ней непросто.
Мы делали реструктуризацию таблиц 6 лет назад, но потом она стала занимать столько времени, что мы уже не вписывались в ночные интервалы. А так как эти операции сильно нагружают SQL-сервер, он не может качественно обслуживать других пользователей.
Поэтому сейчас нам приходится применять различные ухищрения. Например, мы не можем выполнять эти процедуры на полных наборах данных. Приходится прибегать к процедуре Update Sample 500000 rows – это занимает 14 минут. Она выполняет обновление статистики не по всем данным таблицы, а отбирает полмиллиона строк, и по ним рассчитывает статистику, которую использует для всей таблицы. Это некоторое допущение, но мы вынуждены на него идти, потому что для конкретной таблицы сбор статистики по всему миллиарду записей будет выполнятся неприемлемо долгое время.
Другие операции обслуживания мы тоже оптимизировали, сделав их частичными.
Обслуживание СУБД – это вообще сложная задача. В случае активного взаимодействия сотрудников, база быстро разрастается, администраторам становится всё тяжелее обслуживать её – делать обновления статистики, дефрагментацию, индексацию. Здесь надо применять разные стратегии, мы хорошо знаем, как это делать, у нас есть опыт, мы можем им делиться.
Как реализован бэкап при таких объёмах?
Полный бэкап СУБД производится раз в день ночью, инкрементальный – каждый час. Также каждый день создаётся каталог файлов, и он является порцией инкрементального бэкапа файлового хранилища.
Сколько времени выполняется полный бэкап?
На жёсткий диск полный бэкап выполняется за три часа, частичный – за час. На ленту пишется дольше (спецустройство, которое делает резервную копию на специальную кассету, хранящуюся вне офиса; на ленту делают отчуждаемую копию, которая сохранится, если, например, серверная сгорит). Бэкап делается ровно на том же сервере, параметры которого были выше – SQL-сервер с 20% загрузки процессора. На момент бэкапа, конечно же, системе становится значительно хуже, но она всё равно работоспособна.
Есть ли дедупликация?
Дедупликация файлов есть, обкатываем её на себе, и скоро она войдёт в новую версию Документооборота. Также обкатываем на себе механизм дедупликации контрагентов. Дедупликации записей на уровне СУБД нет, так как в этом нет необходимости. Платформа 1С:Предприятие хранит в СУБД объекты, и только платформа может отвечать за их согласованность.
Есть ноды только для чтения?
А помеченные на удаление письма совсем не удаляются?
Пока нет. Задачи облегчить базу у нас нет. Было несколько довольно серьёзных случаев, когда приходилось обращаться к помеченным на удаление письмам, в том числе и 2009 года. Поэтому пока решили хранить всё. А вот когда стоимость этого станет неоправданной, будем думать про удаление. Но, если нужно какое-то отдельное письмо удалить из базы с концами, чтобы не было никаких следов, то такое можно сделать по спецзапросу.
А зачем это хранить? Есть статистика обращений к старым документам?
Именно статистики нет. Точнее, она есть в виде протокола работы пользователей, но он хранится недолго. Записи старее года стираются из протокола.
Ситуации, когда надо было поднять старую переписку пятилетней и даже десятилетней давности, были. И это всегда делалось не из праздного любопытства, а для принятия сложных бизнес-решений. Был случай, когда без истории переписки было бы принято неправильное бизнес-решение.
Как проводится экспертиза ценности и уничтожение документов согласно срокам хранения?
Для бумажных документов это делается обычным традиционным способом, как и у всех. Для электронных не делаем – пусть себе хранятся. Место есть. Польза есть. Всем хорошо.
Какие перспективы развития есть?
Сейчас наш ДО решает примерно 30 внутренних задач, часть которых мы перечисляли в начале статьи. Также ДО используется для подготовки конференций, которые мы дважды в год проводим для наших партнёров: вся программа, все доклады, все параллельные секции, залы – всё это верстается в ДО, а потом выгружается из него, и делается печатная программа.
