АХ2012 Электронная подпись

[iCloud]

Приветствую коллеги!
Интересует такая штука. В АХ2012 в Параметрах (Сервис-Параметры) в категории Разное есть такая настройка "Электронная подпись".

Не подскажете для чего это используется? Заранее спасибо.

Как это выглядит:

[lvan]

она и в 2009 была
используется для электронной подписи
http://lmgtfy.com/?q=dynamics+ax+ele...+signature&l=1

[iCloud]

Цитата:

Сообщение от lvan

она и в 2009 была
используется для электронной подписи
http://lmgtfy.com/?q=dynamics+ax+ele...+signature&l=1

В 2009 не помню чтобы она была, ну если так то буду знать. Спасибо.

Просто на самом деле вбить в гугле любой может, а подсказать что-то стоящее где можно про это почитать может наверняка тот кто с этим сталкивался и далеко не каждый.

Просто интересно с чем можно синтегрировать по умолчанию АХ2012. Ведь в виде закрытого ключа выступают как "флешки" так и смарт-карты и т. д.

Если кому интересно - почитать крайний закон об ЭЦП:
http://base.consultant.ru/cons/cgi/o...e=LAW;n=144685

[Ivanhoe]

В 2009 можно было настроить запрос подтверждения разных действий электронной подписью (в простейшем случае - запрашивался пароль доменного пользователя) и потом можно было просмотреть список таких операций. В основном это было в т.н. Life science - спецификации и что-то еще для производства.

Кстати, хелп в 2012 достаточно подробный: http://technet.microsoft.com/en-us/l.../dd362020.aspx и ниже в топиках.

[Vasiliy Petrovich]

Вопрос: можно ли вместо отдельного пароля для электронной подписи сделать так, чтобы использовался пароль пользователя? (тот, что при входе в систему используется - из Active directory)

[Vadik]

Цитата:

Сообщение от Vasiliy Petrovich

Вопрос: можно ли вместо отдельного пароля для электронной подписи сделать так, чтобы использовался пароль пользователя? (тот, что при входе в систему используется - из Active directory)

Смысл электронной подписи в том чтобы получить подтверждение того, что пользователь находящийся в данный момент за компьютером и пользователь запустивший клиента AX - это одно лицо (посредством повторного ввода пароля). Если пароль не перезапрашивать и полагаться на аутентификацию сделанную в момент входа в систему, электронная подпись как таковая теряет смысл (можно полагаться на CreatedBy и ModifiedBy). Сценарии, в которых операция "подписывается" от имени пользователя, хотя фактически проводится не им:
- Вася отошел к кулеру и не заблокировал систему, Петя подбежал к Васиному компьютеру и списал от имени Васи 5 ноутбуков
- пока Вася работал в системе, Петя оглушил Васю, стукнув его по голове пресс-папье, и "выдал" ему (на самом деле себе) деньги из кассы

[Vasiliy Petrovich]

я не про то, что повторно вводить, а про то, что пароль другой (т.е. два пароля разных используется в итоге)
т.е. охота вводить один пароль и для входа и для подписи

[DSPIC]

ответ - нельзя.
Пароль введенный в ЦП тспользуется для создания сертификата на уровне SQL, которым тот же SQL впоследствии подписыват "документ", созданный на основе изменяемой рекорды. Т.е. чтобы это повторить - нужно ввести пароль, который из Win не выцепить. Нужно его где-то дополнительно хранить. Пароль введенный при создании ЦП нигде не хранится.

[Vadik]

Цитата:

Сообщение от Vasiliy Petrovich

я не про то, что повторно вводить, а про то, что пароль другой (т.е. два пароля разных используется в итоге)
т.е. охота вводить один пароль и для входа и для подписи

Виноват, отвечал по памяти ("как это было в 4.0"). Будет время, разберусь с тем что там наворотили в 2012, отвечу

[Vasiliy Petrovich]

всё-таки можно сделать одинаковые пароли
в процессе накопал забавный баг
огзабда настолько секурная, что сохраняет введенные пароли в SysLastValue МУХАХАХА
а тут вот пишут, что не сохраняет https://technet.microsoft.com/EN-US/.../dd362096.aspx - врут и не краснеют!
кто тут из микрософта, залатайте дыру что-ли
классы SIGPassphraseCreateDialog SIGPassphraseDialog

[TasmanianDevil]

Коллеги, помогите кто чем может.

