Sidebar toggle

Как в 1С включить новый механизм аутентификации в ИС ЭСФ?

Дата создания: 23.08.2023
Дата изменения: 08.11.2023
  • 41273

  • ID: -

    Date: 21:11:2024

  • <неавторизован>

  • Документ Электронный акт выполненных работ
  • Документ Электронный документ ВС
  • Документ Электронный счет-фактура
  • Документ Сопроводительная накладная на товары

КГД МФ РК в пресс-релизе на портале ИС ЭСФ «О завершении настроек учётных систем», проинформировал пользователей о том, что:

  • В ИС ЭСФ поддерживается два метода аутентификации (текущий и новый).
  • Срок поддержки текущего метода аутентификации ранее был продлен до 25 ноября 2023 года.
  • С 26 ноября 2023 года текущий метод аутентификации будет не доступен для ключей GOST 2015;
  • Текущий метод аутентификации в ИС ЭСФ будет доступен только для ключей GOST 2004.

Важно!

В ИС ЭСФ планируются изменения политики безопасности, связанные с подписанием электронных документов через API. По этой причине добавлена поддержка нового метода аутентификации в ИС ЭСФ в следующих типовых решениях:

Для использования нового метода, в учетной системе должна быть установлена и настроена новая библиотека криптографии, в том числе выполнена установка и настройка NCALayer, установлен модуль 1С-Рейтинг ЭДО для NCALayer.

Полезно

Как установить модуль 1С-Рейтинг ЭДО в NCA Layer?

На первом этапе настройке нового механизма аутентификации ИС ЭСФ в конфигурации «1С:Бухгалтерия 8 для Казахстана», ред. 3.0 необходимо убедиться в корректной установке компоненты для работы с NCALayer с помощью команды Проверить работу (раздел АдминистрированиеОбщие настройкиЭлектронные счета-фактурыНастройка электронных счетов фактур).


Подключение нового механизма аутентификации осуществляется путём отметки необходимых опций в разделе Настройка использования компонент и API, в частности настроек: Использовать открытие сессии с подписью NCA Layer и Использовать NCA Layer для подписи документов. Ниже подробнее рассмотрим особенности использования каждой из них.


При активации настройки Использовать открытие сессии с подписью NCA Layer в 1С:Бухгалтерии 8 для Казахстана применяется новый механизм открытия сессии ИС ЭСФ (без включения – применяется старый способ работы с сессиями).  Напомним, что новый механизм, предполагает необходимость подписания запроса на открытие сессии в системе ключом аутентификации пользователя. Поэтому при переходе на новый метод аутентификации при подключении к ИС ЭСФ система будет запрашивать ключ аутентификации пользователя.

Новый метод аутентификации в ИС ЭСФ

С целью повышения удобства пользователя и сокращения обращений к ИС ЭСФ, разработчиками создан дополнительный механизм, суть которого заключается в том, что после первого подписания информация об открытии сессии (тикет) сохраняется в регистре сведений Активные сессии ИС ЭСФ (Пользователи ИС ЭСФУправление сессиямиАктивные сессии). 

В случае необходимости открытия новой сессии в ИС ЭСФ для выполнения какого-либо действия, если имеется ранее сохраненный тикет сессии и время его действия еще не истекло, то система применяет его и открывает сессию автоматически. 

Если время действия ранее сохраненного тикета истекло, то будет сформирован новый запрос для открытия сессии, который пользователю необходимо заверить своей ЭЦП (подписать ключом для авторизации).

Новый метод аутентификации в ИС ЭСФ

Пользователь может самостоятельно настраивать Время активности сессии (тикета) (раздел АдминистрированиеОбщие настройкиНастройка электронных счетов-фактурКриптографическая библиотека). 

Длительность сессии может быть установлена в промежутке от 0 до 1440 минут, время активности по умолчанию составляет 30 минут. Чем больше значение параметра длительность сессии, тем реже в процессе работы будет требоваться подписание запроса на открытие сессии (реже потребуется указывать в системе ключ для авторизации). Чем короче – тем надежнее защищен доступ к системе с точки зрения политики безопасности.