На подходе для ДО ещё несколько задач, помимо тех, что он уже решает. Есть общефирменные задачи, а есть уникальные и редкие, нужные только какому-то конкретному подразделению. Необходимо им помогать, а значит, расширять «географию» использования системы внутри 1С – расширять область применения, решать задачи всех подразделений. Это стало бы лучшим тестом на производительность и надёжность. Хотелось бы увидеть работу системы на триллионах записей, петабайтах информации.
Доменная аутентификация ОС при бесшовной интеграции 1С:Документооборот 8 КОРП, редакция 2.1 (2.1.27.1) и 1С:ERP Управление предприятием 2 (2.4.13.103) (в клиент-серверном режиме). Проблема: «После перехода на новую платформу перестала работать доменная аутентификация».
Доменная аутентификация ОС при бесшовной интеграции 1С:Документооборот 8 КОРП, редакция 2.1 (2.1.27.1) и 1С:ERP Управление предприятием 2 (2.4.13.103) (в клиент-серверном режиме)
Обратился клиент с проблемой: «После перехода на новую платформу перестала работать доменная аутентификация» (рисунок 1)
Рисунок 1. Ошибка аутентификации
Продолжительный поиск в сети позволил сделать следующее заключение – если база 1С:ERP работает в клиент-серверном режиме, все запросы на подключение к веб-сервису 1С:Документооборот пойдут через сервер 1С, и авторизоваться будет пользователь, под которым запущен rphost. Пробросить доменное имя пользователя с клиента на сервер нельзя, т.к. это не позволяет сделать платформа 1С:Предприятие (8.3.16.1876).
Однако опытным путем был найден способ обойти это ограничение.
Для того, чтобы победить и заставить авторизацию работать так как мы хотим нужно сделать следующие шаги:
Важно! При выполнении последующих условий интегрированный функционал при доменной аутентификации работает для всех пользователей.
1) Включить доменную авторизацию на операционной системе сервера (Windows)
2) Запустить службы 1С под системной учетной записью 1С (полные права, через домен) (рисунок 2).
Рисунок 2. Запуск службы
3) Настройки для пользователей в ДО и ERP (рисунок 3)
Рисунок 3. Настройки пользователей
4) Первый вход после перезапуска должен быть выполнен под системной учетной записью 1С.
В результате проведенных действий при входе в интегрированную в 1С:ERP (2.4.13.103) систему 1С:Документооборот 8 КОРП (2.1.27.1), не потребуется ввода пароля пользователя, т.к. будет срабатывать аутентификация операционной системы.
Специальные предложения
Добрый день. Уточните, пожалуйста, "при входе в интегрированную в 1С:ERP (2.4.13.103) систему 1С:Документооборот 8 КОРП (2.1.27.1), не потребуется ввода пароля пользователя, т.к. будет срабатывать аутентификация операционной системы." - пользователь в этом случае будет авторизован в 1С:ДО под своим сетевым именем (и видеть свои задачи) или под "системной учетной записью 1С"?
(3) извините, но это в корне неверное утверждение
См. примечание в описании настроек
Цитата (для тех, у кого нет доступа на ИТС):
"ВНИМАНИЕ! При работе интегрируемого прикладного решения в клиент-серверном варианте для Windows-авторизации будут использоваться данные той учетной записи, под которой работает служба сервера 1С:Предприятия."
Веб-соединение, инициализированное на стороне интегрируемого 1С-приложения будет открыто из под пользователя учетной записи службы сервера, непосредственно обслуживающего эту ИБ (в случае клиент-серверного варианта развертывания интегрируемой ИБ). Собственно, для этого нам и нужен пользователь USR1CV8 в базе ДО (в Вашем примере 1cservice).
Таким образом, если в интегрируемом приложении в настройках интеграции, например, взвести флаг "Задачи и процессы" - пользователь, открывший базу, на форме задач в интегрируемой ИБ увидит не свои задачи, а задачи пользователя 1cservice.
Заявляю это все весьма ответственно, так как не просто прочитал ИТС, но и протестировал.
Так что вариант такой авторизации подходит только в том случае, если у вас все задачи и прочее - "общим скопом" и неважно, что кому назначено и кто что согласует и т.д.
