Инструкция по работе с тестовой средой есиа

Время на прочтение
6 мин

Количество просмотров 19K

Привет, Хабр! В одном из постов блога мой коллега Иван писал о нашем блокчейн-сервисе для онлайн-голосований WE.Vote. Он подробно разобрал, как работает WE.Vote с точки зрения технологий. Но чтобы сервисы удаленного голосования можно было использовать для принятия официальных решений юрлиц, не хватает еще одного важного компонента — достоверной верификации участников. В России для этого можно провести интеграцию с ЕСИА (Единой Системой Идентификации и Аутентификации) — проще говоря, с Госуслугами. Интеграция эта заметно отличается от интеграции с другими OAuth2-сервисами, как, например, Google или VK. В этом посте мы постараемся помочь тем, кто захочет интегрировать ЕСИА в свой сервис через стек, подобный нашему, а также дадим несколько полезных ссылок по ЕСИА в принципе.

Зачем нам ЕСИА?

Согласно Федеральному закону № 225-ФЗ от 28.06.2021 «О внесении изменений в часть первую Гражданского кодекса Российской Федерации», многие организаций в РФ получили право проводить официальные собрания и голосования по корпоративным вопросам дистанционно.

Ранее решения с юридической силой требовали очных собраний или голосований по почте. Голосования по почте не отличаются надежностью, а собрать много руководителей со всей России в одном месте — это кошмар с точки зрения затрат.

Чтобы проводить мероприятия принятия решения дистанционно в соответствии с новым федеральным законом, необходимо предоставить возможность достоверного установления личности участников. В России это возможно через проверку доступа к верифицированному аккаунту на Госуслугах.

Стек и схема интеграции

Для интеграции мы используем:

  • Typescript, ReactJS, NestJS

  • КриптоПро CSP 4

  • Docker, Kubernetes

Схема интеграции

Схема интеграции

Формирование подписи

Прежде чем разбирать все по порядку, кое о чем стоит подумать заранее. В отличие от других интеграций, запросы к ЕСИА должны сопровождаться подписью ГОСТ Р 34.10/11-2012, а не просто API key. Создать такую подпись можно с помощью утилиты КриптоПро CSP. Для нас основная задача здесь — правильно обернуть эту утилиту в Docker, чтобы с ней можно было работать как с отдельным сервисом в рамках нашей инфраструктуры. Получившийся сервис мы выложили в открытый доступ на гитхабе. Инструкция по запуску есть в README.md.

В процесс сборки Docker образа сервиса с утилитой КриптоПро мы встроили:

  • Установку утилиты КриптоПро СSP 4 из .deb пакета

  • Установку лицензии КриптоПро

  • Загрузку корневого сертификата тестовой или основной среды ЕСИА

  • Загрузку пользовательского сертификата с PIN кодом

  • REST-сервер с методом, позволяющим создавать подписи

Таким образом вся криптография собрана в отдельном самостоятельном компоненте, который можно использовать, когда необходимо что-нибудь подписать. Вот как это выглядит на бэкенде:

private async signParams(params: Record<string, string>) {
 const time = moment().format('YYYY.MM.DD HH:mm:ss ZZ')
 const state = uuid()
 const clientId = this.clientId
 const scope = this.scope

 const { data: { result: clientSecret } } = await axios.post<{ result: string }>(
   `${this.cryptoProServiceAddress}/cryptopro/sign`,
   { text: [scope, time, clientId, state].join('') },
 )

 return {
   ...params,
   timestamp: time,
   client_id: clientId,
   scope,
   state,
   client_secret: clientSecret.replace(/\n/g, ''),
 }
}

С созданием подписей разобрались, теперь последовательно разберем, как реализовать схему выше.

Создание ссылки для редиректа на страницу ЕСИА

Все начинается с того, что пользователь решает пройти авторизацию через ЕСИА. Создаем на бэкенде ссылку для перехода с использованием нашего инструмента формирования подписей.

async getAuthLink(redirectLink: string) {
 const params = await this.signParams({
   redirect_uri: redirectLink,
   response_type: 'code',
   access_type: 'offline',
 })
 const authQuery = new URLSearchParams(params)
 const authURL = `${this.esiaHost}/aas/oauth2/ac`
 return `${authURL}?${authQuery}`
}

В redirectLink необходимо указать адрес страницы, на которую ЕСИА перенаправит пользователя после успешной аутентификации. Созданную ссылку возвращаем на фронтенд и перенаправляем на нее пользователя.

Получение авторизационного токена ЕСИА

Запрос токена идентификации

После успешной аутентификации на странице ЕСИА пользователь возвращается на фронтенд приложения по указанному нами адресу. ЕСИА передаёт авторизационный токен в виде get-параметра code. Этот токен необходимо передать на бэкенд и запросить с его помощью идентификационный токен пользователя.

async getTokens(code: string) {
 try {
   const params = await this.signParams({
     grant_type: 'authorization_code',
     token_type: 'Bearer',
     redirect_uri: 'no',
     code,
   })
   const authURL = `${this.host}/aas/oauth2/te`
   const authQuery = new URLSearchParams(params)
   const { data: tokens } = await axios.post(`${authURL}?${authQuery}`)
   return {
     idToken: tokens.id_token,
     accessToken: tokens.access_token,
     refreshToken: tokens.refresh_token,
   }
 } catch (e) {
   const status = e.response ? e.response.status : 500
   const message = e.response ? e.response.data.error_description : e.message
   throw new HttpException('Failed to get auth tokens: ' + message, status)
 }
}

Получение данных о пользователе

Идентификационный токен пользователя необходимо проверить с помощью публичного RSA ключа от ЕСИА и получить из него id пользователя. С помощью этого id и accessToken, который мы получили в предыдущем шаге, мы уже наконец можем запросить персональные данные пользователя.

getUserIdFromToken(idToken: string) {
 const decodedIdToken = verify(idToken, this.esiaPublicKey, {
   algorithms: ['RS256'],
   audience: 'WE_VOTE',
 }) as EsiaParsedToken
 return decodedIdToken['urn:esia:sbj']['urn:esia:sbj:oid']
}

async getUserInfo(tokens: EsiaTokens) {

 const { idToken, accessToken } = tokens
 const oId = this.getUserIdFromToken(idToken)

 const [{ data: mainInfo }, { data: contactsInfo }] = await Promise.all([
   axios.get(`${this.esiaHost}/rs/prns/${oId}`, {
     headers: {
       Authorization: `Bearer ${accessToken}`,
     },
   }),
   axios.get(`${this.esiaHost}/rs/prns/${oId}/ctts?embed=(elements)`, {
     headers: {
       Authorization: `Bearer ${accessToken}`,
     },
   }),
 ])

 const email = contactsInfo.elements.find(({ type }: { type: string }) => type === 'EML')

 return {
   id: oId,
   firstName: mainInfo.firstName,
   lastName: mainInfo.lastName,
   surName: mainInfo.middleName,
   trusted: mainInfo.trusted,
   email: email ? {
     value: email.value.toLowerCase(),
     verified: email.vrfStu === 'VERIFIED',
   } : null,
 }
}

На этом шаге мы уже имеем все необходимые данные о пользователе. Остается только занести их в свою систему и закончить авторизацию.

Полный код интеграционного модуля на бэкенде

import { HttpException } from '@nestjs/common'
import * as moment from 'moment'
import { v4 as uuid } from 'uuid'
import { URLSearchParams } from 'url'
import axios from 'axios'
import { verify } from 'jsonwebtoken'

type EsiaTokens = {
 idToken: string,
 accessToken: string,
}

type EsiaParsedToken = {
 'urn:esia:sbj': {
   'urn:esia:sbj:oid': string,
 },
}

export class EsiaApiService {
 private readonly clientId = 'WE_VOTE'
 private readonly scope = ['openid', 'email', 'fullname'].join(' ')

 constructor(
   private readonly esiaHost: string, // 'https://esia-portal1.test.gosuslugi.ru' или 'https://esia.gosuslugi.ru'
   private readonly esiaPublicKey: string, // можно взять из http://esia.gosuslugi.ru/public/esia.zip
   private readonly cryptoProServiceAddress: string, // адрес сервиса по созданию подписей e.g 'http://127.0.0.1:3037'
 ) {
 }

 async getAuthLink(redirectLink: string) {
   const params = await this.signParams({
     redirect_uri: redirectLink,
     response_type: 'code',
     access_type: 'offline',
   })
   const authQuery = new URLSearchParams(params)
   const authURL = `${this.esiaHost}/aas/oauth2/ac`
   return `${authURL}?${authQuery}`
 }

 private async signParams(params: Record<string, string>) {
   const time = moment().format('YYYY.MM.DD HH:mm:ss ZZ')
   const state = uuid()
   const clientId = this.clientId
   const scope = this.scope

   const { data: { result: clientSecret } } = await axios.post<{ result: string }>(
     `${this.cryptoProServiceAddress}/cryptopro/sign`,
     { text: [scope, time, clientId, state].join('') },
   )

   return {
     ...params,
     timestamp: time,
     client_id: clientId,
     scope,
     state,
     client_secret: clientSecret.replace(/\n/g, ''),
   }
 }

 async getTokens(code: string) {
   try {
     const params = await this.signParams({
       grant_type: 'authorization_code',
       token_type: 'Bearer',
       redirect_uri: 'no',
       code,
     })
     const authURL = `${this.esiaHost}/aas/oauth2/te`
     const authQuery = new URLSearchParams(params)
     const { data: tokens } = await axios.post(`${authURL}?${authQuery}`)
     return {
       idToken: tokens.id_token,
       accessToken: tokens.access_token,
       refreshToken: tokens.refresh_token,
     }
   } catch (e) {
     const status = e.response ? e.response.status : 500
     const message = e.response ? e.response.data.error_description : e.message
     throw new HttpException('Failed to get auth tokens: ' + message, status)
   }
 }

