у вашей организации отсутствует параметр oid в единой системе идентификации и аутентификации есиа
У вашей организации отсутствует параметр oid в единой системе идентификации и аутентификации есиа
1. Для начала необходимо определить ответственного за эксплуатацию информационной системы. В дальнейшем этот человек будет выступать в роли администратора учетной записи (кабинета) организации в ЕСИА и выполнять действия от имени организации.
3. Необходимо создать учетную запись юридического лица через портал Госуслуг (см. раздел 3.2 Руководства). Для этого потребуется средство квалифицированной электронной подписи (КЭП) юридического лица (в т.ч. это может быть подпись ЭП-СП). За получением средства КЭП нужно обратиться в один из аккредитованных Минкомсвязью России удостоверяющих центров вашего региона. Подробнее о процессе получения КЭП можно почитать здесь: http://minsvyaz.ru/ru/appeals/faq/35/
4. Необходимо зарегистрировать ИС через технологический портал (http://esia.gosuslugi.ru/console/tech). Подробную инструкцию по регистрации ИС в ЕСИА смотрите в руководстве пользователя технологического портала: http://minsvyaz.ru/ru/documents/4545/. В результате регистрации ваша информационная система заносится в реестр ИС, взаимодействующих с ЕСИА. Для ИС присваивается буквенно-цифровой код — мнемоника.
После этого можно переходить к техническому этапу.
1. Теперь для своей ИС необходимо сгенерировать закрытый ключ и сертификат открытого ключа. Закрытый ключ будет использоваться модулем авторизации, а сертификат требуется для идентификации ИС при взаимодействии с ЕСИА (см. пп. 2 п. 3.1.1 Методических рекомендаций).
2. Отправляем заявку на подключение ИС к тестовой среде ЕСИА. Форма заявки указана в Приложении К Регламента. К заявке прикладывается сертификат ключа, созданный на предыдущем шаге. В результате регистрации в министерстве связи ваша ИС получает возможность использовать созданный ключ для взаимодействия с Оператором ЕСИА.
3. Теперь нужно разработать или купить модуль авторизации ЕСИА, который будет встраиваться в ИС и обеспечивать процедуры формирования и отправки запросов и получения данных.
4. Когда модуль авторизации встроен и пришёл ответ Минкомсвязи о получении тестового доступа можно произвести отладку взаимодействия модуля авторизации и ЕСИА.
5. После отладки нужно направить заявку на подключение ИС к промышленной среде ЕСИА. Форма заявки для коммерческих компаний указана в Приложении Н Регламента. Как и в случае с подключением к тестовой среде, к заявке необходимо приложить сертификат ключа, полученный на шаге 1.
Интеграция с ЕСИА: ответы на частые вопросы о подключении организации к ЕСИА
Официальные инструкции запутанны и сложны для восприятия, так что мы подготовили FAQ по теме интеграции с ЕСИА на основе вопросов, которые чаще всего задают наши клиенты.
Что такое ЕСИА
Министерство цифрового развития, связи и массовых коммуникаций уже больше десяти лет разрабатывает и совершенствует безопасный сервис авторизации для различных государственных сервисов и сайтов. Он получил название «Единая система идентификации и аутентификации» — ЕСИА. Это универсальный ключ доступа к ресурсам электронного правительства РФ.
Если вначале ЕСИА применялась для авторизации на портале Госуслуг, то по мере выполнения Федерального проекта «Цифровое государственное управление» и появления новых суперсервисов, ее сфера применения расширилась.
ЕСИА применяется для взаимодействия с органами власти и за пределами государственного сектора. К сервису подключаются порталы и IT-системы частных компаний из числа тех, для которых точная и безошибочная идентификация пользователей — приоритет.
Доверие к ЕСИА обеспечено продуманной криптографической защитой и тем фактом, что учетная запись пользователя этой системы содержит подтвержденную государством информацию, начиная с фамилии и заканчивая номером пенсионного свидетельства.
Как работает ЕСИА
С точки зрения пользователя вход на сайт или в мобильное приложение при помощи ЕСИА не отличается от использования аккаунта Google, Яндекс или одной из популярных социальных сетей.
Пользователь кликает по кнопке «Госуслуги». Открывается окно для ввода логина и пароля, и, после их ввода, авторизованный пользователь перенаправляется на исходную страницу.
В момент ввода данных сайт обращается к отдельному программному модулю — коннектору, отвечающему за связь с ЕСИА. Коннектор формирует зашифрованный запрос к серверам сервиса и получает в ответ пакет с личными данными пользователя. Они расшифровываются при помощи криптографического ключа, выданного организации заранее, еще на этапе настройки коннектора. Затем, личные данные передаются на сайт.
Такая схема подключения позволяет реализовать разнообразные сценарии взаимодействия пользователя и сайта. В случае с банковскими продуктами использование сервиса может выглядеть так:
Кто может подключиться к ЕСИА
ЕСИА создавалась, чтобы облегчить предоставление государственных услуг, так что интеграция с этим сервисом доступна всем государственным учреждениям. Помимо них, такая привилегия выдана нескольким разновидностям юридических лиц, занимающихся коммерческой деятельностью.
