Единая система идентификации и авторизации (ЕСИА) – это единственный способ верифицировать личность пользователя. Если продукт работает с деньгами, решает юридические задачи или работает с медицинскими данными, без интеграции с ЕСИА не обойтись. Рассказываем, что нужно знать, чтобы работать с этой инфраструктурой.
ЕСИА появилась в 2010 году и изначально использовалась для авторизации на Портале госуслуг. За прошедшее время возможности системы постоянно развивались, и сегодня коммерческие организации используют её, чтобы связывать учётные записи пользователя с их оффлайн-личностью.
То есть если компании нужно удостовериться, что по ту сторону экрана действительно тот человек, которым представился пользователь, ЕСИА предоставляет такую возможность. И самое главное – эта идентификация имеет юридическую значимость.
Какие возможности открывает такая идентификация
1. Клиент может подписывать юридически значимые электронные документы, получать защищённый доступ к конфиденциальной информации, медицинским данным и т.д.
2. Появляется возможность автоматически заполнять в анкетах и заявках персональные данные клиента: ФИО, данные паспорта, ИНН, информация о детях и др. При этом компания может быть уверена, что эти данные абсолютно верны и правдивы.
3. Страховые компании и банки могут продавать через приложение свои продукты. И никаких расходов, которые связаны с традиционными, оффлайновыми каналами продаж – не нужно собирать документы, приглашать человека в офис, достаточно разработать скрипт для колл-центра.
4. Для пользователя верификация с ЕСИА повышает доверие к сервису и делает саму процедуру удобнее – не нужно помнить дополнительные пароли, просто нажимаешь знакомую кнопку и всё.
В наших проектах интеграция ЕСИА активно используется в продуктах страховых компаний. Это позволяет клиентам покупать полисы ОСАГО, отправлять извещения о ДТП при оформлении заявок на урегулирование убытков. Это критически важная функция для сценариев заявления о страховых случаях по ОСАГО, когда пользователь не является клиентом данной страховой компании.
Хотя сейчас к ЕСИА могут подключиться не все организации, можно ожидать, что такая авторизация скоро станет де-факто стандартом для пользовательских сервисов. Просто потому, что это надёжно и удобно для клиентов – вместо отдельной учётной записи для каждого ресурса можно использовать единый аккаунт «Госуслуг» и бесшовно пользоваться любыми нужными услугами. Поэтому задумываться об интеграции стоит всем компаниям.
Как информационная система работает с ЕСИА
ЕСИА является прослойкой между стандартным содержанием приложения и его защищёнными данными. Если пользователю не требуются услуги, которые требуют верификации личности, он может не проходить дополнительную авторизацию. Когда же он захочет попасть в этот раздел, приложение переадресует его на Портал госуслуг, а после успешной авторизации – вернёт обратно.
Технически процесс выглядит так:
1. Пользователь обращается к защищённому ресурсу информационной системы (например, при онлайн-покупке полиса ОСАГО).
2. Информационная система направляет в ЕСИА запрос на аутентификацию.
4. После успешной аутентификации ЕСИА передаёт в информационную систему пакет с идентификационными данными пользователя, информацию об уровне его учётной записи и контексте аутентификации.
5. На основании этой информации система открывает пользователю доступ.
Как организации подключиться к ЕСИА
Процедура подключения занимает около месяца. Это время включает регистрацию необходимых аккаунтов, получение данных от Минцифры, работы по интеграции ИС.
1. Зарегистрируйте руководителя организации на Портале госуслуг. Регистрировать компании в ЕСИА могут только те их представители, которые вправе действовать без доверенности. Им понадобится подтверждённая учётная запись физического лица – т.е. нужно будет не только указать свои данные, но и обратиться в банк или МФЦ для верификации. В последнее время многие банки позволяют сделать это онлайн, через их приложения.
2. Зарегистрируйте вашу организацию.
a. Получите квалифицированную электронную подпись (КЭП) на руководителя организации.
b. Зарегистрируйте юридическое лицо в профиле ЕСИА.
c. Оформите КЭП для юридического лица.
Оформлением КЭП занимаются аккредитованные удостоверяющие центры. Подробная инструкция по этому процессу здесь.
3. Зарегистрируйте информационную систему в ЕСИА.
Регистрация системы происходит через технологический портал. Доступ к нему может получить один из сотрудников компании – действовать через аккаунт представителя уже не обязательно. Этот процесс подробно расписан в Руководстве пользователя технологического портала ЕСИА. В результате регистрации информационная система заносится в реестр ИС и получает мнемонический буквенно-цифровой код.
4. Доработайте систему для обмена данными с ЕСИА.