(14) Кстати, вариант увидеть "свои" задачи все-таки есть. Для этого надо открыть интегрируемое приложение в толстом клиенте из-под пользователя с доменной авторизацией. Ну и такой же пользователь должен быть создан в базе ДО. В этом случае веб-соединение инициализируется на клиентском ПК и доменная авторизация проходит под пользователем, открывшим толстый клиент.
Поделитесь опытом у кого получилось. Сделали все по пунктам, но в учетной системе просит логин и пароль пользователя ДО.
БИД 1.1.15.1 Платформа 8.3.17.1496
В связи с развитием законодательных требований к организации юридически-значимого электронного документооборота сейчас трудно найти компанию, которая не столкнулась бы с необходимостью выбора программного продукта, на базе которого можно эффективно организовать электронный документооборот с контрагентами и контролирующими органами. Фирма 1С, стоящая у истоков автоматизации процессов учета и документооборота в нашей стране, предлагает готовое современное решение, позволяющее обмениваться документами с соблюдением всех необходимых формальностей.
Подключение модуля 1С:ЭДО доступно практически во всех типовых конфигурациях 1С. Сейчас это коробочный сервис, доступный бесплатно подписчикам ИТС, использующим основные типовые конфигурации 1С. В данной статье мы расскажем о функционале и возможностях конфигурации 1С:Документооборот для решения практических задач организации юридически-значимого ЭДО.
Электронные документы от контрагентов, подписанные электронно-цифровой подписью, поступают в 1С:Документооборот через модуль 1С:ЭДО. Настройки получения и отражения в учете позволяют гибко регулировать правила и шаблоны создания документов учета.
Все электронные документы, отраженные в учете, становятся в 1С:Документооборот внутренними документами, и для них в системе автоматически становятся доступными инструменты настройки деловых процессов и совместной работы сотрудников, контроля и исполнения задач, в т. ч. настройка условий маршрутизации документов и комплексных процессов обработки, которые не всегда доступны у других операторов ЭДО или, например, доступны только при работе в личном кабинете.
Отдельно хочется остановиться на подписании документов электронной подписью в 1С:Документооборот. Если позволяют регламенты информационной безопасности в компании, можно настроить клиент-серверный вариант подписания документов, при котором подписанту нет необходимости постоянно держать при себе токены с ключами ЭП. Контейнеры с закрытыми ключами ЭП могут храниться в реестре или на жестком диске, а при подписании происходит проверка подписей и сертификатов на сервере. Сама подпись на электронный документ ставится посредством нажатия на кнопку, когда подписанту приходит соответствующая задача. Это привычно для пользователей. При выполнении задачи система запрашивает сертификат ЭП и пароль от него.
Основные сервисы оператора 1С:ЭДО доступны прямо из интерфейса 1С: Документооборот, в отличие от других операторов, у которых вся работа по настройке ЭДО ведется из личного кабинета. Настройка учетной записи ЭДО и обмена электронными документами, работа с приглашениями контрагентов, отправка заявлений на выпуск сертификатов ЭП в удостоверяющий центр – всё это осуществляется непосредственно в 1С:Документооборот. Настройку канала ЭДО с конкретным контрагентом в 1С: Документооборот также можно производить прямо из справочника «Контрагенты».
Бесшовная интеграция 1С:Документооборот с большинством прикладных решений 1С позволяет вовлекать в процесс согласования и подписания документов пользователей других систем 1С:Предприятие, даже если они не работают в самой системе 1С:Документооборот. Таким образом создается единое информационное пространство, в котором согласовываются и подписываются электронные документы в компании. Так с помощью системы 1С:Документооборот можно создать электронный архив всех образующихся в деятельности компании документов, и в случае необходимости предоставления документа в контролирующие органы из него можно выгрузить электронный документ с подписью. У других операторов ЭДО информация о подписании документа хранится только в личном кабинете оператора, куда не всегда оперативно можно получить доступ, да и найти нужный документ тоже бывает непросто.
