есиа oid что это
Что такое ЕСИА и как работает система
Система ЕСИА часто ассоциируется с порталом Госуслуги, но технически это не одно и то же. Однако регистрация в ЕСИА — это, по сути, регистрация на Госуслугах, поэтому учётная запись на портале идентична учётной записи в ЕСИА и содержит одинаковые персональные данные пользователя.
В то же время с помощью учётной записи в единой системе идентификации можно получить доступ не только к порталу госуслуг, но и другим государственным и муниципальным системам. Более того, многие коммерческие сайты и порталы в последнее время активно используют для регистрации на ресурсах и (или) доступа к их функциям авторизацию посредством ЕСИА. Это быстро и удобно. Учётная запись в ЕСИА, таким образом, служит надёжным и безопасным средством проверки персональных данных и идентификации конкретного лица.
В целом система ЕСИА служит для:
Таким образом, регистрация ЕСИА и создание подтверждённой учётной записи — это возможность получить единый «ключ» для доступа к интернет-ресурсам, которые используют такой способ входа в свою систему. Это сравнимо с использованием электронной подписи для получения доступа к системам и сайтам и напоминает классический доступ через «логин/пароль», однако даёт больше возможностей и при этом не требует создания для каждого ресурса своих логинов и паролей. При этом регистрация в единой системе идентификации абсолютно бесплатна.
Как работает ЕСИА
После регистрации система ЕСИА создает учётную запись пользователя. На первом этапе — только с его контактными данными, а также логином и паролем для входа в систему, и одновременно — личный кабинет на портале Госуслуги. После этого необходимо в ЛК на портале Госуслуги заполнить личные данные пользователя, а также, если необходимо, загрузить личные документы. Все эти операции проходят с помощью программных интерфейсов ЕСИА, которые проведут пользователя по всем шагам регистрации, заполнения личных данных и загрузки документов.
Получите сертификат ЭЦП
Пройдите идентификацию и получите сертификат удалённо с помощью смартфона и биометрического загранпаспорта.
Процесс взаимодействия ЕСИА при авторизации пользователей в различных системах выглядит так:
На практике весь процесс занимает несколько секунд.
Как организации подключиться к ЕСИА
Юридические лица подключаются к ЕСИА через личный кабинет руководителя. Для подключения используется функция «Добавить организацию» и выбирается необходимый статус: ИП, организация, орган власти.
Для формирования учётной записи юридического лица необходимо, чтобы у руководителя была подтвержденная учётная запись. Для подключения к системе используется квалифицированная электронная подпись, сертификат которой оформлен на руководителя.
При регистрации юрлица потребуется заполнить все данные об организации, указанные в регистрационной форме. После проверки сведений и их подтверждения (это делается в автоматическом режиме) будет создана учётная запись организации в ЕСИА.
Дополнительная возможность для учётных записей организаций — подключение авторизации пользователей через ЕСИА для доступа к сайту или другому интернет-ресурсу организации. Для этого нужно предоставить сведения о подключаемой системе, при необходимости доработать её под требования ЕСИА, запустить работу подключённой системы в тестовом режиме, а после подтверждения работоспособности — в рабочем режиме.
Чтобы получить электронную подпись, оставьте заявку. Наши специалисты помогут вам оформить электронную подпись для физических и юридических лиц — удалённо, быстро и по выгодной цене.
Предисловие
Введение
Стоит упомянуть, что есть компании, которые имеют готовые решения для интеграции с ЕСИА, например эта или вот эта — если вам лень во всем этом разбираться, можно воспользоваться их услугами. Сами не пользовались, советовать не можем.
Подробное описание общего механизма интеграции представлено на сайте Министерства цифрового развития. Методичка довольно увесистая, но даже из нее не все детали очевидны при реализации. Если в кратце, то основные шаги выглядят следующим образом:
В данной статье будет описан только 3 пункт, предыдущие 2 – бюрократия, оставим ее за рамками Хабра. В методичке предлагают реализовать интеграцию 2 способами: SAML или OpenID Connect. Говорят,
с 01.01.2018 г. взаимодействие по протоколу SAML 2.0 больше не будет разрешено (только для действующих систем). Для подключения к ЕСИА необходимо будет использовать протокол OAuth 2.0 / OpenID Connect (сейчас доступны оба варианта).
