Как исправить ошибку 1с «network error» при входе через OIDC?

Question

[Dmitry]

Настроил вход через OIDC в 1с, но при входе, после успешной аутентификации на keycloak получаю ошибку от 1с network error.

Смотрел журнал регистраций в 1с - ни каких сообщений
Сотрел журнал iis сервера, так же нет ошибков
Включил логирование, как рекомендуют здесь https://its.1c.ru/db/metod8dev/content/5872/hdoc
В логах ошибок нет. Подскажите, в какой стороне искать решение?

Пользователь в 1с

Настройки клиента в keycloak

{
  "clientId": "1c-test-OIDC",
  "name": "",
  "description": "",
  "rootUrl": "",
  "adminUrl": "",
  "baseUrl": "",
  "surrogateAuthRequired": false,
  "enabled": true,
  "alwaysDisplayInConsole": false,
  "clientAuthenticatorType": "client-secret",
  "redirectUris": [
    "https://<web-server-name>/<publication-name>/authform.html"
  ],
  "webOrigins": [
    "/*"
  ],
  "notBefore": 0,
  "bearerOnly": false,
  "consentRequired": false,
  "standardFlowEnabled": true,
  "implicitFlowEnabled": true,
  "directAccessGrantsEnabled": true,
  "serviceAccountsEnabled": false,
  "publicClient": true,
  "frontchannelLogout": true,
  "protocol": "openid-connect",
  "attributes": {
    "request.object.signature.alg": "any",
    "request.object.encryption.alg": "any",
    "client.introspection.response.allow.jwt.claim.enabled": "false",
    "standard.token.exchange.enabled": "false",
    "frontchannel.logout.session.required": "true",
    "oauth2.device.authorization.grant.enabled": "true",
    "backchannel.logout.revoke.offline.tokens": "false",
    "use.refresh.tokens": "true",
    "realm_client": "false",
    "oidc.ciba.grant.enabled": "false",
    "client.use.lightweight.access.token.enabled": "false",
    "backchannel.logout.session.required": "true",
    "request.object.required": "not required",
    "client_credentials.use_refresh_token": "false",
    "access.token.header.type.rfc9068": "false",
    "tls.client.certificate.bound.access.tokens": "false",
    "require.pushed.authorization.requests": "false",
    "acr.loa.map": "{}",
    "display.on.consent.screen": "false",
    "request.object.encryption.enc": "any",
    "token.response.type.bearer.lower-case": "false"
  },
  "authenticationFlowBindingOverrides": {},
  "fullScopeAllowed": true,
  "nodeReRegistrationTimeout": -1,
  "defaultClientScopes": [
    "web-origins",
    "acr",
    "profile",
    "roles",
    "basic",
    "email"
  ],
  "optionalClientScopes": [
    "address",
    "phone",
    "organization",
    "offline_access",
    "microprofile-jwt"
  ],
  "access": {
    "view": true,
    "configure": true,
    "manage": true
  }
}

default.vrd

<openidconnect>
		<providers>
			<![CDATA[
        [
            {
                "name": "KeyCloack",
                "title": "KeyCloack",
                "authenticationClaimName": "email",
                "providerconfig": {
                    "issuer": "https://<keycloak-server-name>/realms/<realm-name>",
                    "authorization_endpoint": "https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/auth",
                    "token_endpoint": "https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/token",
                    "response_types_supported": [
                        "code",
                        "token",
						"id_token token"
                    ],
                    "scopes_supported": [
                        "openid",
                        "email",
                        "profile"
                    ],
                    "jwks_uri": "https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/certs",
                    "userinfo_endpoint": "https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/userinfo"
                },
                "clientconfig": {
                    "authority": "https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/auth",
                    "client_id": "1c-test-OIDC",
                    "redirect_uri": "https://<web-server-name>/<publication-name>/authform.html",
					"post_logout_redirect_uri": "https://<web-server-name>/<publication-name>/exit.html",
                    "response_type": "id_token token",
                    "scope": "openid email"
                }
            }
        ]
        ]]>
		</providers>

		<allowStandardAuthentication>true</allowStandardAuthentication>
</openidconnect>

Answer 1

[Dmitry]