1С:Документооборот позволяет гибко регулировать отправку и получение электронных документов. При необходимости можно настроить отправку вручную сразу после подписания документа или получение документов по определенному расписанию (например, один раз в день только по рабочим дням), что актуально для определения сроков исполнения документов, если компания ведет претензионную работу.
Если оператор ЭДО контрагента отличается от оператора ЭДО компании, то требуется настройка роуминга. Это довольно трудоемкий процесс, который может занимать до 30 дней и сильно усложняет процесс обмена электронными документами. Между провайдерами - партнерами 1С (Калуга Астрал, Тензор (СБИС), Такском и другие), реализован механизм автоматической настройки роуминга без подачи письменных заявлений. Конечно, в каждом конкретном случае могут существовать технические нюансы настройки, но процедура в целом упрощена для провайдеров - партнеров 1С.
«Академия документооборота Лушников и партнеры» приводит пример доработки функционала ЭДО в системе 1С:Документооборот, реализованной у одного из клиентов:
1. У клиента настроена учетная запись у оператора 1С:ЭДО (провайдер Калуга - Астрал).
2. В профиле ЭДО в системах 1С:ДО и 1С:УПП указан один и тот же идентификатор ЭДО.
3. В 1С:УПП и 1С:ДО реализованы настроечные регистры сведений, которые используются для первичного разделения потоков формализованных и неформализованных документов.
Настроечный регистр в 1С:ДО можно использовать как для разрешения загрузки документов определенных видов, так и для запрета загрузки документов определенных контрагентов. Это особенно актуально для контрагентов, которые не соблюдают формат xml при выставлении первичных документов.
4. Доработан механизм группового копирования однотипных настроек отправки / получения / отражения в учете по видам документов ЭДО в 1С:ДО.
5. Для документов вида "Прочее" в форме "Текущие дела ЭДО" в 1С:ДО реализована проверка на отражение в учете в 1С:УПП. Таким образом, если документ получен в 1С:УПП, то в 1С:ДО его нет необходимости отражать в учёте.
6. В 1С:ДО реализован механизм переноса учетных записей ЭДО контрагентов из 1С:УПП (работу с приглашениями контрагентов клиент ведет из 1С:УПП).
Таким образом справедливо можно заметить, что система 1С: Документооборот может в полной мере использоваться как ключевое звено в организации ЭДО. 1С: Документооборот востребована как в компаниях с развитой филиальной сетью или холдинговой структурой, в состав которой входят несколько юридических лиц, так и в компаниях с высоким уровнем централизации. В первом случае модуль 1С:ЭДО в 1С:Документооборот позволяет решать задачи обмена документами как между компаниями одного холдинга, так и со сторонними контрагентами. Во втором случае 1С: Документооборот используется в качестве мастер-системы и архива всех документов, образующихся в деятельности компании, в котором хранятся не только сами подписанные электронные документы, но и результаты внутренних бизнес-процессов по ним.
Интеграция позволяет работать с данными системы "1С: Документооборот" из интерфейса "1С: ERP":
- просмотр и закрытие задач
- создание документов
- запуск бизнес-процессов
- просмотр связей и переписки по документу и т.п.
Интеграция избавит от постоянных переходов из программы в программу: в карточках документов "1С: ERP" появятся гиперссылки, по которым можно открыть связанные с ними документы "1С: Документооборота".
При включенной интеграции между системами, в программе "1C:ERP" на "Начальной страницы" необходимо настроить доступ в программу "1C Документооборот" - указать логин и пароль.
Для этого нажмите на гиперссылку " Настроить доступ ", далее укажите:
в поле "Пользователь" укажите логин для входа в программу "1C Документооборот"
в поле "Пароль" - укажите пароль для входа в программу "1С: Документооборот"
Параметры подключения (логин, пароль) необходимо ввести для доступа в программу "1C Документооборот", НЕ для "1C:ERP"!