 getUserIdFromToken(idToken: string) {
   const decodedIdToken = verify(idToken, this.esiaPublicKey, {
     algorithms: ['RS256'],
     audience: this.clientId,
   }) as EsiaParsedToken
   return decodedIdToken['urn:esia:sbj']['urn:esia:sbj:oid']
 }

 async getUserInfo(tokens: EsiaTokens) {

   const { idToken, accessToken } = tokens
   const oId = this.getUserIdFromToken(idToken)

   const [{ data: mainInfo }, { data: contactsInfo }] = await Promise.all([
     axios.get(`${this.esiaHost}/rs/prns/${oId}`, {
       headers: {
         Authorization: `Bearer ${accessToken}`,
       },
     }),
     axios.get(`${this.esiaHost}/rs/prns/${oId}/ctts?embed=(elements)`, {
       headers: {
         Authorization: `Bearer ${accessToken}`,
       },
     }),
   ])

   const email = contactsInfo.elements.find(({ type }: { type: string }) => type === 'EML')

   return {
     id: oId,
     firstName: mainInfo.firstName,
     lastName: mainInfo.lastName,
     surName: mainInfo.middleName,
     trusted: mainInfo.trusted,
     email: email ? {
       value: email.value.toLowerCase(),
       verified: email.vrfStu === 'VERIFIED',
     } : null,
   }
 }

}

Надеюсь, статья оказалась для вас полезной. Желаю, чтобы у вас все получилось без особых проблем! 

Полезные материалы по теме

  • Наш сервис по созданию подписей с использованием КриптоПро 

  • MVP-проект с Криптопро в докере

  • Методические указания по интеграции от ЕСИА

  • Инструкция по работе с тестовой средой ЕСИА

  • КриптоПро CSP

  • Интеграция на Java

  • Второй вариант интеграции на Java

  • Описание процесса OAuth2-интеграции

Время на прочтение
6 мин

Количество просмотров 12K

Привет, Хабр! В одном из постов блога мой коллега Иван писал о нашем блокчейн-сервисе для онлайн-голосований WE.Vote. Он подробно разобрал, как работает WE.Vote с точки зрения технологий. Но чтобы сервисы удаленного голосования можно было использовать для принятия официальных решений юрлиц, не хватает еще одного важного компонента — достоверной верификации участников. В России для этого можно провести интеграцию с ЕСИА (Единой Системой Идентификации и Аутентификации) — проще говоря, с Госуслугами. Интеграция эта заметно отличается от интеграции с другими OAuth2-сервисами, как, например, Google или VK. В этом посте мы постараемся помочь тем, кто захочет интегрировать ЕСИА в свой сервис через стек, подобный нашему, а также дадим несколько полезных ссылок по ЕСИА в принципе.

Зачем нам ЕСИА?

Согласно Федеральному закону № 225-ФЗ от 28.06.2021 «О внесении изменений в часть первую Гражданского кодекса Российской Федерации», многие организаций в РФ получили право проводить официальные собрания и голосования по корпоративным вопросам дистанционно.

Ранее решения с юридической силой требовали очных собраний или голосований по почте. Голосования по почте не отличаются надежностью, а собрать много руководителей со всей России в одном месте — это кошмар с точки зрения затрат.

Чтобы проводить мероприятия принятия решения дистанционно в соответствии с новым федеральным законом, необходимо предоставить возможность достоверного установления личности участников. В России это возможно через проверку доступа к верифицированному аккаунту на Госуслугах.

Стек и схема интеграции

Для интеграции мы используем:

  • Typescript, ReactJS, NestJS

  • КриптоПро CSP 4

  • Docker, Kubernetes

Схема интеграции

Схема интеграции

Формирование подписи

Прежде чем разбирать все по порядку, кое о чем стоит подумать заранее. В отличие от других интеграций, запросы к ЕСИА должны сопровождаться подписью ГОСТ Р 34.10/11-2012, а не просто API key. Создать такую подпись можно с помощью утилиты КриптоПро CSP. Для нас основная задача здесь — правильно обернуть эту утилиту в Docker, чтобы с ней можно было работать как с отдельным сервисом в рамках нашей инфраструктуры. Получившийся сервис мы выложили в открытый доступ на гитхабе. Инструкция по запуску есть в README.md.

В процесс сборки Docker образа сервиса с утилитой КриптоПро мы встроили:

  • Установку утилиты КриптоПро СSP 4 из .deb пакета

  • Установку лицензии КриптоПро

  • Загрузку корневого сертификата тестовой или основной среды ЕСИА

  • Загрузку пользовательского сертификата с PIN кодом

  • REST-сервер с методом, позволяющим создавать подписи

Таким образом вся криптография собрана в отдельном самостоятельном компоненте, который можно использовать, когда необходимо что-нибудь подписать. Вот как это выглядит на бэкенде:

private async signParams(params: Record<string, string>) {
 const time = moment().format('YYYY.MM.DD HH:mm:ss ZZ')
 const state = uuid()
 const clientId = this.clientId
 const scope = this.scope

 const { data: { result: clientSecret } } = await axios.post<{ result: string }>(
   `${this.cryptoProServiceAddress}/cryptopro/sign`,
   { text: [scope, time, clientId, state].join('') },
 )

 return {
   ...params,
   timestamp: time,
   client_id: clientId,
   scope,
   state,
   client_secret: clientSecret.replace(/n/g, ''),
 }
}

С созданием подписей разобрались, теперь последовательно разберем, как реализовать схему выше.

Создание ссылки для редиректа на страницу ЕСИА

Все начинается с того, что пользователь решает пройти авторизацию через ЕСИА. Создаем на бэкенде ссылку для перехода с использованием нашего инструмента формирования подписей.

async getAuthLink(redirectLink: string) {
 const params = await this.signParams({
   redirect_uri: redirectLink,
   response_type: 'code',
   access_type: 'offline',
 })
 const authQuery = new URLSearchParams(params)
 const authURL = `${this.esiaHost}/aas/oauth2/ac`
 return `${authURL}?${authQuery}`
}

В redirectLink необходимо указать адрес страницы, на которую ЕСИА перенаправит пользователя после успешной аутентификации. Созданную ссылку возвращаем на фронтенд и перенаправляем на нее пользователя.

Получение авторизационного токена ЕСИА

Запрос токена идентификации

После успешной аутентификации на странице ЕСИА пользователь возвращается на фронтенд приложения по указанному нами адресу. ЕСИА передаёт авторизационный токен в виде get-параметра code. Этот токен необходимо передать на бэкенд и запросить с его помощью идентификационный токен пользователя.

async getTokens(code: string) {
 try {
   const params = await this.signParams({
     grant_type: 'authorization_code',
     token_type: 'Bearer',
     redirect_uri: 'no',
     code,
   })
   const authURL = `${this.host}/aas/oauth2/te`
   const authQuery = new URLSearchParams(params)
   const { data: tokens } = await axios.post(`${authURL}?${authQuery}`)
   return {
     idToken: tokens.id_token,
     accessToken: tokens.access_token,
     refreshToken: tokens.refresh_token,
   }
 } catch (e) {
   const status = e.response ? e.response.status : 500
   const message = e.response ? e.response.data.error_description : e.message
   throw new HttpException('Failed to get auth tokens: ' + message, status)
 }
}

Получение данных о пользователе

Идентификационный токен пользователя необходимо проверить с помощью публичного RSA ключа от ЕСИА и получить из него id пользователя. С помощью этого id и accessToken, который мы получили в предыдущем шаге, мы уже наконец можем запросить персональные данные пользователя.

getUserIdFromToken(idToken: string) {
 const decodedIdToken = verify(idToken, this.esiaPublicKey, {
   algorithms: ['RS256'],
   audience: 'WE_VOTE',
 }) as EsiaParsedToken
 return decodedIdToken['urn:esia:sbj']['urn:esia:sbj:oid']
}

async getUserInfo(tokens: EsiaTokens) {

 const { idToken, accessToken } = tokens
 const oId = this.getUserIdFromToken(idToken)

 const [{ data: mainInfo }, { data: contactsInfo }] = await Promise.all([
   axios.get(`${this.esiaHost}/rs/prns/${oId}`, {
     headers: {
       Authorization: `Bearer ${accessToken}`,
     },
   }),
   axios.get(`${this.esiaHost}/rs/prns/${oId}/ctts?embed=(elements)`, {
     headers: {
       Authorization: `Bearer ${accessToken}`,
     },
   }),
 ])

 const email = contactsInfo.elements.find(({ type }: { type: string }) => type === 'EML')

 return {
   id: oId,
   firstName: mainInfo.firstName,
   lastName: mainInfo.lastName,
   surName: mainInfo.middleName,
   trusted: mainInfo.trusted,
   email: email ? {
     value: email.value.toLowerCase(),
     verified: email.vrfStu === 'VERIFIED',
   } : null,
 }
}

На этом шаге мы уже имеем все необходимые данные о пользователе. Остается только занести их в свою систему и закончить авторизацию.