Поставили задачу разобраться детально с ЭЦП в 2009-й.
Изучил вышеприведенные ссылки на руководство.
Включил конфигурационный ключ.
Завел на себя, живущего в административной группе с полными правами на все, сертификат с паролем.
Создал в нужном мне домене пользовательское правило требования ЭЦП на изменение поля Posted в InventJournalTable, чтоб ЭЦП присобачивалось к складскому журналу при его разноске.

Перезапустил клиента с очисткой пользовательского кэша и перезапустил AOS на всякий случай - ничего, кроме ошибки "В проводке нет необходимой подписи", при разноске не наблюдаю. Никакого запроса на ввод пароля, ничего

Что я мог пропустить ?

P.S. таблица журналируется, созданное правило отлавливается, факт обновления поля идентифицируется. Попытался по перекрестным ссылкам проследить путь вызовов класса SIGPassphraseDialog, запрашиваеющего пароль, до журнализации - не смог.

[Ivanhoe]

Возможно, из-за особенностей разноски не выдается диалог и происходит ошибка. Формально в документации https://technet.microsoft.com/en-us/.../dd309646.aspx они сняли ответственность:

Цитата:

Custom requirements for electronic signatures can cause application errors. Make sure that you test the effects of a custom requirement for electronic signatures before you implement the requirement in a production environment.

[TasmanianDevil]

Цитата:

Сообщение от Ivanhoe

из-за особенностей разноски не выдается диалог

Исполнение кода на сервере таковой является ?
Разноска складского журнала и фиксация изменений по журналу БД в рамках этого процесса делается на сервере.

Попробую поиграться с правилами требования ЭЦП, которые явно с клиента будут вызываться .

[Ivanhoe]

Да, думаю, из-за сервера. Скорее всего, придется писать свой "процесс" по аналогии с производственными примерами стандарта.

[TasmanianDevil]

Цитата:

Сообщение от Ivanhoe

Да, думаю, из-за сервера.

Именно так и оказалось.
Настроил правило, срабатывающее на форме - все запело.

[Ivanhoe]

А как вы это сделали? Для истории.

[TasmanianDevil]

Цитата:

Сообщение от Ivanhoe

А как вы это сделали? .

Да все по инструкции:

1. Включил конфигурационный ключ
2. В настройках пользоователя (себя) сгенерил сертификат с паролем
3. Для нужного домена настроил правило требования подписи для нужной таблици при модификации нужного поля
4. Перезапустил клиента
5. При следующем запуске при сохранении модифицированной записи вылез диалог, в котором заполнил код причины и комментарий
6. Ввел пароль подписи
7. Наблюдаю в журнале БД следующую картину и морщу мозг на предмет как это можно и можно ли вообще в приличном виде с минимальными модификациями использовать дальше

[Ivanhoe]

Ну т.е. поменяли изначальный подход? Не поле Posted из складского журнала, а другое?

[TasmanianDevil]

Цитата:

Сообщение от Ivanhoe

Ну т.е. поменяли изначальный подход? Не поле Posted из складского журнала, а другое?

Не-не-не, просто проверка, для окончательной уверенности.

С формы срабатывает вызов диалога ЭЦП из super() в validateWrite() источника формы, т.е. из закрытого системного класса. Вызов идет через экземпляр класса Info через вызов статического метода у SIGBaseDocument::checkAndCache() с передачей в него типа логирования и логируемой записи -оттуда вся чехарда с регистрацией и начинается..

Я во всю ветку вызовов накидал брекпойнтов - ни одна не сработала при выполнении обновления поля в коде на сервере. К сожаление, нет в у меня в лицензии производства, дабы проверить работу стандартных предопределенных правил и окончательно подтвердить, либо опровергнуть предположение о том что при обновлении записи на сервере правила ЭЦП не работают.

Хотя ...
Есть одна идея.
Проверить надо работу SIGBaseDocument::checkAndCache() в части повторного вызова на одой и той же записи - если при наличии в глобальном кэше отметки он игнорит повторный вызов, то можно прицепить ЭЦП и в обновлениях на серверных классах путем добавлением вызовов SIGBaseDocument::checkAndCache() в классе Apllication перед super() в logInsert(), logUpdate() и logDelete().