Интегрироваться с ЕСИА могут:
Какие данные можно получать из ЕСИА
Для организаций, зарегистрированных в ЕСИА, этот список составляют типовые реквизиты: наименование, юридический адрес, ОГРН, код ОКПО и т.д. Кроме того, при создании учетной записи присваивается один из трех статусов, отражающих ее надежность.
Государственные органы, с разрешения владельца учетной записи, могут получить всю информацию из аккаунта, но для коммерческих организаций доступ ограничен. Им доступны данные о подтвержденности аккаунта, ФИО пользователей и часть паспортных данных.
Какие бывают учетные записи в ЕСИА
Каждый новый пользователь сервиса первоначально получает «упрощенную» учетную запись с ограниченными возможностями. Когда пользователь указывает правильные паспортные данные или СНИЛС, аккаунт проходит проверку со стороны государственных органов, и учетной записи присваивается статус — «стандартная». Для получения «подтвержденного» аккаунта его владелец должен пройти идентификацию при помощи авторизованного интернет-банка или лично посетив МФЦ.
Сколько пользователей в ЕСИА
Министерство цифрового развития, связи и массовых коммуникаций открыто не отчитывается о числе пользователей ЕСИА, так что судить об их количестве можно лишь приблизительно, по устаревшим данным.
Согласно отчету Ростелеком, сервисом пользуется больше 80 миллионов человек — каждый второй житель России.
Для чего ЕСИА коммерческим компаниям
Для негосударственных организаций сервис открывает новые возможности, не связанные с получением персональных данных.
Как зарегистрировать организацию в ЕСИА
Процедура начинается с юридических формальностей. Прежде всего, необходимо выбрать ответственное лицо — администратора IT-системы, которая будет работать с ЕСИА. В этой роли может выступать руководитель организации или его доверенное лицо. Администратор подтверждает личность через портал госуслуг и регистрирует там организацию.
Затем администратор оформляет квалифицированную электронную подпись и вносит новую IT-систему в особый регистр. Эта процедура подробно изложена в детальном руководстве.
После регистрации IT-системе присваивается мнемоника — индивидуальный код-идентификатор. Он потребуется техническим специалистам для дальнейшей настройки системы.
Как подключить сайт организации или другую IT-систему к ЕСИА
Следующий шаг на пути интеграции с сервисом требует привлечения специалистов с технической квалификацией в области информационной безопасности. Чтобы подключить сайт или другую IT-систему к сервису, необходимо сгенерировать криптографический ключ и соответствующий ему сертификат.
Сертификат передается государству. В ответ Минкомсвязи высылает разрешение на тестовый доступ к сервису и данные для пробного подключения.
Далее следуют работы по разработке и настройке коннектора между IT-системой организации инфраструктурой сервиса. Разработчикам предстоит научить их взаимодействовать между собой — принимать и отправлять запросы в автоматическом режиме. Минкомсвязи даст разрешение на полноценный запуск IT-системы только после того, как коннектор стабильно заработает в тестовом режиме.
Какой протокол использовать для подключения к ЕСИА и чем он отличается от стандартов
Для интеграции сайта или IT-системы с ЕСИА используется сочетание авторизации по OAuth 2.0 и аутентификации при помощи OpenID Connect. Это распространенные решения с подробной документацией и многочисленными примерами использования, но применить их для интеграции с сервисом «как есть» не получится.
Хотя создатели сервиса в целом придерживались стандартных спецификаций, им пришлось разработать собственный Application Programming Interface для приема электронных подписей. Чтобы подключение к ЕСИА было успешным, стандартным библиотекам OpenID/OAuth необходима ручная доработка.
Какой сертификат нужен для регистрации системы в ЕСИА и обязательно ли использовать ГОСТ-криптографию?
В октябре 2019 года Минкомсвязи обновило методические рекомендации, исключив из них упоминания стандарта шифрования RSA (Rivest, Shamir и Adleman) и самоподписанных сертификатов. Их использование больше не допускается.
Теперь российские алгоритмы шифрования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 — единственные стандарты, которые доступны для использования с ЕСИА.
Сертификаты обязательно должны быть выпущены сертифицированным удостоверяющим центром.
Какие готовые решения можно использовать для подключения
В отдельных отечественных системах управления сайтами предусмотрены инструменты для подключения к ЕСИА, но переносить сайт на новую CMS ради интеграции с порталом госуслуг нецелесообразно, и, зачастую, попросту невозможно.
Универсальное решение — библиотеки с открытым исходным кодом. С их помощью можно обеспечить работу с сервисом для любой IT-системы, но для их настройки требуются технические навыки. Мы предпочитаем использовать Open Source компоненты, однако дорабатываем и адаптируем их для каждого проекта.
Можно ли подключить к ЕСИА мобильное приложение
Да, но в приложение должен быть интегрирован браузер. Он необходим только для авторизации, так что все остальные операции с приложением можно реализовать через обычный интерфейс. Например, так функционируют приложения «Госуслуги» и «Почта России».