Полный код интеграционного модуля на бэкенде

import { HttpException } from '@nestjs/common'
import * as moment from 'moment'
import { v4 as uuid } from 'uuid'
import { URLSearchParams } from 'url'
import axios from 'axios'
import { verify } from 'jsonwebtoken'

type EsiaTokens = {
 idToken: string,
 accessToken: string,
}

type EsiaParsedToken = {
 'urn:esia:sbj': {
   'urn:esia:sbj:oid': string,
 },
}

export class EsiaApiService {
 private readonly clientId = 'WE_VOTE'
 private readonly scope = ['openid', 'email', 'fullname'].join(' ')

 constructor(
   private readonly esiaHost: string, // 'https://esia-portal1.test.gosuslugi.ru' или 'https://esia.gosuslugi.ru'
   private readonly esiaPublicKey: string, // можно взять из http://esia.gosuslugi.ru/public/esia.zip
   private readonly cryptoProServiceAddress: string, // адрес сервиса по созданию подписей e.g 'http://127.0.0.1:3037'
 ) {
 }

 async getAuthLink(redirectLink: string) {
   const params = await this.signParams({
     redirect_uri: redirectLink,
     response_type: 'code',
     access_type: 'offline',
   })
   const authQuery = new URLSearchParams(params)
   const authURL = `${this.esiaHost}/aas/oauth2/ac`
   return `${authURL}?${authQuery}`
 }

 private async signParams(params: Record<string, string>) {
   const time = moment().format('YYYY.MM.DD HH:mm:ss ZZ')
   const state = uuid()
   const clientId = this.clientId
   const scope = this.scope

   const { data: { result: clientSecret } } = await axios.post<{ result: string }>(
     `${this.cryptoProServiceAddress}/cryptopro/sign`,
     { text: [scope, time, clientId, state].join('') },
   )

   return {
     ...params,
     timestamp: time,
     client_id: clientId,
     scope,
     state,
     client_secret: clientSecret.replace(/n/g, ''),
   }
 }

 async getTokens(code: string) {
   try {
     const params = await this.signParams({
       grant_type: 'authorization_code',
       token_type: 'Bearer',
       redirect_uri: 'no',
       code,
     })
     const authURL = `${this.esiaHost}/aas/oauth2/te`
     const authQuery = new URLSearchParams(params)
     const { data: tokens } = await axios.post(`${authURL}?${authQuery}`)
     return {
       idToken: tokens.id_token,
       accessToken: tokens.access_token,
       refreshToken: tokens.refresh_token,
     }
   } catch (e) {
     const status = e.response ? e.response.status : 500
     const message = e.response ? e.response.data.error_description : e.message
     throw new HttpException('Failed to get auth tokens: ' + message, status)
   }
 }

 getUserIdFromToken(idToken: string) {
   const decodedIdToken = verify(idToken, this.esiaPublicKey, {
     algorithms: ['RS256'],
     audience: this.clientId,
   }) as EsiaParsedToken
   return decodedIdToken['urn:esia:sbj']['urn:esia:sbj:oid']
 }

 async getUserInfo(tokens: EsiaTokens) {

   const { idToken, accessToken } = tokens
   const oId = this.getUserIdFromToken(idToken)

   const [{ data: mainInfo }, { data: contactsInfo }] = await Promise.all([
     axios.get(`${this.esiaHost}/rs/prns/${oId}`, {
       headers: {
         Authorization: `Bearer ${accessToken}`,
       },
     }),
     axios.get(`${this.esiaHost}/rs/prns/${oId}/ctts?embed=(elements)`, {
       headers: {
         Authorization: `Bearer ${accessToken}`,
       },
     }),
   ])

   const email = contactsInfo.elements.find(({ type }: { type: string }) => type === 'EML')

   return {
     id: oId,
     firstName: mainInfo.firstName,
     lastName: mainInfo.lastName,
     surName: mainInfo.middleName,
     trusted: mainInfo.trusted,
     email: email ? {
       value: email.value.toLowerCase(),
       verified: email.vrfStu === 'VERIFIED',
     } : null,
   }
 }

}

Надеюсь, статья оказалась для вас полезной. Желаю, чтобы у вас все получилось без особых проблем! 

Полезные материалы по теме

  • Наш сервис по созданию подписей с использованием КриптоПро 

  • MVP-проект с Криптопро в докере

  • Методические указания по интеграции от ЕСИА

  • Инструкция по работе с тестовой средой ЕСИА

  • КриптоПро CSP

  • Интеграция на Java

  • Второй вариант интеграции на Java

  • Описание процесса OAuth2-интеграции

Единая система идентификации и авторизации (ЕСИА) – это единственный способ верифицировать личность пользователя. Если продукт работает с деньгами, решает юридические задачи или работает с медицинскими данными, без интеграции с ЕСИА не обойтись. Рассказываем, что нужно знать, чтобы работать с этой инфраструктурой.

ЕСИА появилась в 2010 году и изначально использовалась для авторизации на Портале госуслуг. За прошедшее время возможности системы постоянно развивались, и сегодня коммерческие организации используют её, чтобы связывать учётные записи пользователя с их оффлайн-личностью.

То есть если компании нужно удостовериться, что по ту сторону экрана действительно тот человек, которым представился пользователь, ЕСИА предоставляет такую возможность. И самое главное – эта идентификация имеет юридическую значимость.

Какие возможности открывает такая идентификация

1. Клиент может подписывать юридически значимые электронные документы, получать защищённый доступ к конфиденциальной информации, медицинским данным и т.д.

2. Появляется возможность автоматически заполнять в анкетах и заявках персональные данные клиента: ФИО, данные паспорта, ИНН, информация о детях и др. При этом компания может быть уверена, что эти данные абсолютно верны и правдивы.

3. Страховые компании и банки могут продавать через приложение свои продукты. И никаких расходов, которые связаны с традиционными, оффлайновыми каналами продаж – не нужно собирать документы, приглашать человека в офис, достаточно разработать скрипт для колл-центра.

4. Для пользователя верификация с ЕСИА повышает доверие к сервису и делает саму процедуру удобнее – не нужно помнить дополнительные пароли, просто нажимаешь знакомую кнопку и всё.

В наших проектах интеграция ЕСИА активно используется в продуктах страховых компаний. Это позволяет клиентам покупать полисы ОСАГО, отправлять извещения о ДТП при оформлении заявок на урегулирование убытков. Это критически важная функция для сценариев заявления о страховых случаях по ОСАГО, когда пользователь не является клиентом данной страховой компании.

Хотя сейчас к ЕСИА могут подключиться не все организации, можно ожидать, что такая авторизация скоро станет де-факто стандартом для пользовательских сервисов. Просто потому, что это надёжно и удобно для клиентов – вместо отдельной учётной записи для каждого ресурса можно использовать единый аккаунт «Госуслуг» и бесшовно пользоваться любыми нужными услугами. Поэтому задумываться об интеграции стоит всем компаниям.

Как информационная система работает с ЕСИА

ЕСИА является прослойкой между стандартным содержанием приложения и его защищёнными данными. Если пользователю не требуются услуги, которые требуют верификации личности, он может не проходить дополнительную авторизацию. Когда же он захочет попасть в этот раздел, приложение переадресует его на Портал госуслуг, а после успешной авторизации – вернёт обратно.

Технически процесс выглядит так:

1. Пользователь обращается к защищённому ресурсу информационной системы (например, при онлайн-покупке полиса ОСАГО).

2. Информационная система направляет в ЕСИА запрос на аутентификацию.

3. ЕСИА проверяет, есть ли у пользователя открытая сессия, т.е. авторизовался ли он уже ранее. Если такой сессии нет, ЕСИА направляет пользователя на веб-страницу, чтобы он ввёл свой логин и пароль.

4. После успешной аутентификации ЕСИА передаёт в информационную систему пакет с идентификационными данными пользователя, информацию об уровне его учётной записи и контексте аутентификации.

5. На основании этой информации система открывает пользователю доступ.

Как организации подключиться к ЕСИА

Процедура подключения занимает около месяца. Это время включает регистрацию необходимых аккаунтов, получение данных от Минцифры, работы по интеграции ИС.

1. Зарегистрируйте руководителя организации на Портале госуслуг. Регистрировать компании в ЕСИА могут только те их представители, которые вправе действовать без доверенности. Им понадобится подтверждённая учётная запись физического лица – т.е. нужно будет не только указать свои данные, но и обратиться в банк или МФЦ для верификации. В последнее время многие банки позволяют сделать это онлайн, через их приложения.

2. Зарегистрируйте вашу организацию.

a. Получите квалифицированную электронную подпись (КЭП) на руководителя организации.

b. Зарегистрируйте юридическое лицо в профиле ЕСИА.

c. Оформите КЭП для юридического лица.

Оформлением КЭП занимаются аккредитованные удостоверяющие центры. Подробная инструкция по этому процессу здесь.

3. Зарегистрируйте информационную систему в ЕСИА.

Регистрация системы происходит через технологический портал. Доступ к нему может получить один из сотрудников компании – действовать через аккаунт представителя уже не обязательно. Этот процесс подробно расписан в Руководстве пользователя технологического портала ЕСИА. В результате регистрации информационная система заносится в реестр ИС и получает мнемонический буквенно-цифровой код.

4. Доработайте систему для обмена данными с ЕСИА.

Аутентификация пользователей в ЕСИА происходит по OAuth 2.0 и OpenID Connect 1.0. Компании необходимо сгенерировать закрытый ключ и сертификат открытого ключа, зарегистрировать его на технологическом портале. Стоит отметить, что ЕСИА поддерживает только российские алгоритмы шифрования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

Стоит отдельно отметить, что если в компании уже используются средства верификации пользователей посредством Single Sign-On, то особых технических трудностей при подключении к ЕСИА не будет.

5. Подключитесь к тестовой среде ЕСИА

На этом этапе нужно отправить на адрес [email protected] заявку по форме, которая приводится в Регламенте взаимодействия заявителей с операторами ЕСИА. Когда администраторы откроют доступ, компании нужно подключить свою систему к ЕСИА, чтобы она могла принимать и отправлять запросы. Для этого используются специальные коннекторы, и Минцифры не даст разрешение на полноценный запуск, пока коннекторы не заработают стабильно в тестовом режиме.