Аутентификация пользователей в ЕСИА происходит по OAuth 2.0 и OpenID Connect 1.0. Компании необходимо сгенерировать закрытый ключ и сертификат открытого ключа, зарегистрировать его на технологическом портале. Стоит отметить, что ЕСИА поддерживает только российские алгоритмы шифрования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
Стоит отдельно отметить, что если в компании уже используются средства верификации пользователей посредством Single Sign-On, то особых технических трудностей при подключении к ЕСИА не будет.
5. Подключитесь к тестовой среде ЕСИА
6. Подключитесь к промышленной среде ЕСИА
Система “ЕСИА шлюз”
ЕСИА Шлюз представляет собой отдельную систему (stand alone), функционирующую на платформе Ruby on Rails. Сторонние системы и сайты обращаются к Шлюзу с запросами на авторизацию и получение данных по протоколу OAuth 2.0 в связке с OpenID Connect.
Возможности для бизнеса
Шлюз ЕСИА помогает компаниям существенно сократить сроки и ресурсы на запуски и дальнейшую поддержку проектов, связанных с интеграцией с ЕСИА, цифровым профилем гражданина и Единой биометрической системой (ЕБС).
Идентификация через ЕСИА
Шлюз обеспечивает полный цикл процесса идентификации пользователей через Госуслуги (ЕСИА). Решение берет на себя все сложности работы с ЕСИА согласно методическим рекомендациям и регламентам Минцифры.
Получение данных из ЦПГ
Шлюз позволяет работать с цифровым профилем гражданина по всем доступным сценариям (онлайн и офлайн). Решение обеспечивает как получение согласия граждан, так и дальнейшее получение всех данных.
Идентификация через ЕБС
Шлюз поддерживает работы с ЕБС для проведения юридически значимой полной идентификации, позволяющей банку полностью в удаленном режиме открывать счета и выдавать кредиты новым клиентам.
Облачные сервисы идентификации
Облачные сервисы идентификации позволяют компаниям обеспечить требование 115-ФЗ по обязательной идентификации клиента при удаленном заключении договора финансовых, страховых услуг, выдаче микрозайма и т.д.
Шаг №1 — создание учетной записи организации в ЕСИА
Необходимо создать учетную запись организации через портал Госуслуг (см. раздел
3.2 Руководства). Это может сделать
руководитель организации через сайт Госуслуг. Для этого он должен быть
зарегистрирован на госуслугах и иметь квалифицированную электронную подпись
(КЭП) юридического лица (в т.ч. это может быть подпись ЭП-СП).
За получением
средства КЭП нужно обратиться в один из аккредитованных Минкомсвязью России
удостоверяющих центров вашего региона.
Это может сделать
руководитель организации через сайт Госуслуг. Для этого он должен быть
зарегистрирован на госуслугах и иметь квалифицированную электронную подпись
(КЭП) юридического лица (в т.ч. это может быть подпись ЭП-СП). За получением
средства КЭП нужно обратиться в один из аккредитованных Минкомсвязью России
удостоверяющих центров вашего региона.
При невозможности получения КЭП в УЦ, необходимо обратиться в федеральное казначейство, ЦБ РФ или федеральную налоговую службу. В зависимости от типа организации.
Шаг №2 — заключение оферты на удаленную идентификацию и на регистрацию в продуктивном контуре ЕБС
Для подключения к ЕБС необходимо ознакомиться с Регламентом Единой биометрической системы.
Особое внимание следует уделить пунктам:
− 8.1 «Регистрация Участника биометрического взаимодействия и его ИС в роли Поставщика БДн/Потребителя БДн в тестовом контуре ЕБС»
− 6.1 «Общие положения»
В личном кабинете (вход в личный кабинет осуществляется через ЕСИА, под учетной записью организации) необходимо акцептовать оферты.
В зависимости от роли организации, необходимо акцептовать одну или обе оферты:
− Для Потребителя (Верификация)
Публичная оферта «о заключении соглашения об оказании услуги по предоставлению информации о степени соответствия предоставленных клиентом — физическим лицом биометрических персональных данных биометрическим персональным данным клиента — физического лица, содержащимся в Единой биометрической системе».
− Для Поставщика (Регистрация)
Публичная оферта «о заключении соглашения об оказании услуги по сбору биометрических данных и их передаче в Единую биометрическую систему».
Шаг №4 — предоставление доступа к тех. порталу
Для доступа к техпорталу и переходу к шагу №3 вам необходимо, в учетной записи
созданной организации, перейти в раздел «Сотрудники» и добавить всех сотрудников,
которым будет необходим доступ к техпорталу. Во вкладке «Доступ к системам»,
также предоставить добавить всех сотрудников, которым необходим доступ для
управления системой. Во вкладке «Группы доступа» необходимо «присоединить»
сотрудников, которым будет необходимо управлять ИС на техпортале, а также
«присоединить» администратора ИС к «Администраторам профиля ораганизации».
Внимание: После добавления сотрудников во все группы, необходимо выйти из
техпортала и госуслуг, очистить кэш в браузере и перезайти в систему.
Шаг №5 — подключение к ЕСИА
Требуется получить средство технологической электронной подписи для информационной системы ( «ключ Организации (ЭП- ОВ)», извлекаемый ключ, в сертификате которого должны быть указаны только данные Организации), обратившись в любой удостоверяющий центр, входящий в Единое пространство доверия.
Перечень удостоверяющих центров доступен по адресу: https://digital.gov.ru/ru/activity/govservices/certification_authority/ .
Шаг №6 — создание ИС на техпортале
Необходимо зарегистрировать ИС через технологический портал
http://esia.gosuslugi.ru/console/tech. Подробную инструкцию по регистрации ИС в
ЕСИА смотрите в руководстве пользователя технологического портала:
руководство пользователя технологического портала. В результате регистрации ваша информационная
система заносится в реестр ИС, взаимодействующих с ЕСИА.
Внимание: мнемонику системы вы формируете самостоятельно. Мнемоника
представляет собой строку из 6 и более символов. Допустимо использование только
заглавных латинских букв и цифр. Не допускается использование символов (скобок,
подчеркиваний, тире, кавычек и.т.д.)
- название системы – желательно использовать официальное название ИС на русском языке;
- мнемоника системы – идентификатор системы, который будет использоваться в ЕСИА;
- информация о системе – краткое описание ИС;
- URL системы – url с обязательным указанием протокола HTTP/HTTPS, например: https://esia.gosuslugi.ru/;
- Алгоритм формирования электронной подписи – GOST (как на скриншоте выше);
- URL для отправки push сообщений – оставить пустым.
- поле URL для отправки push сообщений – оставить пустым;
- «Категория информационной системы» – оставить по умолчанию, параметры «время жизни» не менять;
- данные об ответственном за эксплуатацию ИС – ответственный должен быть предварительно зарегистрирован в ЕСИА и присоединен к организации-оператору ИС в качестве сотрудника. Для выбора сотрудника достаточно ввести первые буквы фамилии, после чего будут предложены возможные варианты. Поля «адрес электронной почты» и «номер телефона» отображаются автоматически после выбора сотрудники (это служебные контакты указанного сотрудника).
После заполнения данных полей необходимо нажать на кнопку «Сохранить». Запись ИС будет добавлена в регистр ЕСИА.
Шаг №9 — заполнение и отправка заявки на промышленную среду
После получения положительного ответа о подключении к тестовой среде ЕСИА
следует аналогично шагУ 7 направить заявку на “На подключение к
промышленной среде ЕСИА” (С сертификатом полученном на 5 шаге).
Шаг №10 — регистрация информационной системы в тестовом контуре ЕБС
− Заполненная форма заявки на подключение в соответствии с Приложением А Регламента использования Единой биометрической системы (форма заявки)
Шаг №11 — тестирование ИС в ТЕБС
Произвести успешную биометрическую верификацию, используя созданные банком ИС Поставщика Бдн и Потребителя БДн.
Шаг №12 — регистрация в продуктивной среде ЕБС
Для подключения к ЕБС кредитной организации необходимо ознакомиться с Регламентом Единой биометрической системы, особое внимание следует уделить пунктам:
− 8.1 «Регистрация Участника биометрического взаимодействия и его ИС в роли Поставщика БДн/Потребителя БДн в тестовом контуре ЕБС»;
− 8.2 «Регистрация Участника биометрического взаимодействия и его ИС в роли Поставщика БДн/Потребителя БДн в продуктивном контуре ЕБС»;
− Номера оферт (если выбрана одна роль и подписана одна оферта, то один номер);
− Заполненная форма заявки на подключение в соответствии с Приложением Б Регламента использования Единой биометрической системы (форма заявки).
Шаг №13 — завершение работ и передача ключа и сертификата
После завершения процесса подключения необходимо экспортировать контейнер из КЭП в
соответствии с инструкцией – https://crypto.rnds.pro/.
Вам необходимо выполнить первые 5 шагов инструкции и полученные 6 файлов загрузить в систему.
Единый портал государственных услуг может быть полезен не только для частных лиц, но и для бизнеса. Одна из возможностей – подключить к «Госуслугам» свой сайт, чтобы сделать более удобной идентификацию пользователей и защитить их и себя от мошенников. О том, как подключить сайт к «Госуслугам», в своём корпоративном блоге рассказала scrum-студия Sibirix.