Сколько времени уходит на подключение к ЕСИА
Формальная сторона процедуры, включающая регистрацию аккаунтов и ожидание мнемонического кода от Минкомсвязи, обычно занимает около недели.
На работы по настройке коннектора для базового подключения требуется две — три недели. В случаях, когда необходимо получение данных из аккаунта ЕСИА и дальнейшая их обработка, срок увеличивается.
Сколько стоит подключение
Государство не взимает платы за использование системы авторизации и идентификации. Подключение к ЕСИА бесплатно, однако на самостоятельную настройку коннектора для работы с сервисом придется потратить силы и время.
Практика показывает, что интеграция силами штатных сотрудников IT-отдела компании удается не всегда. Настройку интеграции сайта или иной IT-системы с ЕСИА лучше доверить опытной команде, которая неоднократно выполняла эту процедуру. Стоимость работ специалистов варьируется в зависимости от сложности системы и масштабов проекта.
Предупреждает ли Минкомсвязи о регламентных работах
Минкомсвязи не публикует график работ, но за несколько часов до начала технического обслуживания предупреждает об отключениях сервиса при помощи сообщений на сайте государственных услуг.
Отключения ЕСИА редки и, как правило, происходят в часы наименьшей нагрузки на сервис, а восстановление работы авторизации происходит автоматически.
Где можно найти дополнительную информацию о ЕСИА
Инструкции по работе с сервисом периодически пересматриваются, обновляются и дополняются, поэтому, изучив ответы на распространенные вопросы, стоит обратиться к первоисточникам.
Общую информацию о подключении к ЕСИА, а также контакты для связи с Ситуационным центром Минкомсвязи, где можно получить консультацию по правовым аспектам подключения, приведены на информационной странице ЕСИА на портале Госуслуг.
Актуальные документы, касающиеся сервиса, публикуются на официальном портале Минкомсвязи РФ. Перечень документов, которые публикует министерство, включает в себя:
FAQ по теме интеграции с ЕСИА
Вот о ней и хотелось бы поговорить. Это ознакомительная статья, можно сказать ликбез. Для знакомства людей, которые еще не знают, что при необходимости можно использовать ЕСИА у себя в проектах и идти в ногу со временем вместе с государством. И так, что же это за зверь и как его рассматривает правительство.
Минкомсвязь России в рамках инфраструктуры электронного правительства создала и развивает Единую систему идентификации и аутентификации (ФГИС ЕСИА), цель которой — упорядочить и централизовать процессы регистрации, идентификации, аутентификации и авторизации пользователей.
1. Предоставляет информационным системам решение по достоверной идентификации пользователей (физических и юридических лиц, органов государственной власти).
Достоверность достигается за счет того, что:
Законодательство со временем корректируется, и вместе с ним расширяется перечень организаций, которым разрешено подключиться к ЕСИА.
Люди, не знакомые с ситуацией, при слове «государственная» сразу представляют себе каналы связи, которые необходимо защитить при помощи отечественных криптоалгоритмов со всеми вытекающими затратами, лицензиями и оборудованием. Но, как бы смешно это не было (или печально), главная площадка для идентификации в стране – работает с иностранной криптографией (а куда деваться).
Поэтому, если вы хотите воспользоваться услугами данной платформы, то можете размещать свои ресурсы где у годно в нашей огромной стране, в том числе и в нашей инфраструктуре Cloud4Y.
Что же может получить коммерческая организация из ЕСИА?
Перечень доступных к получению сведений зависит от:
Государственные организации могут получать из ЕСИА полный набор данных о пользователе и его организациях. Это следующие сведения:
Как подключиться?
Чтобы подключить сайт своей организации, нужно пройти несколько довольно несложных процедур.
В общих чертах для подключения к ЕСИА нужно:
Здесь нужно заметить, что с 01.01.2018 г. взаимодействие по протоколу SAML 2.0 больше не будет разрешено (только для действующих систем). Для подключения к ЕСИА необходимо будет использовать протокол OAuth 2.0 / OpenID Connect (сейчас доступны оба варианта).
Аутентификация пользователя в системе
Рекомендуемый сценарий аутентификации пользователя при интеграции по OpenID Connect 1.0 в его базовом виде происходит по следующему сценарию:
Подключаться или нет?
За операторов, в связи со вступлением в действие закона о мессенджерах данный вопрос практически решен.
Напомним, в соответствии с Федеральным законом №245 «О внесении изменений в Федеральный закон «О связи» от 29 июля 2017 года, операторы связи обязаны проверять достоверность сведений об абоненте. В законе закреплен перечень способов проверки, одним из которых является использование Единого портала государственных и муниципальных услуг или информационных систем госорганов при наличии подключения к ним у операторов через СМЭВ.
Поправки в ФЗ «О связи» вступают в силу 1 июня 2018. До этого времени операторы связи смогут протестировать работу своих систем со СМЭВ и ЕСИА. 
Становится ли чебурнет всё ближе? Официальных заявлений о планах сделать выход в Интернет возможным только через ЕСИА нами не найдено. На данный момент, по официальным данным, в ЕСИА зарегистрировано около 50 миллионов пользователей (физических лиц) и около 300 000 организаций.