Настройка Использовать NCALayer для подписи документов

  • Если настройка включена, подпись документов будет выполняться средствами модуля 1С-Рейтинг ЭДО в NCALayer. Для работы с новыми ключами формата ГОСТ 2015 требуется использовать именно этот вариант.
  • Если настройка отключена, подпись будет выполняться средствами прежней криптобиблиотеки. 

До перехода на ключи ЭЦП формата ГОСТ 2015 можно использовать любой из вариантов (ключи прежнего формата до истечения срока их действия поддерживаются новым механизмом). 

Таким образом при установке галочки в поле Использовать открытие сессии с подписью NCA Layer процедура открытия сессии будет осуществляться в соответствии с новым механизмом (подпись в окне NCA Layer, с сохранением открытой сессии и возможностью установки времени её активности), для возврата к старому механизму аутентификации необходимо снять галочку и применить изменения.

Установка галочки в поле Использовать NCALayer для подписи документов активирует новый механизм подписания документов в окне NCALayer. В результате при каждом подписании документа нужно выбирать ключ ЭЦП и вводить к нему пароль. Возврат к старому методу осуществляется аналогично предыдущей настройке.

Данные настройки могут использоваться как вместе, так и по отдельности. В зависимости от того в какие поля установлены галочки: новый механизм может быть отключен (галочки не установлены), использован частично (в части открытия сессии или подписания документов), активирован полностью (как в части открытия сессии так и подписания документов).

Полезно


  • 41273
Нравится
1

Практика учета

Комментировать материалы сайта могут зарегистрированные пользователи.
Вход с помощью STSL

42 комментариев

  • Виталий Довыденко
    01.11.2023
    [3]
    |
    [0]
    Пользователи подключаются и работают на терминальном сервере и на самом сервере установлен NCALayer, так как для использования нового метода на устройстве должен быть установлен NCALayer, но на сервере одновременно возможна работа только одного пользователя, подключенного к серверу, как правильно настроить NCALayer и 1С для работы на сервере удаленных рабочих столов для нескольких пользователей одновременно?

    Виктория Гусева
    02.11.2023
    [1]
    |
    [0]
    Вопрос по ограничениям запуска NCALayer на терминальном сервере лучше адресовать разработчику NCALayer  - НУЦ РК (pki.gov.kz). В настоящее время такое ограничение присутствует и для работы  пользователя необходимо обеспечить возможность запуска NCALayer в сеансе пользователя.

    Ведутся работы по предоставлению альтернативных инструментов подписи в подобных условиях, оповестим при выпуске. Вы можете обратиться на линию технической поддержки типового решения для уточнения имеющихся у вас огhаничениях по запуску NCALayer
  • Венера Рахметова
    02.11.2023
    [0]
    |
    [0]
    Добрый день. Установили настройки в 1С, но теперь каждый раз необходимо выбирать ключ Гост для подписи. У нас неверные настройки или так и должно работать? Планируется ли сохранение данных ключа Гост, как было ранее в 1С?
    Виктория Гусева
    02.11.2023
    [0]
    |
    [0]
    В настройках NCALayer (правой кнопкой мыши по NCALayer - Настройки)  можно установить опцию «Сохранять пути к файловым хранилищам»
    Семён Свиридов
    22.11.2023
    [0]
    |
    [0]
    Добрый день! По Вашей рекомендации установили эту опцию в настройках NCALayer. Используем ключ ГОСТ 2015. Результата не последовало - постоянно запрашивает ключ для подписи. Возможно необходимо выполнить какие-либо ещё действия? Или имеется альтернативное решение?
    Семён Свиридов
    22.11.2023
    [0]
    |
    [0]
    Сохранение пути ключа происходит только при авторизации в кабинете ИС ЭСФ - определили опытным путём. Но при отправке документов из 1С теперь выходит окно с выбором сохранённых ключей и следом окно ввода пароля.
  • Зауре Мурзагалиева
    06.11.2023
    [0]
    |
    [0]
    Получается те, кто подключаются удаленно к серверу, не смогут отправлять и получать эсф? или это можно регулировать временем сессии (тикета) для одновременно работающих на сервере? 
  • Виталий Довыденко
    10.11.2023
    [0]
    |
    [0]
    Ниже написан официальный ответ на вопрос "как правильно настроить NCALayer и 1С для работы на сервере удаленных рабочих столов для нескольких пользователей одновременно?" , который был задан на почту esfsd@kgd.minfin.gov.kz

    Добрый день,
    Просим выписывать ЭСФ на веб-портале: https://esf.gov.kz:8443/esf-web/login
    Описанная Вами проблема возникает на стороне Вашей ERP-системы. Служба Поддержки ИС ЭСФ  не компетентна отвечать на запросы по ERP-системам налогоплательщиков. Просим направить данный запрос в службу сопровождения 1С.