6. Подключитесь к промышленной среде ЕСИА

Когда всё готово, вы отправляете ещё одну заявку на [email protected]. Остаётся проверить работоспособности интеграции – и готово.

Полезные ссылки

Данный документ описывает порядок регистрации портала записи пациента на прием к врачу, далее ИС (информационная система) в системе ЕСИА.

Применимо для регистрации других ИС с поправками на специфику.

Нормативные документы 

  • Руководство пользователя ЕСИА 
    https://digital.gov.ru/ru/documents/6182/ 
  • Руководство пользователя технологического портала ЕСИА 
    https://digital.gov.ru/ru/documents/6190/ 
  • Методические рекомендации по использованию ЕСИА 
    https://digital.gov.ru/ru/documents/6186/ 
  • Регламент информационного взаимодействия Участников с Оператором ЕСИА и оператором эксплуатации инфраструктуры электронного правительства 
    https://digital.gov.ru/ru/documents/4244/ 

Ресурсы:

Технологический портал (ПРОМЫШЛЕННАЯ СРЕДА): http://esia.gosuslugi.ru/console/tech 

Технологический портал (ТЕСТОВАЯ СРЕДА): https://esia-portal1.test.gosuslugi.ru/console/tech 

1) Зарегистрируйте вашу организацию в ЕСИА

Необходимо получить квалифицированную электронную подпись (КЭП) на руководителя организации и зарегистрировать юридическое лицо или орган государственной власти в профиле ЕСИА (п.3 Руководства пользователя ЕСИА). Вам потребуется КЭП юридического лица (в т.ч. это может быть подпись ЭП-СП). За получением средства КЭП нужно обратиться в один из аккредитованных Минкомсвязью России удостоверяющих центров вашего региона.

!

Если у вашей организации уже есть доступ к ЕСИА сразу перейти к п.2

2) Зарегистрируйте информационную систему в ЕСИА

Ответственном сотруднику необходимо предоставить доступ к технологическому порталу (п. 3.5.2.3 Руководства пользователя). В результате регистрации через технологический портал ваша информационная система заносится в реестр ИС, взаимодействующих с ЕСИА. Для ИС присваивается буквенно-цифровой код — мнемоника.

Сотрудник должен быть привязан к организации!

3) Сертификаты ИС

В ЕСИА создан механизм аутентификации пользователей, основанный на спецификациях OAuth 2.0 и расширении OpenID Connect 1.0.
Необходимо сгенерировать закрытый ключ и сертификат открытого ключа, зарегистрировать его в технологическом портале.
Подробно необходимые действия описаны в разделе 3.1. Методических рекомендаций.

ВАЖНО

С ноября 2019 года подключение ИС в ЕСИА осуществляется только с сертификатами, поддерживащими алгоритмы шифрования ГОСТ-2012. 

Портал записи на прием на данный момент работает только с ключами криптопровайдера  КриптоПРО. 

4) Подключитесь к тестовой среде ЕСИА

Необходимо отправить форму заявки на адрес sd@sc.minsvyaz.ru. Актуальная форма размещена в Регламенте взаимодействия — ПРИЛОЖЕНИЕ Е. ФОРМА ЗАЯВКИ НА СОГЛАСОВАНИЕ ПРАВА ИСПОЛЬЗОВАНИЯ ЕСИА И НА ПОДКЛЮЧЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ К ЕСИА С ЦЕЛЬЮ ИСПОЛЬЗОВАНИЯ ПРОГРАММНЫХ ИНТЕРФЕЙСОВ ЕСИА ДЛЯ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ ЗАЯВИТЕЛЕЙ

!

К заявке прилагаются файлы открытого (сертификата) и закрытого ключа в формате DER.

SCOPE

В заявке необходимо перечислить следующие SCOPE (типы запрашиваемых персональных данных гражданина)

Scope:
— openid
— fullname
— birthdate
— gender
— snils
— inn
— id_doc
— birthplace
— medical_doc
— drivers_licence_doc
— birth_cert_doc
— email
— mobile
— contacts
— usr_org
— kid_fullname
— kid_birthdate
— kid_gender
— kid_snils
— kid_inn
— kid_birth_cert_doc
— kid_medical_doc

Пример заполнения заявки: 

После получения доступа в тестовую среду необходимо произвести настройку сервиса подписи на портале. 

Для этого понадобится: 

  • сертификат в формате DER
  • пароль от сертификата
  • контейнер закрытых ключей
  • лицензионный ключ КриптоПРО

Данные ключи необходимо передать ответственному сотруднику СТП. Или настроить сервис подписи самостоятельно.

После настройки и проверки тестовой среды можно переходить к регистрации в промышленной среде.

5) Подключитесь к промышленной среде ЕСИА

Необходимо отправить форму заявки на адрес sd@sc.minsvyaz.ru. Форма заявки как при подключении к тестовой среде.

Проверить наличие ИС на технологическом портале ПРОМЫШЛЕННОЙ СРЕДЫ, а так же наличие и актуальность прикрепленных там сертификатов.

После получения доступа в промышленную среду, необходимо настроить сервис подписи портала для подписи запросов в ЕСИА. 

Для этого понадобится: 

  • сертификат в формате DER
  • пароль от сертификата
  • контейнер закрытых ключей
  • лицензионный ключ КриптоПРО

Данные ключи необходимо передать ответственному сотруднику СТП. Или настроить сервис подписи самостоятельно.

Проверить работоспособность портала — авторизоваться на портале записи на прием под учетной записью реального гражданина.

6) Доменные имена

Согласно ФЗ №8 «ОБ ОБЕСПЕЧЕНИИ ДОСТУПА К ИНФОРМАЦИИ О ДЕЯТЕЛЬНОСТИ ГОСУДАРСТВЕННЫХ ОРГАНОВ И ОРГАНОВ МЕСТНОГО САМОУПРАВЛЕНИЯ» информационные ресурсы (сайты) принадлежащие государственным или муниципальным организациям должны располагаться на доменах принадлежащих этим организациям. 

В связи с этим МИАЦ региона должен зарегистрировать доменное имя любого уровня для портала записи пациентов, а так же обеспечить доступ к сайту по защищенному протоколу HTTPS, для чего потребуется https сертификат.  

Cертификаты SSL (HTTPS)

Текущие доменные имена вида код_региона.2dr.ru остаются в рабочем состоянии как резервные. 


Offline

Ludmila Tihonova

 


#1
Оставлено
:

15 мая 2022 г. 14:14:42(UTC)

Ludmila Tihonova

Статус: Advanced Member

Группы: Registered

Зарегистрирован: 29.07.2018(UTC)
Сообщений: 663

Сказал(а) «Спасибо»: 41 раз
Поблагодарили: 35 раз в 34 постах

Начинается поэтапное тестирование функционала суперсервиса с использованием тестового ЕПГУ (тестовый кабинет госуслуг).

Презентация для вузов: Prezentacija SS PVO_05052022.pdf (1,898kb) загружен 13 раз(а).

Для тестирования необходимо выполнить следующие условия:

1. Убедиться в наличии подключения к Сервису приема.
2. Внести в тестовый Сервис приема правила приема, необходимые для тестирования, в том числе по филиалам, а именно: по конкурсным группам и направлениям подготовки, количеству доступных для выбора направлений, информацию о наличии общежития, ВУЦ, формах обучения, уровнях образования, предметах вступительных испытаний и минимальных баллы к ним. Проверить корректность внесенных данных.
3. Перевести приемную кампанию в статус «Идет набор». После перевода статуса ПК нужно подождать пока синхронизируются данные (15-20 минут).
4. Получить тестовую учетную запись в ЕСИА, предназначенную для вашего вуза. Дополнительно (при желании) вы можете самостоятельно завести необходимое количество учетных записей в тестовой ЕСИА. Актуальное руководство пользователя ЕСИА опубликовано по адресу: https://digital.gov.ru/ru/documents/6182/
5. Авторизовавшись с использованием тестовой учетной записи ЕСИА, перейти к форме на ЕПГУ в тестовом контуре.
6. Приступить к тестированию.

7. Функционал тестированию на данном этапе:
а) выбор вуза;
б) проверка корректности отображения направлений подготовки, конкурсных групп и сопутствующей информации по ним.

8. Цель проведения тестирования: проверка полноты и корректности отображения данных, внесённых в тестовый Сервис приёма.


Вверх
Пользователи, просматривающие эту тему

Гость

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Как и обещал
Предварительные условия
Для работы требуется наличие публичного и приватного ключа в соответствии с методическими рекомендациями по работе с ЕСИА. Допускается использование самоподписного сертифката, который можно сгенерировать следующей командой:

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -sha1 -keyout my_private.key -out my_public_cert.crt
Полученный в результате файл my_public_cert.crt должен быть привязан к информационной системе вашей организации на сайте Госуслуг, а также направлен вместе с заявкой на доступ к ЕСИА (подробнее см. документы http://minsvyaz.ru/ru/documents/?words=ЕСИА).

Для валидации ответов от ЕСИА потребуется публичный ключ, который можно запросить в технической поддержке ЕСИА, уже после регистрации информационной системы и получения доступа к тестовой среде ЕСИА. Валидация опциональна.

Данный документ описывает порядок регистрации портала записи пациента на прием к врачу, далее ИС (информационная система) в системе ЕСИА.

Применимо для регистрации других ИС с поправками на специфику.