Интеграция ИС с ЕСИА посредством SAML
При выполнении очередного госзаказа наша команда столкнулась с проблемой интеграции сайта с ЕСИА. Инструкции по решению этой задачи в сети нет, кроме информации в официальных документах МинКомСвязи (примерно 300 страниц в трех регламентах). Также есть компании, которые оказывают платные услуги по интеграции ЕСИА. Мы реализовали, описали процесс интеграции и решили поделиться с сообществом habrahabr.
Что такое ЕСИА
Единая Система Идентификации и Аутентификации — российская информациия система, обеспечивающая доступ (регистрация, аутентификация) на сайты государтсвенных структур и некоторых коммерческих организаций. Подробнее на википедии
В процессе интеграции ЕСИА, система сможет отправлять запрос на ЕСИА и при успешной авторизации получать в качестве ответа данные пользователя
Сценарий авторизации выглядит примерно так:
Содержание
Общие сведения
На сайте МинКомСвязи размещен документ, именуемый «Методические рекомендации по использованию Единой системы идентификации и аутентификации», последнюю актуальную версию всегда можно найти на сайте МинКомСвязи. Документ сам по себе немаленький — почти 200 страниц, и, конечно же мало кто захочет его подробно изучать, да и понятен он будет не всем желающим, поэтому опишу тут процесс в сухом остатке.
Подключить ИС к ЕСИА возможно двумя способами:
Если сравнивать 2 подхода, то по факту разницы между ними большой нет, есть несколько плюсов у способа на базе подхода REST. Есть ребята, которые на мой взгляд за немалые деньги подключают ЕСИА и о преимуществах REST они написали тут.
Но для подавляющего большинста случаев первый подход охватывает все необходимые функции. Поэтому расскажу о внедрении ЕСИА посредством SAML 2.0
Установка SimpleSAMLphp
Для интеграции будем использовать SimpleSAMLphp. Если система, которую вы настраиваете написана не на PHP, то все равно можно использовать этот модуль, просто на вашем сайте будет функция аутентификации реализована на php, данные от ЕСИА вы получите в xml формате.
Последняя официальная версия SimplSAMLphp доступна на официальном сайте SimpleSamlPHP. Скачиваете архив, распаковываете модуль в папку /var.В целях безопасности для папки с разархивированным модулем необходимо настроить права доступа только для root пользователя. В конфигурации сервера необходимо добавить алиас и следующие правила:
Суть в том, чтобы по запросу ServerName/simplesaml открывалась приветственная страница simplesaml. Если вы все сделали правильно, то по запросу ServerName/simplesaml вы увидите такую страничку
Настройка SimpleSAMLphp для подключения к тестовой среде ЕСИА
Для интеграции необходимы сертификат ( cert.crt ) и ключ ( key.key ). Важно(!) с ГОСТовским сертфикатом ничего не выйдет, можно получить бесплатный сертификат, погуглив как это делается, либо выпустить сертификат самому. Ключ и сертификат кладем в папку simplesamlphp/cert
Для конфигурации SimpleSAMLphp необходимо отредактировать следующие файлы:
Важное замечание — время на сервере не должно отличаться от времени ЕСИА больше 1 минуты.
Важно знать, есть ли у системы entityID, если его нет, то в поле ‘entityID’ необходимо указать адрес системы
Теперь надо получить подпись для нашего сертификата (fingerprint). Это можно сделать в терминале одной из команд
Конфигурация файла метаданных
Теперь необходимо сгонфигурировать файл метаданных для того, чтобы его отправить вместе с заявкой в ЕСИА
Файл метаданных доступен по ссылке: ServerName/simplesaml/module.php/saml/sp/metadata.php/esia?output=xhtml
Пример файла метаданных:
Но, к сожалению, SimpleSaml формирует файл метаданных, который немного отличается от требования ЕСИА, поэтому необходимо его подкорретировать в соотвествии с рекомендациями пункт А.6 Шаблон файла метаданных
Пример файла метаданных, удовлетворяющий требованиям ЕСИА, может скачать по ссылке example.xml
Отправка заявки в адрес МинКомСвзяи на подключение ИС к тестовой среде ЕСИА
Теперь формируем заявку по форме «E» Регламента информационного взаимодействия Участников с Оператором ЕСИА. Форму заявки в формате docx можете скачать с нашего сайта по ссылке.
Теперь необходимо отправить заявку на почту esia@minsvyaz.ru с темой «Интеграция тестовой ЕСИА» и к письму необходимо приложить три файла:
После получения ответа от поставщика услуг (ЕСИА) со статусом «Решен» и приложенными файлами для тестирования, переходим к следующему шагу.
Возможно Вам придет ответ с темой «Требуется дополнительная информация по запросу #», в этом случае в письме будет информация о том, что необходимо исправить.
Функциональная интеграция с ЕСИА и получение данных авторизированных пользователей через ЕСИА
При корректном выполнении всех предыдущих пунктов по ссылке откроется страница с тестовой средой ЕСИА. Для аутентификации в тестовой среде используются данные, полученные от ЕСИА в письме со статусом «Решен». После аутентификации произойдет переход на страницу SimpleSAML с таблицей с полученными данными от ЕСИА.
Теперь напишем скрипт, который будет обрабатывать данные. Для начала добавим кнопку для авторизации на сайт.
Отправка заявки на подключение ИС к продуктивной среде ЕСИА
Теперь формируем заявку по форме «М» Регламента информационного взаимодействия Участников с Оператором ЕСИА. Она не сильно отличается от формы Е, но внимательно изучите форму, необходимо в форме добавить запрашиваемые данные и уже не надо прикреплять файл сертификата.
Теперь формируем новый файл метаданных, по факту меняются только ссылки в полях Service
По адресу esia@minsvyaz.ru отправляем письмо и прикрепляем 2 файла:
Теперь вы должны получить ответ со статусом «Решен», после этого можете вводить функцию входа через ЕСИА в эксплуатацию.
На момент написания статьи актуальная версии Регламента — 2.7. При обновлении регламента возможны некоторые изменения во взаимодействии ИС с ЕСИА.
У вашей организации отсутствует параметр oid в единой системе идентификации и аутентификации есиа
Административные привилегии при установке плагина не требуются, если плагин устанавливается для использования текущим пользователем. Если же в процессе установки плагина выбрана опция установки плагина для всех пользователей компьютера, то для продолжения установки будет необходимо ввести пароль администратора.
Необходимо ли перезапускать браузер после установки плагина?
Нет, при установке плагина не требуется перезапускать браузер и операционную систему. Если плагин корректно встроен на ваш веб-сайт, то веб-страница может проверить, установлен ли плагин, а также подсказать пользователю о необходимых действиях, связанных с его установкой.
Мы хотели бы использовать ваш плагин на своем сайте. Можем ли мы предоставлять пользователям плагин для загрузки с нашего сайта? Возможно ли для нашей версии изменить название и логотип плагина?
Да, если вы купили лицензию, вы можете использовать и распространять плагин с вашего веб-сайта. Вы также можете заказать выпуск специальной версии плагина, брендированной для вашей компании или вашего сайта. Свяжитесь с нами для получения дополнительной информации.
Можно ли с вашим плагином использовать электронную подпись на смартфонах и планшетах?
К сожалению, наш плагин работает только на компьютерах под управлением операционных систем Windows, macOS и Linux (Linux Ubuntu 14/16, Linux Fedora 23, Linux Mint 17/18, CentOS и др.). Операционные системы мобильных устройств, такие как IOS и Android, не поддерживаются.
Ваш плагин не поддерживает мой тип ключей. Можно ли добавить мой токен в число поддерживаемых?
Пожалуйста, обратитесь к нами с использованием формы обратной связи. Сообщите нам имя токена и его производителя. Мы сообщим, сможем ли поддержать запрошенный тип ключей.
Будет ли плагин работать со старыми версиями браузера Firefox, в том числе действующим ESR-релизом?
Да, Blitz Smart Card Plugin совместим как со старыми версиями Firefox, использующими NPAPI, так и новыми версиями Firefox (версия 52 и новее), работающими через Native Messaging API. Поставляющийся с плагином JavaScript проверяет версию Firefox, установленного у пользователя, и использует актуальный способ взаимодействия с плагином.
Какие требования предъявляются к веб-сайту, чтобы он мог использовать функции подписания документов?
Blitz Smart Card Plugin — это клиентское программное обеспечение. Это означает, что браузер сможет вызывать функции работы с электронной подписью только после установки на машину пользователя специального плагина. Вместе с плагином предоставляется JavaScript, который должен быть встроен на сайт для возможностей использования функций электронной подписи.
Единая система идентификации и аутентификации
Что такое ЕСИА?
Единая система идентификации и аутентификации (ЕСИА) — государственная система, с помощью которой граждане России могут входить на различные сайты без необходимости отдельно регистрировать на этих сайтах учетные записи. Задача не нова — многие пользователи уже привыкли для входа на сайты использовать свои существующие аккаунты в социальных сетях. Что по‑настоящему отличает ЕСИА от похожих сервисов Google/Facebook/VK, так это возможность достоверной идентификации. С помощью ЕСИА человек входит на сайт не под придуманным, а под своим настоящим именем.
Первоначально ЕСИА использовалась для доступа к федеральному порталу государственных услуг. Теперь ЕСИА используется для доступа к большинству государственных сайтов и начинает использоваться в коммерции там, где важна достоверная идентификация. Например, с помощью ЕСИА можно получить доступ к сайту налоговой службы, проверить накопления в пенсионном фонде, оформить страховку и даже проголосовать. Количество подключенных к ЕСИА сайтов уже перемахнуло за тысячу.
Как мне зарегистрироваться в ЕСИА?
В случае затруднений можно обратиться в техническую поддержку портала госуслуг по телефону 8 800 100‑70‑10 или написать письмо на support@gosuslugi.ru.
Для регистрации также можно обратиться в ближайший центр обслуживания.
Как зарегистрировать организацию в ЕСИА?
Зарегистрировать организацию может руководитель организации (в справочнике ЕГРЮЛ налоговой службы этот человек должен быть указан как лицо, имеющее право действовать без доверенности от имени организации). Если руководитель сам еще не зарегистрирован в ЕСИА, то ему нужно пойти на сайт www.gosuslugi.ru и зарегистрироваться. После этого нужно войти в свой личный кабинет и найти там операцию регистрации организации. Лучше всего для этого воспользоваться прямой ссылкой. При регистрации потребуется подписать заявление квалифицированной электронной подписью, получить которую можно в любом аккредитованном удостоверяющем центре. Для установки подписи можно использовать средство электронной подписи, с помощью которого организация подает электронную отчетность в налоговую или участвует в электронных торгах.
Как подключить сайт своей организации к ЕСИА?
В общих чертах для подключения к ЕСИА нужно:
Назначенному ответственному сотруднику организации нужно с помощью веб-приложения «Технологический портал ЕСИА»:
Ответственному сотруднику организации нужно:
Разработчикам подключаемой системы:
Отладить взаимодействие в тестовой и промышленной среде ЕСИА.
Сколько времени уходит на подключение к ЕСИА?
Технически подключение системы к ЕСИА с использованием готового решения выполняется в течение рабочего дня. Также необходимо до 5 дней (обычно 1-2 дня) на одобрение Минкомсвязи каждой поданной заявки на подключение к ЕСИА (последовательно подается две заявки — сначала на подключение к тестовой среде, после ее одобрения — на подключение к промышленной среде).
В случае самостоятельной интеграции системы с ЕСИА в зависимости от используемого способа подключения (SAML или OIDC) и сложности интеграции на технические работы может потребоваться от нескольких недель до месяцев работы.
Сколько стоит подключиться к ЕСИА?
В настоящий момент подключение к ЕСИА и ее использование бесплатно. Вместе с тем есть законодательные инициативы, направленные на то, чтобы коммерческие организации подключались к ЕСИА за плату. Но пока возможность платного подключения отсутствует.
Кто может подключиться к ЕСИА?
Подключить систему к ЕСИА может любая государственная организация, а также отдельные виды коммерческих организаций: страховые компании, кредитные организации (банки), профессиональные участники рынка ценных бумаг, негосударственные пенсионные фонды, микрофинансовые и микрокредитные организации, а также операторы связи.
Законодательство со временем корректируется, и вместе с ним расширяется перечень организаций, которым разрешено подключиться к ЕСИА.
Я представляю коммерческую организацию. Могу ли я подключиться к ЕСИА?
Только если ваша организация входит в одну из разрешенных категорий: страховые компании, кредитные организации (банки), профессиональные участники рынка ценных бумаг, негосударственные пенсионные фонды, микрофинансовые и микрокредитные организации, операторы связи.
Я представляю УЦ. Могу ли я использовать ЕСИА для идентификации пользователей?
В настоящий момент УЦ не может использовать ЕСИА для идентификации пользователей. Вместе с тем УЦ в соответствии с законом об электронной подписи может осуществлять в ЕСИА регистрацию пользователей, а также передавать в ЕСИА сведения о выпущенных квалифицированных сертификатах электронной подписи.
Какие данные можно получать из ЕСИА?
Перечень доступных к получению сведений зависит от:
Минкомсвязь ограничивает перечень данных, доступных коммерческим организациям. Обычно разрешают получать только сведения о ФИО, реквизитах паспорта (серия и номер, кем и когда выдан), гражданстве, а также признака «подтвержденности» аккаунта и идентификатора аккаунта в ЕСИА.
Государственные организации могут получать из ЕСИА полный набор данных о пользователе и его организациях. Это следующие сведения:
Сведения предоставляются в том объеме, в каком они заполнены пользователем в ЕСИА, а также при условии согласия пользователя на предоставления этих сведений.
При подключении системы к ЕСИА по протоколу SAML к получению доступно значительно меньше данных, чем можно получить при подключении системы по OpenID Connect. Детальная информация приведена в документе «Методические рекомендации по использованию ЕСИА».
Какие учетные записи бывают в ЕСИА? Чем отличаются «подтвержденная», «стандартная» и «упрощенная» учетные записи?
С точки зрения конечного пользователя существует три статуса учетной записи:
При подключении к ЕСИА коммерческой системы можно разделять только то, является ли учетная запись «подтвержденной» или нет. Данные для того, чтобы отличить упрощенную учетную запись от стандартной коммерческим системам не предоставляются.
Государственная система может получить более детальную информацию о типе учетной записи и даже об использованном типе подтверждения учетной записи (каким способом пользователь подтверждал учетную запись).
Насколько актуальны данные в ЕСИА?
Ответственность за поддержание в ЕСИА актуальности сведений целиком лежит на пользователе. При обновлении пользователем сведений в ЕСИА для ряда сведений выполняется их проверка. Верифицируются следующие сведения:
Какова полнота данных в ЕСИА?
В зависимости от того, как давно пользователь регистрировался, могут быть свои особенности по минимально заполненному у пользователя набору данных.
При отработке интеграции системы с ЕСИА нужно проверять полноту профиля согласно требованиям вашей системы и рекомендовать пользователю обновить свой профиль, если каких-то данных не хватает.
Государственные системы могут использовать в ЕСИА программный интерфейс, позволяющий обновить в ЕСИА пользовательские сведения без необходимости переадресации пользователя в интерфейс ЕСИА.
Как узнать, сколько сейчас пользователей в ЕСИА?
К сожалению, Минкомсвязь не осуществляет регулярных публикаций статистических данных о количестве зарегистрированных в ЕСИА пользователей. Тем не менее, отдельную информацию можно найти на сайте minsvyaz.ru, анализируя новости и пресс-релизы на этом сайте. Также информацию можно получать, просматривая публикации об интервью должностных лиц Минкомсвязи и Ростелекома.
По состоянию на май 2017 в ЕСИА заведено более 45 млн учетных записей. Более половины из них в «подтвержденном» статусе. Количество зарегистрированных организаций —
250-300 тысяч. Количество подключенных к ЕСИА систем — более 1 тыс. Количество действующих центров регистрации по всей России — более 10 тыс.
Предупреждает ли Минкомсвязи о регламентных работах с ЕСИА? Есть ли у ЕСИА простои (downtime)?
Заблаговременно Минкомсвязь не предупреждает о планирующихся регламентных работах. Предупреждение появляется лишь за несколько часов до проведения работ в виде дисклеймера на страницах сайта www.gosuslugi.ru и ЕСИА.
Прерывания в работе сервиса аутентификации обычно кратковременны и происходят в период минимальной активности в системе. Обычно регламентные работы по ЕСИА проводятся в ночь с четверга на пятницу.
Какой сертификат нужен для регистрации системы в ЕСИА?
Для регистрации организации в ЕСИА нужна квалифицированная электронная подпись (см. «Как зарегистрировать организацию в ЕСИА?»).
Для регистрации информационной системы и последующего взаимодействия с ЕСИА также требуется электронная подпись. Этой электронной подписью подписываются запросы к ЕСИА. В настоящий момент ЕСИА поддерживает сертификаты в формате X.509 и взаимодействует с алгоритмом формирования электронной подписи ГОСТ Р 34.10-2012 и алгоритмом криптографического хэширования ГОСТ Р 34.11-2012.
Также важно своевременно обновлять в ЕСИА зарегистрированный сертификат системы. При регистрации нового сертификата старый удалять не обязательно — ЕСИА разрешает одновременно указывать для системы несколько действующих сертификатов.
Должен ли я использовать ГОСТ‑криптографию для подключения к ЕСИА?
Нет никаких документов, обязывающих использовать ГОСТ-криптографию для подключения к ЕСИА.
Согласно действующему документу «Методические рекомендации по использованию ЕСИА» можно использовать при подключении как RSA, так и ГОСТ.
Тем не менее, если используемое техническое решение поддерживает оба варианта подключения, то это его преимущество. В случае если в будущем требования к подключению будут ужесточены, то достаточно будет заменить используемые ключевой контейнер и сертификат, доработка ПО для подключения к ЕСИА не потребуется.
Какой протокол использовать для подключения к ЕСИА? SAML или OpenID Connect?
Если подключается система коммерческой организации, то выбора нет. Разрешено использовать для подключения исключительно протокол OpenID Connect.
Если подключается государственная организация, то для подключения можно использовать любой из протоколов. Преимущества и недостатки выбора протокола для подключения рассмотрены в статье.
Насколько реализация протоколов в ЕСИА отличается от стандартов?
Реализация SAML соответствует стандарту SAML 2.0, профилям Web Browser SSO Profile и Single Logout Profile, спецификации Interoperable SAML 2.0 Web Browser SSO Deployment Profile. В части SAML в основе реализации ЕСИА лежит известный open source проект Shibboleth. Практически все популярные SAML-клиенты совместимы с ЕСИА. Нюансы ЕСИА заключаются в формате файла метаданных поставщика услуг и используемых ЕСИА утверждениях SAML Assertion для передачи сведений о пользователях. Регистрация метаданных на основе переданной ссылки не поддерживается — метаданные в ЕСИА всегда регистрируются файлом, переданным вместе с заявкой на подключение к ЕСИА. В случае изменений URL, сертификата и иных важных сведений на стороне подключаемой системы необходимо отправлять в Минкомсвязь заявку на корректировку параметров подключения к ЕСИА и прикладывать к заявке обновленные метаданные.
Реализация OpenID Connect / OAuth 2.0 в ЕСИА в целом основана на спецификации RFC6749 и профиле OpenID Connect 1.0. Но есть моменты, на которые стоит обратить внимание:
Стандартные библиотеки для подключения по OIDC/OAuth, в отличие от SAML, использовать без их доработки не получится.
Как можно проверить, что ответ с результатами идентификации получен именно от ЕСИА?
В случае SAML после получения ответа от ЕСИА необходимо обязательно проверить, что сертификат ключей, использованных для шифрования и передачи сведений о пользователе в SAML Assertion совпадает с сертификатом ЕСИА, опубликованным в метаданных ЕСИА. Если этим пренебречь, то с использованием функции входа через ЕСИА можно будет осуществлять вход на ваш сайт под чужими учетными записями в обход аутентификации пользователя. Это не единственная необходимая проверка безопасности, но одна из важнейших.
В случае OpenID Connect при входе пользователя нужно проверять полученный ID Token. Структура токена описана в документе «Методические рекомендации по использованию ЕСИА». Актуальный сертификат ключей, используемых для подписи ID Token, Минкомсвязь не публикует, но его можно запросить, обратившись в техническую поддержку ЕСИА.
Можно ли подключить к ЕСИА мобильное приложение IOS/Android?
Да, можно. От мобильного приложения при этом потребуется взаимодействовать с ЕСИА с использованием встроенного или нативного браузера в момент привязки аккаунта ЕСИА к установке приложения на мобильном устройстве пользователя. Примером реализации такой интеграции может служить штатное мобильное приложение Госуслуги.
Тем не менее, интеграция мобильных приложений с ЕСИА — это большая редкость.
Какие готовые решения можно использовать для подключения к ЕСИА?
В качестве готового решения рекомендуем рассмотреть использование ПО ESIA-Bridge. Это самый простой и эффективный способ интеграции с ЕСИА. Отработать всю интеграцию системы с ЕСИА можно в течение дня, включая даже сложные сценарии, связанные с входом в систему представителей юридических лиц и органов власти.
Если вход через ЕСИА является не единственной и не основной опцией, то рекомендуем также рассмотреть в качестве решения использование полноценного сервера аутентификации Blitz Identity Provider. Сервер аутентификации не только прединтегрирован с ЕСИА, но и предоставляет возможности по регистрации аккаунтов непосредственно на сайте подключаемой системы, различные способы входа (через соц.сети и ЕСИА, через электронную подпись, через вход в корпоративный домен, через проверку логина/пароля и последующую двухфакторную аутентификацию), гибкое управление политиками доступа, аудит событий безопасности, управление пользовательскими аккаунтами и многое другое.
Какой способ подключения к ЕСИА используется ESIA‑Bridge?
ESIA-Bridge при подключении к ЕСИА использует протокол OpenID Connect / OAuth 2.0. Поддерживается использование ключей RSA/ГОСТ на выбор заказчика.
С помощью ESIA‑Bridge возможно получение данных о пользователе как в момент его входа в систему, так и в будущем, до тех пор пока пользователь не отзовет данное системе разрешение на доступ к его данным.
Как лицензируется ESIA‑Bridge?
ESIA‑Bridge лицензируется на домен организации. Это означает, что с помощью одной купленной лицензии организация может подключить к ЕСИА все свои сайты, функционирующие на общем домене второго уровня (any-site.company.ru). Лицензия не ограничена сроком действия, нет также ограничений на количество установок ПО ESIA‑Bridge, количество пользователей, количество процессорных ядер.
Чтобы узнать стоимость лицензии, обратитесь к нам. В зависимости от принятой в вашей компании ставки специалиста стоимость лицензии ПО ESIA‑Bridge — это эквивалент 1-2 недель трудозатрат собственных или привлеченных разработчиков.
Опционально также оказываются следующие услуги:
Что нужно для установки ESIA‑Bridge?
Для установки ESIA‑Bridge нужно выделить виртуальную машину с любой из следующих ОС: Windows, Linux CentOS/RHEL/Fedora, Linux Ubuntu/Debian/Mint.
Рекомендуемая конфигурация: 2 Core, 4 Gb RAM, 20 Gb HDD.
Для отказоустойчивости можно выделить не один, а два сервера.
С подробной схемой развертывания можно ознакомиться в документации.
Можно ли с помощью одного ESIA‑Bridge подключить к ЕСИА несколько сайтов?
Да, можно подключить любое количество систем одной организации.
Где я могу найти дополнительную информацию о ЕСИА?
Информацию о ЕСИА можно найти на сайте Минкомсвязь России.
Если у вас есть вопросы по подключению систем к ЕСИА, обратитесь к нам.
Лицензирование Blitz Identity Provider
Могу я бесплатно попробовать Blitz Identity Provider и провести пилотный проект?
Нужно ли приобретать отдельные лицензии для тестовых сред?
Ограничивается ли срок действия приобретенных лицензий?
Можно ли добавить в продукт необходимую нам функцию?
Какая метрика лицензирования применяется для Blitz Identity Provider?
Blitz Identity Provider можно использовать в домене компании, на который приобретена лицензия. В зависимости от приобретенного пакета лицензий действует ограничение на допустимое количество подключенных приложений.
Разрешенное количество серверов под развертывание Blitz Identity Provider зависит от используемой редакции. Для развертывания Enterprise Edition можно использовать любое число серверов. Для развертывания Standard Edition должен использоваться строго один сервер.
Количество пользователей, использующих Blitz Identity Provider, лицензионно не ограничивается. Технически редакция Enterprise Edition способна работать с более чем 100 млн пользователей. Для редакция Standard Edition не гарантируется корректная работа, когда в системе более чем 10 тыс. пользователей.