    Остается одна надежда  - на разработчиков 1С




    Виктория Гусева
    13.11.2023
    [0]
    |
    [0]
    Вопрос по ограничениям запуска NCALayer на терминальном сервере лучше адресовать разработчику NCALayer  - НУЦ РК (pki.gov.kz). Обратите внимание, что служба поддержки ИС ЭСФ и НУЦ РК - это разные структуры.
    В настоящее время такое ограничение присутствует и для работы  пользователя необходимо обеспечить возможность запуска NCALayer в сеансе пользователя.


    Ведутся работы по предоставлению альтернативных инструментов подписи в подобных условиях, оповестим при выпуске. Вы можете обратиться на линию технической поддержки типового решения для уточнения имеющихся у вас огhаничениях по запуску NCALayer
    Виктория Гусева
    24.11.2023
    [0]
    |
    [0]
    Добрый день, по ранее заданному вопросу обратите внимание на включение в версию 3.0.52.3 возможности применения внешней библиотеки KalkanCrypt НУЦ РК для подписания документов. Этот метод  - альтернатива применению NCALayer в случаях, когда применение NCA Layer невозможно по каким-либо причинам. 
  • Семён Свиридов
    22.11.2023
    [1]
    |
    [0]
    "С 26 ноября 2023 года текущий метод аутентификации будет не доступен на алгоритме GOST для нового формата ключей ГОСТ 2015. Текущий метод аутентификации в ИС ЭСФ будет доступен только для ключей на алгоритме RSA старого формата ГОСТ 2004."Подскажите пожалуйста , с 27 ноября 2023 г старые ключи (AUTHRSA) будут работать в 1С для аутентификации на портале ИС ЭСФ?  Можете пожалуйста описать (прокомментировать), как вы понимаете это сообщение , т.к может быть мы неправильно понимаем его смысловое содержание.
    Марина Девяткина
    22.11.2023
    [0]
    |
    [0]
    Текущий метод аутентификации будет работать со "старыми" ключами, новый метод аутентификации будет работать со "всеми" ключами (ГОСТ 2015 и ГОСТ 2004). Подключение нового механизма аутентификации в 1С осуществляется путём установки соответствующего признака разделе Настройка использования компонент и API в настройках подключения к ИС ЭСФ.
  • Николай Семенов
    24.11.2023
    [0]
    |
    [0]
    Добрый день, прошу уточнить почему постоянно при отправке ЭСФ запрашивается ЭЦП, как Вы пишите выше в инструкции, что Сессии сохраняются и все последующие отправки в течении 1 440 минут, будут не запрашиваться ЭЦП, все настройки в том числе в NCALayer выполнены, НО ЭТО НЕ РАБОТАЕТ!!!
    Как нам работать когда в день в среднем 1000 ЭСФ бухгалтер отправляет?!
    Виктория Гусева
    24.11.2023
    [0]
    |
    [0]
    Добрый день, при отправке документов с применением нового метода аутентификации, необходимость в указании ключа для подписания возникает дважды:
    1. Для открытия сессии требуется подписание запроса ключом для аутентификации.
    2. Для заверения отправляемого документа требуется подписание ключом для подписи.

    Увеличение длительности сессий позволяет сократить количество запросов ключа по пункту 1, но не отменяет (и никак не влияет) за запрос ключа по пункту 2.

    Чтобы сохранить количество запросов на подписание документов, можно использовать пакетную отправку.

    Чтобы упростить выбор ключа в NCA можно использовать сохранение путей к ключевым хранилищам (это настройка NCALayer), указание пароля пользователем при подписании документа при этом все равно будет требоваться.

    Рассмотрите так же возможность применения криптографии Kalkan (добавлена в релизе 3.0.53.2) в качестве альтернативы подписания через NCA Layer. Для предприятий с большим объеме отправляемых документов, это, вероятно, будет удобнее.