Нормативные документы 

  • Руководство пользователя ЕСИА 
    https://digital.gov.ru/ru/documents/6182/ 
  • Руководство пользователя технологического портала ЕСИА 
    https://digital.gov.ru/ru/documents/6190/ 
  • Методические рекомендации по использованию ЕСИА 
    https://digital.gov.ru/ru/documents/6186/ 
  • Регламент информационного взаимодействия Участников с Оператором ЕСИА и оператором эксплуатации инфраструктуры электронного правительства 
    https://digital.gov.ru/ru/documents/4244/ 

Ресурсы:

Технологический портал (ПРОМЫШЛЕННАЯ СРЕДА): http://esia.gosuslugi.ru/console/tech 

Технологический портал (ТЕСТОВАЯ СРЕДА): https://esia-portal1.test.gosuslugi.ru/console/tech 

1) Зарегистрируйте вашу организацию в ЕСИА

Необходимо получить квалифицированную электронную подпись (КЭП) на руководителя организации и зарегистрировать юридическое лицо или орган государственной власти в профиле ЕСИА (п.3 Руководства пользователя ЕСИА). Вам потребуется КЭП юридического лица (в т.ч. это может быть подпись ЭП-СП). За получением средства КЭП нужно обратиться в один из аккредитованных Минкомсвязью России удостоверяющих центров вашего региона.

!

Если у вашей организации уже есть доступ к ЕСИА сразу перейти к п.2

2) Зарегистрируйте информационную систему в ЕСИА

Ответственном сотруднику необходимо предоставить доступ к технологическому порталу (п. 3.5.2.3 Руководства пользователя). В результате регистрации через технологический портал ваша информационная система заносится в реестр ИС, взаимодействующих с ЕСИА. Для ИС присваивается буквенно-цифровой код — мнемоника.

Сотрудник должен быть привязан к организации!

3) Сертификаты ИС

В ЕСИА создан механизм аутентификации пользователей, основанный на спецификациях OAuth 2.0 и расширении OpenID Connect 1.0.
Необходимо сгенерировать закрытый ключ и сертификат открытого ключа, зарегистрировать его в технологическом портале.
Подробно необходимые действия описаны в разделе 3.1. Методических рекомендаций.

ВАЖНО

С ноября 2019 года подключение ИС в ЕСИА осуществляется только с сертификатами, поддерживащими алгоритмы шифрования ГОСТ-2012. 

Портал записи на прием на данный момент работает только с ключами криптопровайдера  КриптоПРО. 

4) Подключитесь к тестовой среде ЕСИА

Необходимо отправить форму заявки на адрес sd@sc.minsvyaz.ru. Актуальная форма размещена в Регламенте взаимодействия — ПРИЛОЖЕНИЕ Е. ФОРМА ЗАЯВКИ НА СОГЛАСОВАНИЕ ПРАВА ИСПОЛЬЗОВАНИЯ ЕСИА И НА ПОДКЛЮЧЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ К ЕСИА С ЦЕЛЬЮ ИСПОЛЬЗОВАНИЯ ПРОГРАММНЫХ ИНТЕРФЕЙСОВ ЕСИА ДЛЯ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ ЗАЯВИТЕЛЕЙ

!

К заявке прилагаются файлы открытого (сертификата) и закрытого ключа в формате DER.

SCOPE

В заявке необходимо перечислить следующие SCOPE (типы запрашиваемых персональных данных гражданина)

Scope:
— openid
— fullname
— birthdate
— gender
— snils
— inn
— id_doc
— birthplace
— medical_doc
— drivers_licence_doc
— birth_cert_doc
— email
— mobile
— contacts
— usr_org
— kid_fullname
— kid_birthdate
— kid_gender
— kid_snils
— kid_inn
— kid_birth_cert_doc
— kid_medical_doc

Пример заполнения заявки: 

После получения доступа в тестовую среду необходимо произвести настройку сервиса подписи на портале. 

Для этого понадобится: 

  • сертификат в формате DER
  • пароль от сертификата
  • контейнер закрытых ключей
  • лицензионный ключ КриптоПРО

Данные ключи необходимо передать ответственному сотруднику СТП. Или настроить сервис подписи самостоятельно.

После настройки и проверки тестовой среды можно переходить к регистрации в промышленной среде.

5) Подключитесь к промышленной среде ЕСИА

Необходимо отправить форму заявки на адрес sd@sc.minsvyaz.ru. Форма заявки как при подключении к тестовой среде.

Проверить наличие ИС на технологическом портале ПРОМЫШЛЕННОЙ СРЕДЫ, а так же наличие и актуальность прикрепленных там сертификатов.

После получения доступа в промышленную среду, необходимо настроить сервис подписи портала для подписи запросов в ЕСИА. 

Для этого понадобится: 

  • сертификат в формате DER
  • пароль от сертификата
  • контейнер закрытых ключей
  • лицензионный ключ КриптоПРО

Данные ключи необходимо передать ответственному сотруднику СТП. Или настроить сервис подписи самостоятельно.

Проверить работоспособность портала — авторизоваться на портале записи на прием под учетной записью реального гражданина.

6) Доменные имена

Согласно ФЗ №8 «ОБ ОБЕСПЕЧЕНИИ ДОСТУПА К ИНФОРМАЦИИ О ДЕЯТЕЛЬНОСТИ ГОСУДАРСТВЕННЫХ ОРГАНОВ И ОРГАНОВ МЕСТНОГО САМОУПРАВЛЕНИЯ» информационные ресурсы (сайты) принадлежащие государственным или муниципальным организациям должны располагаться на доменах принадлежащих этим организациям. 

В связи с этим МИАЦ региона должен зарегистрировать доменное имя любого уровня для портала записи пациентов, а так же обеспечить доступ к сайту по защищенному протоколу HTTPS, для чего потребуется https сертификат.  

Cертификаты SSL (HTTPS)

Текущие доменные имена вида код_региона.2dr.ru остаются в рабочем состоянии как резервные. 

Единая система идентификации и авторизации (ЕСИА) – это единственный способ верифицировать личность пользователя. Если продукт работает с деньгами, решает юридические задачи или работает с медицинскими данными, без интеграции с ЕСИА не обойтись. Рассказываем, что нужно знать, чтобы работать с этой инфраструктурой.

ЕСИА появилась в 2010 году и изначально использовалась для авторизации на Портале госуслуг. За прошедшее время возможности системы постоянно развивались, и сегодня коммерческие организации используют её, чтобы связывать учётные записи пользователя с их оффлайн-личностью.

То есть если компании нужно удостовериться, что по ту сторону экрана действительно тот человек, которым представился пользователь, ЕСИА предоставляет такую возможность. И самое главное – эта идентификация имеет юридическую значимость.

Какие возможности открывает такая идентификация

1. Клиент может подписывать юридически значимые электронные документы, получать защищённый доступ к конфиденциальной информации, медицинским данным и т.д.

2. Появляется возможность автоматически заполнять в анкетах и заявках персональные данные клиента: ФИО, данные паспорта, ИНН, информация о детях и др. При этом компания может быть уверена, что эти данные абсолютно верны и правдивы.

3. Страховые компании и банки могут продавать через приложение свои продукты. И никаких расходов, которые связаны с традиционными, оффлайновыми каналами продаж – не нужно собирать документы, приглашать человека в офис, достаточно разработать скрипт для колл-центра.

4. Для пользователя верификация с ЕСИА повышает доверие к сервису и делает саму процедуру удобнее – не нужно помнить дополнительные пароли, просто нажимаешь знакомую кнопку и всё.

В наших проектах интеграция ЕСИА активно используется в продуктах страховых компаний. Это позволяет клиентам покупать полисы ОСАГО, отправлять извещения о ДТП при оформлении заявок на урегулирование убытков. Это критически важная функция для сценариев заявления о страховых случаях по ОСАГО, когда пользователь не является клиентом данной страховой компании.

Хотя сейчас к ЕСИА могут подключиться не все организации, можно ожидать, что такая авторизация скоро станет де-факто стандартом для пользовательских сервисов. Просто потому, что это надёжно и удобно для клиентов – вместо отдельной учётной записи для каждого ресурса можно использовать единый аккаунт «Госуслуг» и бесшовно пользоваться любыми нужными услугами. Поэтому задумываться об интеграции стоит всем компаниям.

Как информационная система работает с ЕСИА

ЕСИА является прослойкой между стандартным содержанием приложения и его защищёнными данными. Если пользователю не требуются услуги, которые требуют верификации личности, он может не проходить дополнительную авторизацию. Когда же он захочет попасть в этот раздел, приложение переадресует его на Портал госуслуг, а после успешной авторизации – вернёт обратно.

Технически процесс выглядит так:

1. Пользователь обращается к защищённому ресурсу информационной системы (например, при онлайн-покупке полиса ОСАГО).

2. Информационная система направляет в ЕСИА запрос на аутентификацию.

3. ЕСИА проверяет, есть ли у пользователя открытая сессия, т.е. авторизовался ли он уже ранее. Если такой сессии нет, ЕСИА направляет пользователя на веб-страницу, чтобы он ввёл свой логин и пароль.

4. После успешной аутентификации ЕСИА передаёт в информационную систему пакет с идентификационными данными пользователя, информацию об уровне его учётной записи и контексте аутентификации.

5. На основании этой информации система открывает пользователю доступ.

Как организации подключиться к ЕСИА

Процедура подключения занимает около месяца. Это время включает регистрацию необходимых аккаунтов, получение данных от Минцифры, работы по интеграции ИС.

1. Зарегистрируйте руководителя организации на Портале госуслуг. Регистрировать компании в ЕСИА могут только те их представители, которые вправе действовать без доверенности. Им понадобится подтверждённая учётная запись физического лица – т.е. нужно будет не только указать свои данные, но и обратиться в банк или МФЦ для верификации. В последнее время многие банки позволяют сделать это онлайн, через их приложения.