Поэтому мы выбрали красную таблетку второй вариант. Согласно методичке, базовый сценарий аутентификации представляет собой примерно следующие шаги:
Базовая информация
Мы реализовали сервис интеграции с ЕСИА под Windows, используя КриптоПро CSP. В теории скорее всего можно это все аккуратно упаковать в docker и положить в Linux-образные системы, оставим это на откуп читателю. Для нас же актуальным стеком был следующий:
Каждый запрос в ЕСИА по соображениям безопасности дополняется полем client_secret, которое формируется как открепленная подпись 4 полей запроса в формате UTF-8:
Тут SignatureProvider – класс для реализации работы с сертификатами, он довольно просто реализуется. Для подписи использовался алгоритм ГОСТ – импортозамещение и все такое.
Перенаправление в ЕСИА и аутентификация
где RedirectUri – адрес, на который будет направлен ответ от ЕСИА, а ClientSecret – результат выполнения функции GetClientSecret. Остальные параметры описаны ранее.
Таким образом, получаем URL, перенаправляем туда пользователя. Пользователь вводит логин-пароль, подтверждает доступ к своим данным для вашей системы. Далее ЕСИА отправляет ответ вашей системе по адресу RedirectUri, в котором содержится код авторизации. Этот код нам понадобится для дальнейших запросов в ЕСИА.
Получение токена доступа
Для получение каких-либо данных в ЕСИА нам нужно получить токен доступа. Для этого формируем POST запрос в ЕСИА (для тестовой среды базовый url такой: https://esia-portal1.test.gosuslugi.ru/aas/oauth2/te — EsiaTokenUrl). Основные поля запроса тут формируются аналогичным образом, в коде получается примерно следующее:
Некоторые статичные параметры запроса получаем из файла конфигурации (поле Configuration). Как мы можем видеть, поле code запроса заполняется значением кода аутентификации, полученным ранее. Для десериализации ответа используется следующие классы:
Получение данных пользователя из ЕСИА
Этот метод принимает на вход идентификатор пользователя в ЕСИА и токен доступа – оба эти параметра мы получили на предыдущем этапе. Заметьте, запрос можно расширить и наряду с ФИО пользователя получить список его организаций. В этом случае мы получим список ссылок на организации пользователя, по которым можно будет получить данные в свою очередь. Таким образом, у нас получилась такая модель пользователя ЕСИА:
Получение данных организации
Полученный токен доступа для запроса данных по организации мы использовать не можем, т.к. он завязан на определенный scope. Поэтому нужно получить отдельный токен. По сути методы получения токена доступа для организации и информации по ней не сильно отличаются от рассмотренных ранее. Для получения токена доступа мы используем идентификатор организации, код аутентификации, State предыдущего запроса на токен доступа. Новый scope формируется как список scope’ов организации, разделенных через пробел, например:
Метод получения информации по организации использует новый токен доступа и ссылку на организацию, полученную ранее вместе с данными о пользователе.
Полностью же код получения пользователя и его организации из ЕСИА выглядит так:
Заключение
Пожалуй, этого достаточно для базового сценария взаимодействия с ЕСИА. В целом, если знать особенности реализации, программное подключение системы к ЕСИА не займет более 1 дня. Если у вас появятся вопросы, добро пожаловать в комменты. Спасибо, что дочитали мой пост до конца, надеюсь, он будет полезен.
Интеграция с ЕСИА: ответы на частые вопросы о подключении организации к ЕСИА
Официальные инструкции запутанны и сложны для восприятия, так что мы подготовили FAQ по теме интеграции с ЕСИА на основе вопросов, которые чаще всего задают наши клиенты.
Что такое ЕСИА
Министерство цифрового развития, связи и массовых коммуникаций уже больше десяти лет разрабатывает и совершенствует безопасный сервис авторизации для различных государственных сервисов и сайтов. Он получил название «Единая система идентификации и аутентификации» — ЕСИА. Это универсальный ключ доступа к ресурсам электронного правительства РФ.
Если вначале ЕСИА применялась для авторизации на портале Госуслуг, то по мере выполнения Федерального проекта «Цифровое государственное управление» и появления новых суперсервисов, ее сфера применения расширилась.
ЕСИА применяется для взаимодействия с органами власти и за пределами государственного сектора. К сервису подключаются порталы и IT-системы частных компаний из числа тех, для которых точная и безошибочная идентификация пользователей — приоритет.
Доверие к ЕСИА обеспечено продуманной криптографической защитой и тем фактом, что учетная запись пользователя этой системы содержит подтвержденную государством информацию, начиная с фамилии и заканчивая номером пенсионного свидетельства.
Как работает ЕСИА
С точки зрения пользователя вход на сайт или в мобильное приложение при помощи ЕСИА не отличается от использования аккаунта Google, Яндекс или одной из популярных социальных сетей.
Пользователь кликает по кнопке «Госуслуги». Открывается окно для ввода логина и пароля, и, после их ввода, авторизованный пользователь перенаправляется на исходную страницу.
В момент ввода данных сайт обращается к отдельному программному модулю — коннектору, отвечающему за связь с ЕСИА. Коннектор формирует зашифрованный запрос к серверам сервиса и получает в ответ пакет с личными данными пользователя. Они расшифровываются при помощи криптографического ключа, выданного организации заранее, еще на этапе настройки коннектора. Затем, личные данные передаются на сайт.
Такая схема подключения позволяет реализовать разнообразные сценарии взаимодействия пользователя и сайта. В случае с банковскими продуктами использование сервиса может выглядеть так:
Кто может подключиться к ЕСИА
ЕСИА создавалась, чтобы облегчить предоставление государственных услуг, так что интеграция с этим сервисом доступна всем государственным учреждениям. Помимо них, такая привилегия выдана нескольким разновидностям юридических лиц, занимающихся коммерческой деятельностью.
Интегрироваться с ЕСИА могут:
Какие данные можно получать из ЕСИА
Для организаций, зарегистрированных в ЕСИА, этот список составляют типовые реквизиты: наименование, юридический адрес, ОГРН, код ОКПО и т.д. Кроме того, при создании учетной записи присваивается один из трех статусов, отражающих ее надежность.
Государственные органы, с разрешения владельца учетной записи, могут получить всю информацию из аккаунта, но для коммерческих организаций доступ ограничен. Им доступны данные о подтвержденности аккаунта, ФИО пользователей и часть паспортных данных.
Какие бывают учетные записи в ЕСИА
Каждый новый пользователь сервиса первоначально получает «упрощенную» учетную запись с ограниченными возможностями. Когда пользователь указывает правильные паспортные данные или СНИЛС, аккаунт проходит проверку со стороны государственных органов, и учетной записи присваивается статус — «стандартная». Для получения «подтвержденного» аккаунта его владелец должен пройти идентификацию при помощи авторизованного интернет-банка или лично посетив МФЦ.
Сколько пользователей в ЕСИА
Министерство цифрового развития, связи и массовых коммуникаций открыто не отчитывается о числе пользователей ЕСИА, так что судить об их количестве можно лишь приблизительно, по устаревшим данным.
Согласно отчету Ростелеком, сервисом пользуется больше 80 миллионов человек — каждый второй житель России.
Для чего ЕСИА коммерческим компаниям
Для негосударственных организаций сервис открывает новые возможности, не связанные с получением персональных данных.
Как зарегистрировать организацию в ЕСИА
Процедура начинается с юридических формальностей. Прежде всего, необходимо выбрать ответственное лицо — администратора IT-системы, которая будет работать с ЕСИА. В этой роли может выступать руководитель организации или его доверенное лицо. Администратор подтверждает личность через портал госуслуг и регистрирует там организацию.
Затем администратор оформляет квалифицированную электронную подпись и вносит новую IT-систему в особый регистр. Эта процедура подробно изложена в детальном руководстве.