    Дополнительно, обратите внимание, что вы можете продолжить работу со старым методом аутентификации, если все пользователи располагают действующими ключами прежнего формата.
    Николай Семенов
    27.11.2023
    [0]
    |
    [0]
    Добрый день, после обновление на последний релиз бухгалтерии 3.0.52.3, выходит у Всех ошибка, компании разные, ошибка у Всех одна, в чем пробема ?

    Виктория Гусева
    27.11.2023
    [0]
    |
    [0]
    Видимо, вы установили признак использования KalkanCrypt  в настройках обмена, но не расположили библиотеку в путях запуска. Ознакомьтесь пож-та с документацией к версии 3.0.52.3 по настройке подключения KalkanCrypt  в учетной системе.
  • Александр Михайлов
    24.11.2023
    [0]
    |
    [0]
    Подскажите пожалуйста, что я делаю не так? В разделе "Криптографическая библиотека" - Компонента для работы со средствами криптографии НУЦ РК написано, что версия в информационной базе - 5.25 Версия на клиенте -1.8 При нажатии на кнопку "Обновить компоненту" - Внешняя компонента успешно установлена. Но версия на клиенте не меняется. Проверка работы проходит успешно, но версия также 1.8
    Виктория Гусева
    24.11.2023
    [0]
    |
    [0]
    Это разные компоненты.
    1.8 актуальная версия прежней компоненты
    5,25 актуальная  версия новой компоненты
    Виктория Гусева
    24.11.2023
    [0]
    |
    [0]
    Версия 1.8 может отображаться в версии на клиенте в разделе настройки новой криптобиблиотеки в случае, если настройки выставлены таким образом, что для подписания документов используется прежний механизм.

    Например, не включена опция использования подписи при открытии сессий ИС ЭСФ или не включена опция подписания документов с помощью NCA.

  • Михаил Мацокин
    24.11.2023
    [2]
    |
    [0]
    Доброго времени. Все сделал по статье и получил следующие- 
    При подписании по новому методу вышла ошибка - Код ВК: 300. Тех. информация: action.canceled. Ключ не принадлежит указанному БИН
    Ключ проверил все работает.
    В чем проблема?
    Виктория Гусева
    24.11.2023
    [0]
    |
    [1]
    Добрый день, БИН в ключе, который вы указываете должен принадлежать организации от имени которой вы отправляете ЭСФ, если подписываете личным ключом физ. лица, то ИИН в ключе, должен соответствовать ИИН пользователя.
    Михаил Мацокин
    27.11.2023
    [1]
    |
    [0]
    подписываем ключом с правом подписи или нужен другой ключ? также пробовал ключом гендиректора та же ошибка.
    Елена Богданова
    27.11.2023
    [2]
    |
    [0]
    Добрый день! Та же ситуация, что то решили как? ИП работают без проблем, ТОО не понятно, надо новый ключ получить или? Немного разъясните, пожалуйста.