удалось решить, проблема была в конфигурации подключения к sso в публикации 1с

сделал "authenticationClaimName": "email" и "authenticationUserPropertyName": "email" одинаковыми, все заработало

<openidconnect>
	<providers>
	<![CDATA[[
	{
	"name": "keycloak",
	"title": "KeyCloack IIS Server",
	"authenticationClaimName": "email",
	"authenticationUserPropertyName": "email",
	"endSessionEndpoint": "https://sso.site.ru/realms/[realm_name]/protocol/openid-connect/logout",
	"discovery": "https://sso.site.ru/realms/[realm_name]/.well-known/openid-configuration",
	"clientconfig": {
		"authority": "https://sso.site.ru/realms/[realm_name]",
		"client_id": "client_id",
		"client_secret": "client_secret",
		"redirect_uri": "https://webapp.site.ru/OIDc-1ctest/authform.html",
		"post_logout_redirect_uri": "https://webapp.site.ru/OIDc-1ctest/exit.html",
		"scope": "openid email",
		"response_type": "code",
		"filterProtocolClaims": true,
		"loadUserInfo": false
	}
	}
	]]]></providers>
</openidconnect>

Answer 2

[Дмитрий Кинаш]

Ошибки на стороне 1С появляются уже после авторизации, а вы даже до нее не доходите.

У вас точно есть прямой доступ с пользовательского компьютера на авторизационный эндпойнт?

"authorization_endpoint": "https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/auth"

Вы проверяли доступность через курл или хотя бы браузер?

Comments

[Dmitry]

Спасибо за ответ!
Наверно, вы имели в виду не авторизацию, а аутентификацию.
В начале вопроса я написал

но при входе, после успешной аутентификации на keycloak получаю ошибку от 1с network error.

Т.е. при переходе на https:// <web-server-name> /<publication-name>
Открывается страница с вариантами входа


я выбираю войти, срабатывает перенаправление на страницу аутентификации keycloak

https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/auth?client_id=1c-test-OIDC&redirect_uri=https%3A%2F%2F<web-server-name>%2<publication-name>%2Fauthform.html&response_type=id_token%20token&scope=openid%20email&state=9ecac7f6748a415b8daaec578c3135aa&nonce=0f2d6a320d2340e6ae68178a15da18c9

и после успешного входа, меня перенаправляет на страницу с ошибкой

запись в журнале keycloak

Я проверил доступность с помощью curl с сервера 1с

результат

curl https://<keycloak-server-name>/realms/<realm-name>/protocol/openid-connect/auth
<!DOCTYPE html>
<html class="login-pf" lang="en">
<head>
    <meta charset="utf-8">
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <meta name="robots" content="noindex, nofollow">
    <meta name="color-scheme" content="light dark">
    <meta name="viewport" content="width=device-width, initial-scale=1">

    <title>Sign in to <realm-name></title>
    <link rel="icon" href="/resources/ahbgj/login/keycloak.v2/img/favicon.ico" />
            <link href="/resources/ahbgj/common/keycloak/vendor/patternfly-v5/patternfly.min.css" rel="stylesheet" />
            <link href="/resources/ahbgj/common/keycloak/vendor/patternfly-v5/patternfly-addons.css" rel="stylesheet" />
            <link href="/resources/ahbgj/login/keycloak.v2/css/styles.css" rel="stylesheet" />
    <script type="importmap">
        {
            "imports": {
                "rfc4648": "/resources/ahbgj/common/keycloak/vendor/rfc4648/rfc4648.js"
            }
        }
    </script>
      <script type="module" async blocking="render">
          const DARK_MODE_CLASS = "pf-v5-theme-dark";
          const mediaQuery = window.matchMedia("(prefers-color-scheme: dark)");

          updateDarkMode(mediaQuery.matches);
          mediaQuery.addEventListener("change", (event) => updateDarkMode(event.matches));

          function updateDarkMode(isEnabled) {
            const { classList } = document.documentElement;

            if (isEnabled) {
              classList.add(DARK_MODE_CLASS);
            } else {
              classList.remove(DARK_MODE_CLASS);
            }
          }
      </script>
    <script type="module" src="/resources/ahbgj/login/keycloak.v2/js/passwordVisibility.js"></script>
    <script type="module">
        import { startSessionPolling } from "/resources/ahbgj/login/keycloak.v2/js/authChecker.js";

        startSessionPolling(
            "/realms/<realm-name>/login-actions/restart?skip_logout=true"
        );
    </script>
    <script type="module">
        document.addEventListener("click", (event) => {
            const link = event.target.closest("a[data-once-link]");

            if (!link) {
                return;
            }

            if (link.getAttribute("aria-disabled") === "true") {
                event.preventDefault();
                return;
            }

            const { disabledClass } = link.dataset;

            if (disabledClass) {
                link.classList.add(...disabledClass.trim().split(/\s+/));
            }

            link.setAttribute("role", "link");
            link.setAttribute("aria-disabled", "true");
        });
    </script>
    <script>
      // Workaround for https://bugzilla.mozilla.org/show_bug.cgi?id=1404468
      const isFirefox = true;
    </script>
</head>

<body id="keycloak-bg" class="" data-page-id="login-error">
<div class="pf-v5-c-login">
  <div class="pf-v5-c-login__container">
    <header id="kc-header" class="pf-v5-c-login__header">
      <div id="kc-header-wrapper"
              class="pf-v5-c-brand"><div class="kc-logo-text"><span><realm-name> Keycloak</span></div></div>
    </header>
    <main class="pf-v5-c-login__main">
      <div class="pf-v5-c-login__main-header">
        <h1 class="pf-v5-c-title pf-m-3xl" id="kc-page-title">        We are sorry...
</h1>
      </div>
      <div class="pf-v5-c-login__main-body">


        <div id="kc-error-message">
            <p class="instruction">Invalid Request</p>
        </div>


          <div class="pf-v5-c-login__main-footer">

          </div>
      </div>

        <div class="pf-v5-c-login__main-footer">
        </div>
    </main>
  </div>
</div>
</body>
</html>

[NikitaKazakh]

Dmitry, Добрый вечер! Удалось ли решить проблему? Возникла аналогичная, выручайте

[Dmitry]

NikitaKazakh, Здравствуйте. И да и нет, ошибка из поста не воспроизводится, что сделал не знаю, но связано либо с настройкой публикации, либо с настройкой клиента keycloak. Брал перерыв, а потом вернулся и по другому настроил. При текущей конфигурации я вижу попытки входа в журнале регистрации базы 1с, но получаю ошибку:

HTTP request failed with status: 400Error: Bad request Не удалось выполнить OpenID Connect аутентификацию. Проверьте правильность настроек подключения.Неверно указан пользователь или парольНеправильное имя пользователя

Текущая конфа

клиент кейклок, прошу заметить скоп username кастомный (возможно)

{
  "clientId": "1ctestOIDCIIS",
  "name": "",
  "description": "",
  "rootUrl": "",
  "adminUrl": "",
  "baseUrl": "",
  "surrogateAuthRequired": false,
  "enabled": true,
  "alwaysDisplayInConsole": false,
  "clientAuthenticatorType": "client-secret",
  "secret": "c512jRabHH3xSLZe9DL9J3uXtXaiMrXj",
  "redirectUris": [
    "https://webapp.site.ru/OIDc-1ctest/authform.html"
  ],
  "webOrigins": [
    "/*"
  ],
  "notBefore": 0,
  "bearerOnly": false,
  "consentRequired": false,
  "standardFlowEnabled": true,
  "implicitFlowEnabled": false,
  "directAccessGrantsEnabled": true,
  "serviceAccountsEnabled": false,
  "publicClient": false,
  "frontchannelLogout": true,
  "protocol": "openid-connect",
  "attributes": {
    "realm_client": "false",
    "oidc.ciba.grant.enabled": "false",
    "client.secret.creation.time": "1760373220",
    "backchannel.logout.session.required": "true",
    "standard.token.exchange.enabled": "false",
    "frontchannel.logout.session.required": "true",
    "oauth2.device.authorization.grant.enabled": "true",
    "display.on.consent.screen": "false",
    "backchannel.logout.revoke.offline.tokens": "false"
  },
  "authenticationFlowBindingOverrides": {},
  "fullScopeAllowed": true,
  "nodeReRegistrationTimeout": -1,
  "defaultClientScopes": [
    "email",
    "username"
  ],
  "optionalClientScopes": [],
  "access": {
    "view": true,
    "configure": true,
    "manage": true
  }
}

настройка публикации

<openidconnect>
	<providers>
	<![CDATA[[
	{
	"name": "keycloak",
	"title": "KeyCloack2",
	"authenticationClaimName": "email",
	"authenticationUserPropertyName": "name",
	"endSessionEndpoint": "https://sso.site.ru/realms/DTU/protocol/openid-connect/logout",
	"discovery": "https://sso.site.ru/realms/DTU/.well-known/openid-configuration",
	"clientconfig": {
		"authority": "https://sso.site.ru/realms/DTU",
		"client_id": "1ctestOIDCIIS",
		"client_secret": "c512jRabHH3xSLZe9DL9J3uXtXaiMrXj",
		"redirect_uri": "https://webapp.site.ru/BP-DTU-Test/authform.html",
		"post_logout_redirect_uri": "https://webapp.site.ru/BP-DTU-Test/exit.html",
		"scope": "openid email",
		"response_type": "code",
		"filterProtocolClaims": true,
		"loadUserInfo": false
	}
	}
	]]]></providers>
</openidconnect>

Все еще в поисках решения

[NikitaKazakh]

Dmitry, Абсолютно аналогичная ситуация. Из "Network error" в "400". Ищу решение, если докопаюсь - напишу

[Дмитрий Кинаш]

NikitaKazakh, Dmitry, вы уже пробовали спрашивать популярные ИИ и пройтись по их советам?

Основные причины и решения

1) Некорректный redirect URI и webOrigins
В настройках клиента Keycloak в поле Valid Redirect URIs должен быть прописан тот же URI, что используется 1C при возврате после аутентификации. Это должен быть полный путь (например, https://ваш-сервер/ваша-публикация/authform.html), не wildcard! Некорректные/широкие маски вроде /* иногда приводят к ошибкам.​ В поле Web Origins пропишите корректные адреса, используемые в приложении, а не просто /*.​

2) Сетевая доступность
Проверьте, что сервер 1C и клиентские рабочие места имеют доступ к серверам Keycloak по HTTPS, путём запуска curl с соответствующих машин.​ Ошибка OP discovery error или подобные чаще всего прямо указывают на проблемы сетевой доступности—фильтруйте по логам события class=OID2Log для диагностики.​

3) Лицензирование 1C
Для связки OIDC+1C важно, чтобы лицензии клиентов выдавались сервером, а не локально на машине пользователя—иначе возможна блокировка на этапе установления сессии.​

4) Проблемы с кэшем и разными пользователями
Если на одной машине в тонком клиенте работают разные пользователи, может возникать OIDC-ошибка при авторизации. Помогает указать уникальный параметр UUID/AIDA для каждой базы в списке информбаз 1C-клиента.​

[NikitaKazakh]

Dmitry, Добрый день!

Попробуйте вот эту схему:
1.Создать файл /etc/sysctl.d/sysctl.conf с двумя строчками: net.ipv6.conf.all.disable_ipv6 = 1 и net.ipv6.conf.default.disable_ipv6 = 1.
2.Перезапустить службу сервера.

Мне помогло, всё заработало

[Dmitry]

NikitaKazakh, на кейклок? Или сервере с публикацией 1с?

[NikitaKazakh]

Dmitry, на сервере с публикацией 1С. Отпишитесь по результату, интересно

[Dmitry]

NikitaKazakh, у меня виндовый сервер, я отключил ipv6 в свойствах адаптера, и через реестр, не помогло.
Можете скинуть конфигурацию клиента кейклок и настройку публикации в файле default.vrd
а вы настраивали jwt? как вот здесь написано https://infostart.ru/1c/articles/2480616/
и я видел вы в топике на инфостат написали, это я задавал вопрос) https://forum.infostart.ru/forum71/topic332224/

[NikitaKazakh]

"name": "Company SSO",
"title": "Company SSO",
"authenticationClaimName": "sub",
"authenticationUserPropertyName": "email",
"providerconfig": {
"issuer": "https://sso.Company .ru/",
"authorization_endpoint": "https://sso.Company .ru/oauth2/auth",
"token_endpoint": "https://sso.Company .ru/oauth2/token",
"response_types_supported": ["code"],
"scopes_supported": ["openid"],
"jwks_uri": "https://sso.Company .ru/.well-known/jwks.json",
"userinfo_endpoint": "https://sso.Company .ru/userinfo"
},
"clientconfig": {
"authority": "https://sso.Company .ru",
"client_id": "X",
"client_secret": "Y",
"redirect_uri": "https://Company .ru/Company -ssl/authform.html",
"response_type": "code",
"scope": "openid",
"loadUserInfo": false
}
}
]
]]>

[Dmitry]

NikitaKazakh, Попробуйте у себя проверить без раздела с описанием провайдера, а через автообнаружение (discovery)
В целом, отличе только в "scope": "openid", и "authenticationClaimName": "sub",

<openidconnect>
	<providers>
	<![CDATA[[
	{
	"name": "keycloak",
	"title": "KeyCloack2",
	"authenticationClaimName": "sub",
	"authenticationUserPropertyName": "email",
	"endSessionEndpoint": "https://sso.site.ru/realms/DTU/protocol/openid-connect/logout",
	"discovery": "https://sso.site.ru/realms/DTU/.well-known/openid-configuration",
	"clientconfig": {
		"authority": "https://sso.site.ru/realms/DTU",
		"client_id": "1ctestOIDCIIS",
		"client_secret": "c512jRabHH3xSLZe9DL9J3uXtXaiMrXj",
		"redirect_uri": "https://webapp.site.ru/BP-DTU-Test/authform.html",
		"post_logout_redirect_uri": "https://webapp.site.ru/BP-DTU-Test/exit.html",
		"scope": "openid",
		"response_type": "code",
		"filterProtocolClaims": true,
		"loadUserInfo": false
	}
	}
	]]]></providers>
</openidconnect>

Если не заработает, то возможно, что-то не так автоабнаружается)

[NikitaKazakh]

Dmitry, изначально использовал discovery, c ним не работало

[Dmitry]

NikitaKazakh, попробовал с вашими настройками default.vrd, ни чего не изменилось

HTTP request failed with status: 400Error: Bad request Не удалось выполнить OpenID Connect аутентификацию. Проверьте правильность настроек подключения.Неверно указан пользователь или парольНеправильное имя пользователя

Буду искать решение дальше.
У вас keycloak? можете показать настройки клиента?

как скачать json с настройками клиента

[NikitaKazakh]

Dmitry, Не keycloak, самописный SSO

[Dmitry]

NikitaKazakh, удалось решить, проблема была в конфигурации подключения к sso в публикации 1с

сделал "authenticationClaimName": "email" и "authenticationUserPropertyName": "email" одинаковыми, все заработало

<openidconnect>
	<providers>
	<![CDATA[[
	{
	"name": "Keycloak",
	"title": "Keycloak apache",
	"authenticationClaimName": "email",
	"authenticationUserPropertyName": "email",
	"providerconfig": {
		"issuer": "https://sso.site.ru/realms/DTU",
		"authorization_endpoint": "https://sso.site.ru/realms/DTU/protocol/openid-connect/auth",
		"token_endpoint": "https://sso.site.ru/realms/DTU/protocol/openid-connect/token",
		"response_types_supported": ["code"],
		"scopes_supported": ["openid"],
		"jwks_uri": "https://sso.site.ru/realms/DTU/protocol/openid-connect/certs",
		"userinfo_endpoint": "https://sso.site.ru/realms/DTU/protocol/openid-connect/userinfo"
	},
	"clientconfig": {
		"authority": "https://sso.site.ru/realms/DTU",
		"client_id": "client_id",
		"client_secret": "client_secret",
		"redirect_uri": "https://webapp.site.ru/apache-test-oidc1c/authform.html",
		"response_type": "code",
		"scope": "openid",
		"loadUserInfo": false
	}
	}
	]]]></providers>
</openidconnect>

[NikitaKazakh]

Dmitry, Поздравляю, надеюсь выключение IPv6 помогло. Попробуйте включить

[Dmitry]

NikitaKazakh, с включеным ipv6 работает