Если логин, пароль для входа в программу "1C Документооборот" Вам неизвестен:
Логин
Для просмотра логина перейдите в программу "1C Документооборот", в верхнем правом углу нажмите на Ваше ФИО, ниже Вашего ФИО будет отображен логин для входа в программу "1C Документооборот":
Пароль
Для установки (изменения) пароля, перейдите в программу "1C Документооборот", далее "Функции" - раздел "Настройка" - "Сменить пароль":
В окне "Установка пароля" задайте "Новый пароль", затем введите его повторно в поле "Подтверждение" и нажмите на кнопку "Установить пароль":
Приветствую всех, если вас заинтересовала статься значит вы тем или иным образом стыкались или интересовались данным вопросом, либо просто почитать.
Данный кейс с реальной практики, проект начался в начале 2019 и все "n" баз были переведены в течении полугода на доменную авторизацию (надеюсь все понимают, что это значит), но мне больше нравится SSO.
Значит что имеем:
Windows Server 2016 + AD (не рассматриваем как настраивать)
CentOS 7 + Haproxy + Comodo SSL Wildcard
Windows Server 2016 + IIS + 1C
Примерная схема работы
Вроде все понятно, конечно если об этом вы слышите в первый раз, то нужно будет почитать дополнительные материалы как настраивается каждый сервис.
Двигаемся дальше и приступаем к настройке наших сервисов
Можно так же использовать сертификаты Let's Encrypt но у меня есть подписанный ЦС, а еще может быть что клиент 1С на разных ОС будет ругаться на Let's Encrypt. Если у вас кластер 1С тогда нужно добавить еще один сервер rt_db_srv02 в backend rt_db_server
Настройка IIS, тут уже будет больше картинок.
После инстала IIS, включаем только 80й порт остальные нам не нужны так как ssl будет занимается haproxy. На картинке ниже роли, которые нужно поднять:
компоненты IIS
Я это все делаю с помощью Ansible, поэтому готовых команд PS под рукой нет. Идем дальше и не к настройке IIS, а к установке 1С:
Ставим все кроме хранилища, ковертора и проверки целосности
По стандарту заходим в консоль администрирования 1С подключаем базу и тд. В клиенте 1С на сервере на котором бы будем делать публикацию прописываем имя сервера (у нас же AD и DNS внутренний) можно без порта, но естественно если порт у вас отличный от стандартного (например, подняли еще одну службу на 1640), то его писать тоже нужно типа server1С1:1641, но если у вас кластер тогда пишем так server1С1;server1С2 (server1С1:1641;server1С2:1641) и нормальные имена нужно прописывать обязательно, так как это пойдет в конфиг IIS. Чуть не забыл, после инсталляции 1С службу, которую она создаст, необходимо запустить от имени доменного пользователя, на сервер 1С его нужно будет сделать админом, а в домене может быть обычным пользователем. главное что б мог читать пользователей с AD. Например
запуск службы от доменного пользователя
Публикуем базу как обычно, все по дефолту, с необходимыми галочками в hs/ws
Настройки веб-сайт
Веб сайт есть, а далее вместе с ним создается и пул приложений. который нам больше всего и нужно, так как в нем мы задаем кто будет авторизовать креды пользователей в 1С и расшифровывать karberos. Для этого нам нужен еще один доменный пользователь желательно отдельный, например iis_service (создаём помним пароль)))
Так он выглядит стандартно:
Приводим его в нужный вид, редактируя удостоверение:
Тюним, Режим управления выставляем Классический и нужно что б это удостоверение использовалось для этого делаем в редакторе конфигурации сервер (путь system.webServer/security/authentication/windowsAuthentication).
делаем так
С этим все готово. Для корректной работы, необходимо в AD прописать spn запись, это просто заходим на домен контроллер и запускаем команды, в которых пишем нашу публикацию и нашего пользователя, который расшифровывает kerberos:
В 1С пользователю вставляем авторизацию как на картинке:
Со списка доменов нужно выбрать тот, что большими буквами и в виде короткой записи.
на этом пока все. возможно еще подкорректирую статью, пост был важен для меня, так как при работе с проектом нужно было много разбираться и собирать по кусочкам. а что-то и самому изобретать. Надеюсь, статья будет полезна тем, кому необходимо решить аналогичный кейс.
В следующей статье напишу про то, как мы сделали веб страничку с сеансами пользователей и возможностью их удаления.
Читайте также: