Как исправить ошибку 1с «network error» при входе через OIDC?

Question

[Dmitry]

Настроил вход через OIDC в 1с, но при входе, после успешной аутентификации на keycloak получаю ошибку от 1с network error.

Смотрел журнал регистраций в 1с - ни каких сообщений
Сотрел журнал iis сервера, так же нет ошибков
Включил логирование, как рекомендуют здесь https://its.1c.ru/db/metod8dev/content/5872/hdoc
В логах ошибок нет. Подскажите, в какой стороне искать решение?

Пользователь в 1с

Настройки клиента в keycloak

{
  "clientId": "1c-test-OIDC",
  "name": "",
  "description": "",
  "rootUrl": "",
  "adminUrl": "",
  "baseUrl": "",
  "surrogateAuthRequired": false,
  "enabled": true,
  "alwaysDisplayInConsole": false,
  "clientAuthenticatorType": "client-secret",
  "redirectUris": [
    "https://<web-server-name>/<publication-name>/authform.html"
  ],
  "webOrigins": [
    "/*"
  ],
  "notBefore": 0,
  "bearerOnly": false,
  "consentRequired": false,
  "standardFlowEnabled": true,
  "implicitFlowEnabled": true,
  "directAccessGrantsEnabled": true,
  "serviceAccountsEnabled": false,
  "publicClient": true,
  "frontchannelLogout": true,
  "protocol": "openid-connect",
  "attributes": {
    "request.object.signature.alg": "any",
    "request.object.encryption.alg": "any",
    "client.introspection.response.allow.jwt.claim.enabled": "false",
    "standard.token.exchange.enabled": "false",
    "frontchannel.logout.session.required": "true",
    "oauth2.device.authorization.grant.enabled": "true",
    "backchannel.logout.revoke.offline.tokens": "false",
    "use.refresh.tokens": "true",
    "realm_client": "false",
    "oidc.ciba.grant.enabled": "false",
    "client.use.lightweight.access.token.enabled": "false",
    "backchannel.logout.session.required": "true",
    "request.object.required": "not required",
    "client_credentials.use_refresh_token": "false",
    "access.token.header.type.rfc9068": "false",
    "tls.client.certificate.bound.access.tokens": "false",
    "require.pushed.authorization.requests": "false",
    "acr.loa.map": "{}",
    "display.on.consent.screen": "false",
    "request.object.encryption.enc": "any",
    "token.response.type.bearer.lower-case": "false"
  },
  "authenticationFlowBindingOverrides": {},
  "fullScopeAllowed": true,
  "nodeReRegistrationTimeout": -1,
  "defaultClientScopes": [
    "web-origins",
    "acr",
    "profile",
    "roles",
    "basic",
    "email"
  ],
  "optionalClientScopes": [
    "address",
    "phone",
    "organization",
    "offline_access",
    "microprofile-jwt"
  ],
  "access": {
    "view": true,
    "configure": true,
    "manage": true
  }
}

default.vrd

<openidconnect>
		<providers>
			<![CDATA[
        [
            {
                "name": "KeyCloack",
                "title": "KeyCloack",
                "authenticationClaimName": "email",
                "providerconfig": {
                    "issuer": "https://<keycloak-server-name>/realms/<realm-name>",
                    "authorization_endpoint": "https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/auth",
                    "token_endpoint": "https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/token",
                    "response_types_supported": [
                        "code",
                        "token",
						"id_token token"
                    ],
                    "scopes_supported": [
                        "openid",
                        "email",
                        "profile"
                    ],
                    "jwks_uri": "https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/certs",
                    "userinfo_endpoint": "https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/userinfo"
                },
                "clientconfig": {
                    "authority": "https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/auth",
                    "client_id": "1c-test-OIDC",
                    "redirect_uri": "https://<web-server-name>/<publication-name>/authform.html",
					"post_logout_redirect_uri": "https://<web-server-name>/<publication-name>/exit.html",
                    "response_type": "id_token token",
                    "scope": "openid email"
                }
            }
        ]
        ]]>
		</providers>

		<allowStandardAuthentication>true</allowStandardAuthentication>
</openidconnect>

Answer 1

[Дмитрий Кинаш]

Ошибки на стороне 1С появляются уже после авторизации, а вы даже до нее не доходите.

У вас точно есть прямой доступ с пользовательского компьютера на авторизационный эндпойнт?

"authorization_endpoint": "https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/auth"

Вы проверяли доступность через курл или хотя бы браузер?

Comments

[Dmitry]

Спасибо за ответ!
Наверно, вы имели в виду не авторизацию, а аутентификацию.
В начале вопроса я написал

но при входе, после успешной аутентификации на keycloak получаю ошибку от 1с network error.

Т.е. при переходе на https:// <web-server-name> /<publication-name>
Открывается страница с вариантами входа


я выбираю войти, срабатывает перенаправление на страницу аутентификации keycloak

https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/auth?client_id=1c-test-OIDC&redirect_uri=https%3A%2F%2F<web-server-name>%2<publication-name>%2Fauthform.html&response_type=id_token%20token&scope=openid%20email&state=9ecac7f6748a415b8daaec578c3135aa&nonce=0f2d6a320d2340e6ae68178a15da18c9

и после успешного входа, меня перенаправляет на страницу с ошибкой

запись в журнале keycloak

Я проверил доступность с помощью curl с сервера 1с

результат

curl https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/auth
<!DOCTYPE html>
<html class="login-pf" lang="en">
<head>
    <meta charset="utf-8">
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <meta name="robots" content="noindex, nofollow">
    <meta name="color-scheme" content="light dark">
    <meta name="viewport" content="width=device-width, initial-scale=1">

    <title>Sign in to <realm-name></title>
    <link rel="icon" href="/resources/ahbgj/login/keycloak.v2/img/favicon.ico" />
            <link href="/resources/ahbgj/common/keycloak/vendor/patternfly-v5/patternfly.min.css" rel="stylesheet" />
            <link href="/resources/ahbgj/common/keycloak/vendor/patternfly-v5/patternfly-addons.css" rel="stylesheet" />
            <link href="/resources/ahbgj/login/keycloak.v2/css/styles.css" rel="stylesheet" />
    <script type="importmap">
        {
            "imports": {
                "rfc4648": "/resources/ahbgj/common/keycloak/vendor/rfc4648/rfc4648.js"
            }
        }
    </script>
      <script type="module" async blocking="render">
          const DARK_MODE_CLASS = "pf-v5-theme-dark";
          const mediaQuery = window.matchMedia("(prefers-color-scheme: dark)");

          updateDarkMode(mediaQuery.matches);
          mediaQuery.addEventListener("change", (event) => updateDarkMode(event.matches));

          function updateDarkMode(isEnabled) {
            const { classList } = document.documentElement;

            if (isEnabled) {
              classList.add(DARK_MODE_CLASS);
            } else {
              classList.remove(DARK_MODE_CLASS);
            }
          }
      </script>
    <script type="module" src="/resources/ahbgj/login/keycloak.v2/js/passwordVisibility.js"></script>
    <script type="module">
        import { startSessionPolling } from "/resources/ahbgj/login/keycloak.v2/js/authChecker.js";

        startSessionPolling(
            "/realms/<realm-name>/login-actions/restart?skip_logout=true"
        );
    </script>
    <script type="module">
        document.addEventListener("click", (event) => {
            const link = event.target.closest("a[data-once-link]");

            if (!link) {
                return;
            }

            if (link.getAttribute("aria-disabled") === "true") {
                event.preventDefault();
                return;
            }

            const { disabledClass } = link.dataset;

            if (disabledClass) {
                link.classList.add(...disabledClass.trim().split(/\s+/));
            }

            link.setAttribute("role", "link");
            link.setAttribute("aria-disabled", "true");
        });
    </script>
    <script>
      // Workaround for https://bugzilla.mozilla.org/show_bug.cgi?id=1404468
      const isFirefox = true;
    </script>
</head>

<body id="keycloak-bg" class="" data-page-id="login-error">
<div class="pf-v5-c-login">
  <div class="pf-v5-c-login__container">
    <header id="kc-header" class="pf-v5-c-login__header">
      <div id="kc-header-wrapper"
              class="pf-v5-c-brand"><div class="kc-logo-text"><span><realm-name> Keycloak</span></div></div>
    </header>
    <main class="pf-v5-c-login__main">
      <div class="pf-v5-c-login__main-header">
        <h1 class="pf-v5-c-title pf-m-3xl" id="kc-page-title">        We are sorry...
</h1>
      </div>
      <div class="pf-v5-c-login__main-body">


        <div id="kc-error-message">
            <p class="instruction">Invalid Request</p>
        </div>


          <div class="pf-v5-c-login__main-footer">

          </div>
      </div>

        <div class="pf-v5-c-login__main-footer">
        </div>
    </main>
  </div>
</div>
</body>
</html>