После регистрации IT-системе присваивается мнемоника — индивидуальный код-идентификатор. Он потребуется техническим специалистам для дальнейшей настройки системы.
Как подключить сайт организации или другую IT-систему к ЕСИА
Следующий шаг на пути интеграции с сервисом требует привлечения специалистов с технической квалификацией в области информационной безопасности. Чтобы подключить сайт или другую IT-систему к сервису, необходимо сгенерировать криптографический ключ и соответствующий ему сертификат.
Сертификат передается государству. В ответ Минкомсвязи высылает разрешение на тестовый доступ к сервису и данные для пробного подключения.
Далее следуют работы по разработке и настройке коннектора между IT-системой организации инфраструктурой сервиса. Разработчикам предстоит научить их взаимодействовать между собой — принимать и отправлять запросы в автоматическом режиме. Минкомсвязи даст разрешение на полноценный запуск IT-системы только после того, как коннектор стабильно заработает в тестовом режиме.
Какой протокол использовать для подключения к ЕСИА и чем он отличается от стандартов
Для интеграции сайта или IT-системы с ЕСИА используется сочетание авторизации по OAuth 2.0 и аутентификации при помощи OpenID Connect. Это распространенные решения с подробной документацией и многочисленными примерами использования, но применить их для интеграции с сервисом «как есть» не получится.
Хотя создатели сервиса в целом придерживались стандартных спецификаций, им пришлось разработать собственный Application Programming Interface для приема электронных подписей. Чтобы подключение к ЕСИА было успешным, стандартным библиотекам OpenID/OAuth необходима ручная доработка.
Какой сертификат нужен для регистрации системы в ЕСИА и обязательно ли использовать ГОСТ-криптографию?
В октябре 2019 года Минкомсвязи обновило методические рекомендации, исключив из них упоминания стандарта шифрования RSA (Rivest, Shamir и Adleman) и самоподписанных сертификатов. Их использование больше не допускается.
Теперь российские алгоритмы шифрования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 — единственные стандарты, которые доступны для использования с ЕСИА.
Сертификаты обязательно должны быть выпущены сертифицированным удостоверяющим центром.
Какие готовые решения можно использовать для подключения
В отдельных отечественных системах управления сайтами предусмотрены инструменты для подключения к ЕСИА, но переносить сайт на новую CMS ради интеграции с порталом госуслуг нецелесообразно, и, зачастую, попросту невозможно.
Универсальное решение — библиотеки с открытым исходным кодом. С их помощью можно обеспечить работу с сервисом для любой IT-системы, но для их настройки требуются технические навыки. Мы предпочитаем использовать Open Source компоненты, однако дорабатываем и адаптируем их для каждого проекта.
Можно ли подключить к ЕСИА мобильное приложение
Да, но в приложение должен быть интегрирован браузер. Он необходим только для авторизации, так что все остальные операции с приложением можно реализовать через обычный интерфейс. Например, так функционируют приложения «Госуслуги» и «Почта России».
Сколько времени уходит на подключение к ЕСИА
Формальная сторона процедуры, включающая регистрацию аккаунтов и ожидание мнемонического кода от Минкомсвязи, обычно занимает около недели.
На работы по настройке коннектора для базового подключения требуется две — три недели. В случаях, когда необходимо получение данных из аккаунта ЕСИА и дальнейшая их обработка, срок увеличивается.
Сколько стоит подключение
Государство не взимает платы за использование системы авторизации и идентификации. Подключение к ЕСИА бесплатно, однако на самостоятельную настройку коннектора для работы с сервисом придется потратить силы и время.
Практика показывает, что интеграция силами штатных сотрудников IT-отдела компании удается не всегда. Настройку интеграции сайта или иной IT-системы с ЕСИА лучше доверить опытной команде, которая неоднократно выполняла эту процедуру. Стоимость работ специалистов варьируется в зависимости от сложности системы и масштабов проекта.
Предупреждает ли Минкомсвязи о регламентных работах
Минкомсвязи не публикует график работ, но за несколько часов до начала технического обслуживания предупреждает об отключениях сервиса при помощи сообщений на сайте государственных услуг.
Отключения ЕСИА редки и, как правило, происходят в часы наименьшей нагрузки на сервис, а восстановление работы авторизации происходит автоматически.
Где можно найти дополнительную информацию о ЕСИА
Инструкции по работе с сервисом периодически пересматриваются, обновляются и дополняются, поэтому, изучив ответы на распространенные вопросы, стоит обратиться к первоисточникам.
Общую информацию о подключении к ЕСИА, а также контакты для связи с Ситуационным центром Минкомсвязи, где можно получить консультацию по правовым аспектам подключения, приведены на информационной странице ЕСИА на портале Госуслуг.
Актуальные документы, касающиеся сервиса, публикуются на официальном портале Минкомсвязи РФ. Перечень документов, которые публикует министерство, включает в себя:
Как работает идентификация пользователей через «Госуслуги»
Единая система идентификации и авторизации (ЕСИА) – это единственный способ верифицировать личность пользователя. Если продукт работает с деньгами, решает юридические задачи или работает с медицинскими данными, без интеграции с ЕСИА не обойтись. Рассказываем, что нужно знать, чтобы работать с этой инфраструктурой.
ЕСИА появилась в 2010 году и изначально использовалась для авторизации на Портале госуслуг. За прошедшее время возможности системы постоянно развивались, и сегодня коммерческие организации используют её, чтобы связывать учётные записи пользователя с их оффлайн-личностью.
То есть если компании нужно удостовериться, что по ту сторону экрана действительно тот человек, которым представился пользователь, ЕСИА предоставляет такую возможность. И самое главное – эта идентификация имеет юридическую значимость.
1. Клиент может подписывать юридически значимые электронные документы, получать защищённый доступ к конфиденциальной информации, медицинским данным и т.д.
2. Появляется возможность автоматически заполнять в анкетах и заявках персональные данные клиента: ФИО, данные паспорта, ИНН, информация о детях и др. При этом компания может быть уверена, что эти данные абсолютно верны и правдивы.
3. Страховые компании и банки могут продавать через приложение свои продукты. И никаких расходов, которые связаны с традиционными, оффлайновыми каналами продаж – не нужно собирать документы, приглашать человека в офис, достаточно разработать скрипт для колл-центра.
4. Для пользователя верификация с ЕСИА повышает доверие к сервису и делает саму процедуру удобнее – не нужно помнить дополнительные пароли, просто нажимаешь знакомую кнопку и всё.
В наших проектах интеграция ЕСИА активно используется в продуктах страховых компаний. Это позволяет клиентам покупать полисы ОСАГО, отправлять извещения о ДТП при оформлении заявок на урегулирование убытков. Это критически важная функция для сценариев заявления о страховых случаях по ОСАГО, когда пользователь не является клиентом данной страховой компании.
Хотя сейчас к ЕСИА могут подключиться не все организации, можно ожидать, что такая авторизация скоро станет де-факто стандартом для пользовательских сервисов. Просто потому, что это надёжно и удобно для клиентов – вместо отдельной учётной записи для каждого ресурса можно использовать единый аккаунт «Госуслуг» и бесшовно пользоваться любыми нужными услугами. Поэтому задумываться об интеграции стоит всем компаниям.
ЕСИА является прослойкой между стандартным содержанием приложения и его защищёнными данными. Если пользователю не требуются услуги, которые требуют верификации личности, он может не проходить дополнительную авторизацию. Когда же он захочет попасть в этот раздел, приложение переадресует его на Портал госуслуг, а после успешной авторизации – вернёт обратно.
Технически процесс выглядит так:
1. Пользователь обращается к защищённому ресурсу информационной системы (например, при онлайн-покупке полиса ОСАГО).
2. Информационная система направляет в ЕСИА запрос на аутентификацию.
3. ЕСИА проверяет, есть ли у пользователя открытая сессия, т.е. авторизовался ли он уже ранее. Если такой сессии нет, ЕСИА направляет пользователя на веб-страницу, чтобы он ввёл свой логин и пароль.
4. После успешной аутентификации ЕСИА передаёт в информационную систему пакет с идентификационными данными пользователя, информацию об уровне его учётной записи и контексте аутентификации.
5. На основании этой информации система открывает пользователю доступ.
Процедура подключения занимает около месяца. Это время включает регистрацию необходимых аккаунтов, получение данных от Минцифры, работы по интеграции ИС.
1. Зарегистрируйте руководителя организации на Портале госуслуг. Регистрировать компании в ЕСИА могут только те их представители, которые вправе действовать без доверенности. Им понадобится подтверждённая учётная запись физического лица – т.е. нужно будет не только указать свои данные, но и обратиться в банк или МФЦ для верификации. В последнее время многие банки позволяют сделать это онлайн, через их приложения.
2. Зарегистрируйте вашу организацию.
a. Получите квалифицированную электронную подпись (КЭП) на руководителя организации.
b. Зарегистрируйте юридическое лицо в профиле ЕСИА.
c. Оформите КЭП для юридического лица.
Оформлением КЭП занимаются аккредитованные удостоверяющие центры. Подробная инструкция по этому процессу здесь.
3. Зарегистрируйте информационную систему в ЕСИА.
Регистрация системы происходит через технологический портал. Доступ к нему может получить один из сотрудников компании – действовать через аккаунт представителя уже не обязательно. Этот процесс подробно расписан в Руководстве пользователя технологического портала ЕСИА. В результате регистрации информационная система заносится в реестр ИС и получает мнемонический буквенно-цифровой код.
4. Доработайте систему для обмена данными с ЕСИА.
Аутентификация пользователей в ЕСИА происходит по OAuth 2.0 и OpenID Connect 1.0. Компании необходимо сгенерировать закрытый ключ и сертификат открытого ключа, зарегистрировать его на технологическом портале. Стоит отметить, что ЕСИА поддерживает только российские алгоритмы шифрования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
Стоит отдельно отметить, что если в компании уже используются средства верификации пользователей посредством Single Sign-On, то особых технических трудностей при подключении к ЕСИА не будет.
5. Подключитесь к тестовой среде ЕСИА
На этом этапе нужно отправить на адрес sd@sc.minsvyaz.ru заявку по форме, которая приводится в Регламенте взаимодействия заявителей с операторами ЕСИА. Когда администраторы откроют доступ, компании нужно подключить свою систему к ЕСИА, чтобы она могла принимать и отправлять запросы. Для этого используются специальные коннекторы, и Минцифры не даст разрешение на полноценный запуск, пока коннекторы не заработают стабильно в тестовом режиме.
6. Подключитесь к промышленной среде ЕСИА
Когда всё готово, вы отправляете ещё одну заявку на sd@sc.minsvyaz.ru. Остаётся проверить работоспособности интеграции – и готово.
Вот здесь всегда актуальные бланки для оформления доступа к ЕСИА с комментариями по заполнению: https://esia.pro/blanki_zayavok
Осталось выяснить как сделать так, чтобы у каждого в РФ был подтвержденный аккаунт Госуслугах. У более половины пользователей телемедицинских услуг например, его нет.
А для чего еще можно использовать токен? Например аутентификация пользователя в стороннем портале??
на каждом новом сайте нужно авторизоваться заново и получать новый токен, повторное использование угрожало бы безопасности пользователя
А для гос служащих есиа можно подключить?
В пункте №4 неточность: ключи для работы с ЕСИА нужно не самим генерить, а покупать в удостоверяющем центре, т.е. они должны быть квалифицированные.
И тогда вы на основе 115 ФЗ можете податься и вам дадут доступ.
Либо вы можете написать в ЦБ что хотите поучаствовать в эксперименте который сейчас проходит и подключиться как простая компания, написать им письмо нужно. И они могут согласиться, сейчас так авито например подключается.
Был ещё 3 вариант, работать через прослойку, например IDX. Но сейчас в связи с недавним изменением законодательства такой возможности более нет.