    Марина Девяткина
    27.11.2023
    [0]
    |
    [1]
    ИИН пользователя, для которого выполнена настройка Профиля ИС ЭСФ, и с помощью которого выполняете отправку, должен соответствовать ИИН используемого ключа. 
    Елена Богданова
    27.11.2023
    [1]
    |
    [0]
    Это понятно, так как с ИП нет проблем а для ТОО значит надо как то перевыпускать ключ? или? 
    Марина Девяткина
    27.11.2023
    [0]
    |
    [1]
    Выпускать новые ключи не требуется. "Основной" ключ ТОО оформлен на директора, ИИН пользователя, под которым работаете в программе должен соответствовать ИИН используемого для отправки ключа. 
    Азамат Тлегенов
    27.11.2023
    [2]
    |
    [0]
    Ничего из предложенного вами не помогает. ИИН пользователя соответствует эцп первого руководителя. Ошибка та же!
    Марина Девяткина
    27.11.2023
    [0]
    |
    [0]
    Добрый день, пожалуйста, обратитесь на линию техподдержки с подробным описанием проблемы (текст ошибки и скрины). 
    Виктория Гусева
    27.11.2023
    [0]
    |
    [0]
    Добрый день, ситуация является ошибочной. Проблема зарегистрирована и будет исправлена
    Азамат Тлегенов
    27.11.2023
    [1]
    |
    [1]
    Проблема в вашем последнем релизе 52.3. Проверил на нескольких базах. Где не обновлял, там всё работает. Где обновил, там нет. Рекомендации ваши по поводу ЭЦП бесполезны.
    Марина Девяткина
    27.11.2023
    [0]
    |
    [0]
    Ваше последующее сообщение было удалено, так как содержало личную идентификационную информацию (ФИО, ИИН, Наименование ТОО, БИН).
    Марина Девяткина
    27.11.2023
    [0]
    |
    [0]
    Подскажите, по какой причине вы "включили" новый метод аутентификации? У вас новые ключи? 
    Грома Люк
    27.11.2023
    [1]
    |
    [0]
    Проблема где-то снаружи. У нас всё было настроено сразу после выхода Бухгалтерия для Казахстана 3.0.52.3 и прекрасно работало. Сегодня выдаёт то же сообщение, что и у Вас. Надеемся, починят.
    Более того - наши бухгалтера на сайт ЭСФ заходят с тем же ключом без проблем. Похоже на проблему в модуле 1С-Рейтинг ЭДО для NCALayer.
    Виктория Гусева
    27.11.2023
    [1]
    |
    [0]
    Добрый день, ситуация является ошибочной. Проблема зарегистрирована и будет исправлена
    Михаил Мацокин
    27.11.2023
    [2]
    |
    [0]
    Когда будет исправлена?
    Виктория Гусева
    27.11.2023
    [0]
    |
    [0]
    Добрый день, ситуация является ошибочной. Проблема зарегистрирована и будет исправлена
  • Севара Жумабекова
    02.07.2024
    [0]
    |
    [0]
    Добрый вечер. Выходит такая ошибка:
    Код ВК: 300. Тех. информация: [{"optionName":"1c-esf-sync","isAvailable":false,"expiredDate":null,"volumeUsed":null,"maxVolume":null,"metaInfo":null,"errorMessage":"Сервис временно недоступен. Попробуйте позднее."}]


    Марина Девяткина
    03.07.2024
    [0]
    |
    [0]
    В ошибке указана информация о недоступности сервиса проверки подписки 1С:ЭСФ (временно недоступен).
    В случае возникновения данной ошибки, сообщения о ней следует направлять на web-its@1c.kz
  • Михаил Касаткин
    14.08.2024
    [0]
    |
    [0]
    Здравствуйте!
    Скажите пожалуйста, с новым методом авторизации (используем NCALayer) регламентное задание "Синхронизация с ИС ЭСФ" перестает работать, т.к. требуется открывать сессию?
    Марина Девяткина
    14.08.2024
    [0]
    |
    [0]
    В случае перехода на новый метод аутентификации с использованием ЭЦП стандарта GOST2015 автоматическая синхронизация выполняется при наличии сохраненного тикета ИС ЭСФ, время работы которой настраивается на вкладке Криптографическая библиотека. Для работы автосинхронизации в течении дня с момента последней успешной подписи сессии рекомендуется в полях Время активности тикета ЭСФ и Время активности тикета ВС установить максимальное значение 1440.

    Александр Зеленкин
    19.10.2024
    [0]
    |
    [0]
    Здравствуйте!
    Я правильно понимаю, чтоб работало регламентное задание по загрузке входящих ЭСФ и обновлению статуса исходящих, необходимо, чтоб раз в сутки (или чаще, если Время активности тикета меньше 1440) сотрудник, имеющий подпись, проходил авторизацию (чтоб создавался активный тикет). Подскажите, какие минимальные действия необходимо предпринять сотруднику, чтоб создалась активная сессия? Если время активной сессии истекло, соответствующая запись в регистре сведений автоматически удаляется? Есть какой-нибудь механизм оповещения ответственного пользователя, что необходима повторная авторизация или необходимость в повторной авторизации необходимо отслеживать вручную? 
    Асемгуль Абижанова (админ)
    21.10.2024
    [0]
    |
    [0]
    Добрый день!
    В статье "Активные сессии (тикеты) ИС ЭСФ в 1С. Данные активности тикетов ИС ЭСФ"  https://pro1c.kz/articles/elektronnye-scheta-faktury-esf/aktivnye-sessii-tikety-is-esf-v-1s/ подробно описан механизм аутентификации.