2. Зарегистрируйте вашу организацию.

a. Получите квалифицированную электронную подпись (КЭП) на руководителя организации.

b. Зарегистрируйте юридическое лицо в профиле ЕСИА.

c. Оформите КЭП для юридического лица.

Оформлением КЭП занимаются аккредитованные удостоверяющие центры. Подробная инструкция по этому процессу здесь.

3. Зарегистрируйте информационную систему в ЕСИА.

Регистрация системы происходит через технологический портал. Доступ к нему может получить один из сотрудников компании – действовать через аккаунт представителя уже не обязательно. Этот процесс подробно расписан в Руководстве пользователя технологического портала ЕСИА. В результате регистрации информационная система заносится в реестр ИС и получает мнемонический буквенно-цифровой код.

4. Доработайте систему для обмена данными с ЕСИА.

Аутентификация пользователей в ЕСИА происходит по OAuth 2.0 и OpenID Connect 1.0. Компании необходимо сгенерировать закрытый ключ и сертификат открытого ключа, зарегистрировать его на технологическом портале. Стоит отметить, что ЕСИА поддерживает только российские алгоритмы шифрования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

Стоит отдельно отметить, что если в компании уже используются средства верификации пользователей посредством Single Sign-On, то особых технических трудностей при подключении к ЕСИА не будет.

5. Подключитесь к тестовой среде ЕСИА

На этом этапе нужно отправить на адрес [email protected] заявку по форме, которая приводится в Регламенте взаимодействия заявителей с операторами ЕСИА. Когда администраторы откроют доступ, компании нужно подключить свою систему к ЕСИА, чтобы она могла принимать и отправлять запросы. Для этого используются специальные коннекторы, и Минцифры не даст разрешение на полноценный запуск, пока коннекторы не заработают стабильно в тестовом режиме.

6. Подключитесь к промышленной среде ЕСИА

Когда всё готово, вы отправляете ещё одну заявку на [email protected]. Остаётся проверить работоспособности интеграции – и готово.

Полезные ссылки

Часто задаваемые вопросы (FAQ) по ЕСИА

Часто задаваемые вопросы

  • Blitz Smart Card Plugin7
  • Единая система идентификации и аутентификации27
  • Лицензирование Blitz Identity Provider6

Blitz Smart Card Plugin

  • Необходимы ли административные привилегии для установки плагина?

    Административные привилегии при установке плагина не требуются, если плагин устанавливается для использования текущим пользователем. Если же в процессе установки плагина выбрана опция установки плагина для всех пользователей компьютера, то для продолжения установки будет необходимо ввести пароль администратора.

  • Необходимо ли перезапускать браузер после установки плагина?

    Нет, при установке плагина не требуется перезапускать браузер и операционную систему. Если плагин корректно встроен на ваш веб-сайт, то веб-страница может проверить, установлен ли плагин, а также подсказать пользователю о необходимых действиях, связанных с его установкой.

  • Мы хотели бы использовать ваш плагин на своем сайте. Можем ли мы предоставлять пользователям плагин для загрузки с нашего сайта? Возможно ли для нашей версии изменить название и логотип плагина?

    Да, если вы купили лицензию, вы можете использовать и распространять плагин с вашего веб-сайта. Вы также можете заказать выпуск специальной версии плагина, брендированной для вашей компании или вашего сайта. Свяжитесь с нами для получения дополнительной информации.

  • Можно ли с вашим плагином использовать электронную подпись на смартфонах и планшетах?

    К сожалению, наш плагин работает только на компьютерах под управлением операционных систем Windows, macOS и Linux (Linux Ubuntu 14/16, Linux Fedora 23, Linux Mint 17/18, CentOS и др.). Операционные системы мобильных устройств, такие как IOS и Android, не поддерживаются.

  • Ваш плагин не поддерживает мой тип ключей. Можно ли добавить мой токен в число поддерживаемых?

    Пожалуйста, обратитесь к нами с использованием формы обратной связи. Сообщите нам имя токена и его производителя. Мы сообщим, сможем ли поддержать запрошенный тип ключей.

  • Будет ли плагин работать со старыми версиями браузера Firefox, в том числе действующим ESR-релизом?

    Да, Blitz Smart Card Plugin совместим как со старыми версиями Firefox, использующими NPAPI, так и новыми версиями Firefox (версия 52 и новее), работающими через Native Messaging API. Поставляющийся с плагином JavaScript проверяет версию Firefox, установленного у пользователя, и использует актуальный способ взаимодействия с плагином.

  • Какие требования предъявляются к веб-сайту, чтобы он мог использовать функции подписания документов?

    Blitz Smart Card Plugin — это клиентское программное обеспечение. Это означает, что браузер сможет вызывать функции работы с электронной подписью только после установки на машину пользователя специального плагина. Вместе с плагином предоставляется JavaScript, который должен быть встроен на сайт для возможностей использования функций электронной подписи.

Единая система идентификации и аутентификации

  • Что такое ЕСИА?

    Единая система идентификации и аутентификации (ЕСИА) — государственная система, с помощью которой граждане России могут входить на различные сайты без необходимости отдельно регистрировать на этих сайтах учетные записи. Задача не нова — многие пользователи уже привыкли для входа на сайты использовать свои существующие аккаунты в социальных сетях. Что по‑настоящему отличает ЕСИА от похожих сервисов Google/Facebook/VK, так это возможность достоверной идентификации. С помощью ЕСИА человек входит на сайт не под придуманным, а под своим настоящим именем.

    Первоначально ЕСИА использовалась для доступа к федеральному порталу государственных услуг. Теперь ЕСИА используется для доступа к большинству государственных сайтов и начинает использоваться в коммерции там, где важна достоверная идентификация. Например, с помощью ЕСИА можно получить доступ к сайту налоговой службы, проверить накопления в пенсионном фонде, оформить страховку и даже проголосовать. Количество подключенных к ЕСИА сайтов уже перемахнуло за тысячу.

  • Как мне зарегистрироваться в ЕСИА?

    Для регистрации в ЕСИА нужно перейти на сайт www.gosuslugi.ru и нажать там кнопку «Зарегистрироваться». Из документов вам понадобятся СНИЛС и паспорт. Инструкцию по регистрации можно найти на портале государственных услуг по ссылке.

    В случае затруднений можно обратиться в техническую поддержку портала госуслуг по телефону 8 800 100‑70‑10 или написать письмо на support@gosuslugi.ru.
    Для регистрации также можно обратиться в ближайший центр обслуживания.

  • Как зарегистрировать организацию в ЕСИА?

    Зарегистрировать организацию может руководитель организации (в справочнике ЕГРЮЛ налоговой службы этот человек должен быть указан как лицо, имеющее право действовать без доверенности от имени организации). Если руководитель сам еще не зарегистрирован в ЕСИА, то ему нужно пойти на сайт www.gosuslugi.ru и зарегистрироваться. После этого нужно войти в свой личный кабинет и найти там операцию регистрации организации. Лучше всего для этого воспользоваться прямой ссылкой. При регистрации потребуется подписать заявление квалифицированной электронной подписью, получить которую можно в любом аккредитованном удостоверяющем центре. Для установки подписи можно использовать средство электронной подписи, с помощью которого организация подает электронную отчетность в налоговую или участвует в электронных торгах.

  • Как подключить сайт своей организации к ЕСИА?

    В общих чертах для подключения к ЕСИА нужно:

    1. Убедиться, что вашей организации можно подключать свои системы к ЕСИА.
    2. Директору организации с помощью веб-приложения «Профиль ЕСИА» зарегистрировать организацию в ЕСИА.
    3. Ему также нужно прикрепить к учетной записи организации ответственного сотрудника и назначить ему право доступа в специальное приложение — Технологический портал ЕСИА. Если директор не планирует делегировать дальнейшие операции своему сотруднику, то тогда он все равно должен явно предоставить доступ себе к Технологическому порталу ЕСИА.

    Назначенному ответственному сотруднику организации нужно с помощью веб-приложения «Технологический портал ЕСИА»:

    1. Зарегистрировать учетную запись системы в ЕСИА. Мнемонику для системы придумать, либо использовать существующую мнемонику точки подключения к СМЭВ, если подключаемая к ЕСИА система раньше уже была подключена к СМЭВ.
    2. Загрузить в карточку системы ее сертификат.

    Ответственному сотруднику организации нужно:

    1. Поочередно подать по электронной почте заполненные в соответствии с регламентом заявки на использование программных интерфейсов ЕСИА в тестовой и промышленной среде.

    Разработчикам подключаемой системы:

    1. Доработать систему для подключения к ЕСИА, самостоятельно разработав код взаимодействия с ЕСИА в соответствии с действующим документом «Методические рекомендации по использованию ЕСИА» или использовать готовое решение на основе ПО ESIA-Bridge.

    Отладить взаимодействие в тестовой и промышленной среде ЕСИА.

  • Сколько времени уходит на подключение к ЕСИА?

    Технически подключение системы к ЕСИА с использованием готового решения выполняется в течение рабочего дня. Также необходимо до 5 дней (обычно 1-2 дня) на одобрение Минкомсвязи каждой поданной заявки на подключение к ЕСИА (последовательно подается две заявки — сначала на подключение к тестовой среде, после ее одобрения — на подключение к промышленной среде).

    В случае самостоятельной интеграции системы с ЕСИА в зависимости от используемого способа подключения (SAML или OIDC) и сложности интеграции на технические работы может потребоваться от нескольких недель до месяцев работы.

  • Сколько стоит подключиться к ЕСИА?

    В настоящий момент подключение к ЕСИА и ее использование бесплатно. Вместе с тем есть законодательные инициативы, направленные на то, чтобы коммерческие организации подключались к ЕСИА за плату. Но пока возможность платного подключения отсутствует.

  • Кто может подключиться к ЕСИА?

    Подключить систему к ЕСИА может любая государственная организация, а также отдельные виды коммерческих организаций: страховые компании, кредитные организации (банки), профессиональные участники рынка ценных бумаг, негосударственные пенсионные фонды, микрофинансовые и микрокредитные организации, а также операторы связи.

    Законодательство со временем корректируется, и вместе с ним расширяется перечень организаций, которым разрешено подключиться к ЕСИА.

  • Я представляю коммерческую организацию. Могу ли я подключиться к ЕСИА?

    Только если ваша организация входит в одну из разрешенных категорий: страховые компании, кредитные организации (банки), профессиональные участники рынка ценных бумаг, негосударственные пенсионные фонды, микрофинансовые и микрокредитные организации, операторы связи.

  • Я представляю УЦ. Могу ли я использовать ЕСИА для идентификации пользователей?

    В настоящий момент УЦ не может использовать ЕСИА для идентификации пользователей. Вместе с тем УЦ в соответствии с законом об электронной подписи может осуществлять в ЕСИА регистрацию пользователей, а также передавать в ЕСИА сведения о выпущенных квалифицированных сертификатах электронной подписи.

  • Какие данные можно получать из ЕСИА?

    Перечень доступных к получению сведений зависит от:

    1. Категории организации, подключающейся к ЕСИА
    2. Использованного способа подключения к ЕСИА

    Минкомсвязь ограничивает перечень данных, доступных коммерческим организациям. Обычно разрешают получать только сведения о ФИО, реквизитах паспорта (серия и номер, кем и когда выдан), гражданстве, а также признака «подтвержденности» аккаунта и идентификатора аккаунта в ЕСИА.

    Государственные организации могут получать из ЕСИА полный набор данных о пользователе и его организациях. Это следующие сведения:

    1. личные данные (ФИО, пол, дата и место рождения, гражданство)
    2. данные идентификационных документов (СНИЛС, ИНН, общегражданский и заграничный паспорт, свидетельство о рождении, водительское удостоверение, военный билет, полис ОМС)
    3. контактная информация (email, мобильный и домашний телефон, адреса регистрации и проживания)
    4. сведения о детях (личные данные и документы)
    5. сведения о транспортных средствах (номер и свидетельство о регистрации)
    6. сведения об организациях и ИП (наименование, ОГРН, ИНН/КПП, организационно-правовая форма, юридический адрес, контакты, филиалы, списки сотрудников, полномочия сотрудников, транспортные средства организации)
    7. данные учетной записи (идентификатор аккаунта в ЕСИА, признак «подтвержденности» аккаунта)

    Сведения предоставляются в том объеме, в каком они заполнены пользователем в ЕСИА, а также при условии согласия пользователя на предоставления этих сведений.

    При подключении системы к ЕСИА по протоколу SAML к получению доступно значительно меньше данных, чем можно получить при подключении системы по OpenID Connect. Детальная информация приведена в документе «Методические рекомендации по использованию ЕСИА».

  • Какие учетные записи бывают в ЕСИА? Чем отличаются «подтвержденная», «стандартная» и «упрощенная» учетные записи?

    С точки зрения конечного пользователя существует три статуса учетной записи:

    1. Упрощенная — когда пользователь только зарегистрировал новый аккаунт и еще не указал данные своего СНИЛС и паспорта.
    2. Стандартная — когда пользователь указал данные своего СНИЛС и паспорта, и эти данные прошли проверки в государственных реестрах.
    3. Подтвержденная — когда пользователь подтвердил владение учетной записью — посетил для этого центр регистрации, воспользовался электронной подписью либо получил по Почте России проверочный код.

    При подключении к ЕСИА коммерческой системы можно разделять только то, является ли учетная запись «подтвержденной» или нет. Данные для того, чтобы отличить упрощенную учетную запись от стандартной коммерческим системам не предоставляются.

    Государственная система может получить более детальную информацию о типе учетной записи и даже об использованном типе подтверждения учетной записи (каким способом пользователь подтверждал учетную запись).

  • Насколько актуальны данные в ЕСИА?

    Ответственность за поддержание в ЕСИА актуальности сведений целиком лежит на пользователе. При обновлении пользователем сведений в ЕСИА для ряда сведений выполняется их проверка. Верифицируются следующие сведения:

    1. Связка ФИО, пол, дата рождения, СНИЛС — проверяется по базе пенсионного фонда.
    2. Связка ФИО, паспортные данные — проверяется по базе паспортов МВД.
    3. Связка ФИО и ИНН — по данным ФНС.
    4. Email и телефон — проверяются путем отправки проверочного сообщения.

    Актуальность сведений гарантируется только на момент их проверки. При получении системой сведений из ЕСИА нужно допускать, что сведения уже могли устареть. Например, срок действия паспорта мог истечь или паспорт мог быть утерян.

  • Какова полнота данных в ЕСИА?

    В зависимости от того, как давно пользователь регистрировался, могут быть свои особенности по минимально заполненному у пользователя набору данных.

    1. В норме у «подтвержденной» учетной записи заполнен хотя бы один контакт, заданы ФИО, пол, дата рождения, СНИЛС и паспортные данные.
    2. Есть достаточно много учетных записей, у которых может быть не заполнен паспорт. Это означает, что-либо пользователь регистрировался давно, когда паспорт был необязателен, либо у пользователя были проблемы с проверкой паспорта в МВД в момент регистрации в центре обслуживания, связанные с тем, что МВД не мог в автоматическом режиме подтвердить правильность паспорта.
    3. Если учетная запись регистрировалась более 6 лет назад, и с тех пор пользователь не обновлял в ней данные, то можно встретить ситуацию, что у учетной записи могут быть не заполнены пол и дата рождения. Это весьма редкая ситуация.
    4. У учетной записи может быть не заполнено ни одного контакта (email, телефон).

    При отработке интеграции системы с ЕСИА нужно проверять полноту профиля согласно требованиям вашей системы и рекомендовать пользователю обновить свой профиль, если каких-то данных не хватает.

    Государственные системы могут использовать в ЕСИА программный интерфейс, позволяющий обновить в ЕСИА пользовательские сведения без необходимости переадресации пользователя в интерфейс ЕСИА.

  • Как узнать, сколько сейчас пользователей в ЕСИА?

    К сожалению, Минкомсвязь не осуществляет регулярных публикаций статистических данных о количестве зарегистрированных в ЕСИА пользователей. Тем не менее, отдельную информацию можно найти на сайте minsvyaz.ru, анализируя новости и пресс-релизы на этом сайте. Также информацию можно получать, просматривая публикации об интервью должностных лиц Минкомсвязи и Ростелекома.

    По состоянию на май 2017 в ЕСИА заведено более 45 млн учетных записей. Более половины из них в «подтвержденном» статусе. Количество зарегистрированных организаций — ~250-300 тысяч. Количество подключенных к ЕСИА систем — более 1 тыс. Количество действующих центров регистрации по всей России — более 10 тыс.

  • Предупреждает ли Минкомсвязи о регламентных работах с ЕСИА? Есть ли у ЕСИА простои (downtime)?

    Заблаговременно Минкомсвязь не предупреждает о планирующихся регламентных работах. Предупреждение появляется лишь за несколько часов до проведения работ в виде дисклеймера на страницах сайта www.gosuslugi.ru и ЕСИА.

    Прерывания в работе сервиса аутентификации обычно кратковременны и происходят в период минимальной активности в системе. Обычно регламентные работы по ЕСИА проводятся в ночь с четверга на пятницу.

  • Какой сертификат нужен для регистрации системы в ЕСИА?

    Для регистрации организации в ЕСИА нужна квалифицированная электронная подпись (см. «Как зарегистрировать организацию в ЕСИА?»).

    Для регистрации информационной системы и последующего взаимодействия с ЕСИА также требуется электронная подпись. Этой электронной подписью подписываются запросы к ЕСИА. В настоящий момент ЕСИА поддерживает сертификаты в формате X.509 и взаимодействует с алгоритмом формирования электронной подписи ГОСТ Р 34.10-2012 и алгоритмом криптографического хэширования ГОСТ Р 34.11-2012.

    Также важно своевременно обновлять в ЕСИА зарегистрированный сертификат системы. При регистрации нового сертификата старый удалять не обязательно — ЕСИА разрешает одновременно указывать для системы несколько действующих сертификатов.

  • Должен ли я использовать ГОСТ‑криптографию для подключения к ЕСИА?

    Нет никаких документов, обязывающих использовать ГОСТ-криптографию для подключения к ЕСИА.

    Согласно действующему документу «Методические рекомендации по использованию ЕСИА» можно использовать при подключении как RSA, так и ГОСТ.

    Тем не менее, если используемое техническое решение поддерживает оба варианта подключения, то это его преимущество. В случае если в будущем требования к подключению будут ужесточены, то достаточно будет заменить используемые ключевой контейнер и сертификат, доработка ПО для подключения к ЕСИА не потребуется.

  • Какой протокол использовать для подключения к ЕСИА? SAML или OpenID Connect?

    Если подключается система коммерческой организации, то выбора нет. Разрешено использовать для подключения исключительно протокол OpenID Connect.

    Если подключается государственная организация, то для подключения можно использовать любой из протоколов. Преимущества и недостатки выбора протокола для подключения рассмотрены в статье.

  • Насколько реализация протоколов в ЕСИА отличается от стандартов?

    Реализация SAML соответствует стандарту SAML 2.0, профилям Web Browser SSO Profile и Single Logout Profile, спецификации Interoperable SAML 2.0 Web Browser SSO Deployment Profile. В части SAML в основе реализации ЕСИА лежит известный open source проект Shibboleth. Практически все популярные SAML-клиенты совместимы с ЕСИА. Нюансы ЕСИА заключаются в формате файла метаданных поставщика услуг и используемых ЕСИА утверждениях SAML Assertion для передачи сведений о пользователях. Регистрация метаданных на основе переданной ссылки не поддерживается — метаданные в ЕСИА всегда регистрируются файлом, переданным вместе с заявкой на подключение к ЕСИА. В случае изменений URL, сертификата и иных важных сведений на стороне подключаемой системы необходимо отправлять в Минкомсвязь заявку на корректировку параметров подключения к ЕСИА и прикладывать к заявке обновленные метаданные.

    Реализация OpenID Connect / OAuth 2.0 в ЕСИА в целом основана на спецификации RFC6749 и профиле OpenID Connect 1.0. Но есть моменты, на которые стоит обратить внимание:

    1. В качестве client-secret используется не секретная строка, а электронная подпись. Особенности ее вычисления описаны в «Методические рекомендации по использованию ЕСИА»
    2. Для подключения можно использовать только Authorization Code Flow и Client Credentials Flow.
    3. ЕСИА не предоставляется стандартный UserInfo Endpoint и стандартные пользовательские атрибуты UserInfo Response Claims). Вместо него предоставляются специфичные для ЕСИА сервисы REST-API.
    4. В ЕСИА используется свой собственный справочник scope.
    5. Большинство опциональных режимов OpenID Connect не поддержаны. Среди поддерживаемых опциональных режимов можно выделить display=page/popup, prompt=none/login.

    Стандартные библиотеки для подключения по OIDC/OAuth, в отличие от SAML, использовать без их доработки не получится.

  • Как можно проверить, что ответ с результатами идентификации получен именно от ЕСИА?

    В случае SAML после получения ответа от ЕСИА необходимо обязательно проверить, что сертификат ключей, использованных для шифрования и передачи сведений о пользователе в SAML Assertion совпадает с сертификатом ЕСИА, опубликованным в метаданных ЕСИА. Если этим пренебречь, то с использованием функции входа через ЕСИА можно будет осуществлять вход на ваш сайт под чужими учетными записями в обход аутентификации пользователя. Это не единственная необходимая проверка безопасности, но одна из важнейших.

    В случае OpenID Connect при входе пользователя нужно проверять полученный ID Token. Структура токена описана в документе «Методические рекомендации по использованию ЕСИА». Актуальный сертификат ключей, используемых для подписи ID Token, Минкомсвязь не публикует, но его можно запросить, обратившись в техническую поддержку ЕСИА.

  • Можно ли подключить к ЕСИА мобильное приложение IOS/Android?

    Да, можно. От мобильного приложения при этом потребуется взаимодействовать с ЕСИА с использованием встроенного или нативного браузера в момент привязки аккаунта ЕСИА к установке приложения на мобильном устройстве пользователя. Примером реализации такой интеграции может служить штатное мобильное приложение Госуслуги.

    Тем не менее, интеграция мобильных приложений с ЕСИА — это большая редкость.

  • Какие готовые решения можно использовать для подключения к ЕСИА?

    В качестве готового решения рекомендуем рассмотреть использование ПО ESIA-Bridge. Это самый простой и эффективный способ интеграции с ЕСИА. Отработать всю интеграцию системы с ЕСИА можно в течение дня, включая даже сложные сценарии, связанные с входом в систему представителей юридических лиц и органов власти.

    Если вход через ЕСИА является не единственной и не основной опцией, то рекомендуем также рассмотреть в качестве решения использование полноценного сервера аутентификации Blitz Identity Provider. Сервер аутентификации не только прединтегрирован с ЕСИА, но и предоставляет возможности по регистрации аккаунтов непосредственно на сайте подключаемой системы, различные способы входа (через соц.сети и ЕСИА, через электронную подпись, через вход в корпоративный домен, через проверку логина/пароля и последующую двухфакторную аутентификацию), гибкое управление политиками доступа, аудит событий безопасности, управление пользовательскими аккаунтами и многое другое.

  • Какой способ подключения к ЕСИА используется ESIA‑Bridge?

    ESIA-Bridge при подключении к ЕСИА использует протокол OpenID Connect / OAuth 2.0. Поддерживается использование ключей RSA/ГОСТ на выбор заказчика.

    С помощью ESIA‑Bridge возможно получение данных о пользователе как в момент его входа в систему, так и в будущем, до тех пор пока пользователь не отзовет данное системе разрешение на доступ к его данным.

  • Как лицензируется ESIA‑Bridge?

    ESIA‑Bridge лицензируется на домен организации. Это означает, что с помощью одной купленной лицензии организация может подключить к ЕСИА все свои сайты, функционирующие на общем домене второго уровня (any-site.company.ru). Лицензия не ограничена сроком действия, нет также ограничений на количество установок ПО ESIA‑Bridge, количество пользователей, количество процессорных ядер.

    Чтобы узнать стоимость лицензии, обратитесь к нам. В зависимости от принятой в вашей компании ставки специалиста стоимость лицензии ПО ESIA‑Bridge — это эквивалент 1-2 недель трудозатрат собственных или привлеченных разработчиков.

    Опционально также оказываются следующие услуги:

    • Консультационные услуги при внедрении, включая необходимую организационную поддержку в процессе регистрации и подключения к ЕСИА, развертывании в вашей инфраструктуре ПО ESIA‑Bridge, подключении ваших систем к ESIA‑Bridge.
    • Годовая техническая поддержка ПО ESIA‑Bridge. Доступ к обновлениям ПО, консультации в течение года, обработка инцидентов с ПО.
  • Что нужно для установки ESIA‑Bridge?

    Для установки ESIA‑Bridge нужно выделить виртуальную машину с любой из следующих ОС: Windows, Linux CentOS/RHEL/Fedora, Linux Ubuntu/Debian/Mint.

    Рекомендуемая конфигурация: 2 Core, 4 Gb RAM, 20 Gb HDD.

    Для отказоустойчивости можно выделить не один, а два сервера.

    С подробной схемой развертывания можно ознакомиться в документации.

  • Можно ли с помощью одного ESIA‑Bridge подключить к ЕСИА несколько сайтов?

    Да, можно подключить любое количество систем одной организации.

  • Где я могу найти дополнительную информацию о ЕСИА?

    Информацию о ЕСИА можно найти на сайте Минкомсвязь России.

    Если у вас есть вопросы по подключению систем к ЕСИА, обратитесь к нам.

Лицензирование Blitz Identity Provider

  • Могу я бесплатно попробовать Blitz Identity Provider и провести пилотный проект?

    Да, конечно! Редакция Standard Edition доступна для загрузки с сайта. Если вы хотите провести пилот с использованием редакции Enterprise Edition, то обратитесь к нам, и мы предоставим вам бесплатную пробную лицензию, ссылки на загрузку дистрибутива и необходимые консультации.

  • Нужно ли приобретать отдельные лицензии для тестовых сред?

    Не нужно. В зависимости от приобретенного пакета лицензий вам доступна возможность использовать Blitz Identity Provider не только на доменах ПРОД‑среды, но и на определенном количестве ТЕСТ‑сред.

  • Ограничивается ли срок действия приобретенных лицензий?

    Приобретаемые лицензии бессрочны — приобретаются один раз и на все время. Также при желании можно отдельно приобрести услуги годовой технической поддержки программного обеспечения.

  • Можно ли добавить в продукт необходимую нам функцию?

    Да, мы развиваем Blitz Identity Provider, ориентируясь прежде всего на пожелания наших клиентов и пользователей. Напишите нам, какая функция вам необходима. Возможно что решение вашей задачи уже предусмотрено иным способом, и мы подскажем, как это можно настроить и использовать, либо мы включим нужную вам функцию в план разработки.

  • Какая метрика лицензирования применяется для Blitz Identity Provider?

    Blitz Identity Provider можно использовать в домене компании, на который приобретена лицензия. В зависимости от приобретенного пакета лицензий действует ограничение на допустимое количество подключенных приложений.

    Разрешенное количество серверов под развертывание Blitz Identity Provider зависит от используемой редакции. Для развертывания Enterprise Edition можно использовать любое число серверов. Для развертывания Standard Edition должен использоваться строго один сервер.

    Количество пользователей, использующих Blitz Identity Provider, лицензионно не ограничивается. Технически редакция Enterprise Edition способна работать с более чем 100 млн пользователей. Для редакция Standard Edition не гарантируется корректная работа, когда в системе более чем 10 тыс. пользователей.

  • Сколько лицензий необходимо в случае подключения сайта и мобильного приложения?

    Если сайт и мобильное приложение архитектурно представляют собой одну систему, то они могут использовать общие параметры подключения и регистрироваться в Blitz Identity Provider как одно приложение (использовать общую лицензию). Если же сайт и мобильное приложение представляют собой архитектурно две разные системы, то они должны регистрироваться в Blitz Identity Provider как два разных приложения, каждое со своими настройками подключения, и использовать в этом случае две лицензии.

Понравилась статья? Поделить с друзьями:
  • Инструкция по работе с терминалом тинькофф
  • Инструкция по работе с монтажной пеной
  • Инструкция по работе с программой torque pro
  • Инструкция по работе с терминалом сбербанка для кассира
  • Инструкция по работе с микроскопом огэ