Разберёмся в терминах
– это портал, благодаря которому жители России могут получить доступ к государственным и муниципальным услугам. С его появлением существенно снизилась острота проблемы вечных очередей, кучи записей и разрозненной базы пользователей в госучреждениях. Теперь при помощи портала можно подать заявление на выдачу паспорта, проверить и оплатить штрафы ГИБДД, заказать выписку из трудовой книжки и сделать много других важных вещей. Авторизация на «Госуслугах» происходит при помощи ЕСИА.
ЕСИА – это система идентификации, которая обеспечивает доступ к государственным ресурсам. В учётной записи ЕСИА содержатся все важные сведения о пользователе – паспортные данные, СНИЛС и ИНН, информация о штрафах и налогах, банковские данные. ЕСИА работает для идентификации не только на «Госуслугах», но и на других государственных или муниципальных порталах.
Каким сайтам подойдёт интеграция с ЕСИА
Всем, где нужна точная идентификация пользователей и защита от мошенников. Необходимо трезво оценить, необходима ли авторизация через «Госуслуги» именно вашей компании – ведь многие пользователи с неохотой дают сторонним сайтам доступ к своим данным. Но если они увидят, что эти данные необходимы для использования вашего ресурса, тогда ЕСИА станет хорошим решением.
Это удобно, потому что на портал сразу подтягиваются данные о пользователе. Это безопасно, потому что ЕСИА использует продвинутую криптографическую защиту. И это спасает от мошенников, потому что в учётной записи ЕСИА содержатся все сведения о её владельце – от ФИО до номера СНИЛС.
Интеграция с ЕСИА идеально подойдет для следующих ресурсов:
- Сайтов объявлений (наподобие «Авито»);
- Порталов, связанных с недвижимостью (покупка и аренда);
- Сайтов отелей, гостиниц, турбаз;
- Банков и микрофинансовых организаций;
- Негосударственных пенсионных фондов;
- Сайтов по продаже и аренде автомобилей.
Официально интегрироваться с «Госуслугами» пока могут только медицинские компании, операторы связи, банки, страховщики, финансовые управляющие и пенсионные фонды. Но вы в любом случае можете подать заявку, написав, что хотите участвовать в эксперименте по авторизации через учётную запись «Госуслуг».
. Заявку нужно отправить на адрес техподдержки СМЭВ –
Помимо быстрой идентификации и безопасности, ЕСИА дает ещё некоторые дополнительные возможности, например:
- Микрофинансовые организации могут удалённо выдавать займы до 15 000 рублей, используя только учётную запись пользователя;
- Медицинские учреждения получают доступ к услугам телемедицины;
- Операторы связи получают право упрощенно идентифицировать пользователей публичных точек доступа в интернет;
- Страховые компании, пенсионные фонды, брокеры могут дистанционно заключать договоры с клиентами;
- Банки получают возможность проводить биометрическую аутентификацию.
Что нужно сделать для интеграции сайта с ЕСИА
В первую очередь, вам понадобится зарегистрировать учётную запись своей компании. Это должен сделать администратор – сам владелец компании или доверенное лицо, у которого будет доступ к учётной записи. Имейте в виду, что для подключения компании к «Госуслугам» потребуются IT-навыки – проверьте, чтобы доверенное лицо ими обладало. Итак, что нужно сделать:
- После этого нужно получить на портале квалифицированную электронную подпись (КЭП).
- Затем необходимо установить плагин для работы с КЭП и подтвердить личность.
- После переходим к регистрации компании на «Госуслугах». Необходимо выбрать соответствующий пункт и указать все данные организации.
- Затем нужно зарегистрировать IT-систему вашего сайта на технологическом портале ЕСИА. Полное руководство по использованию технологического портала находится
. - Чтобы подключить сайт к ЕСИА, нужно сгенерировать собственный криптографический ключ и получить его сертификат.
- После этого нужно разработать и настроить коннектор между вашей IT-системой и ЕСИА.
- 9. Когда коннектор будет стабильно работать в тестовом режиме, можно подавать заявку в Минцифры для полноценной интеграции.
Какой протокол используется для подключения к ЕСИА
Используется авторизация по OAuth 2.0 и аутентификация при помощи OpenID Connect. Но при создании сервиса ЕСИА разработчики создали собственный API для безопасного приёма электронных подписей, поэтому для стандартных библиотек OAuth 2.0 и OpenID Connect требуется доработка.
Какие криптографические стандарты должны применяться для создания ключа
Единственные разрешенные стандарты – ГОСТ Р 34.10−2012 и ГОСТ Р 34.11−2012. Сертификаты допускаются только от сертифицированных удостоверяющих центров.
Как происходит авторизация пользователей с помощью «Госуслуг»
Установить модуль авторизации через «Госуслуги» можно тремя способами: подключив в качестве библиотеки, как готовый класс или, поставив через штатный инструмент CMS.
Когда пользователь зайдёт на сайт, выберет авторизацию через «Госуслуги» и введёт свои данные, сайт обратится к ранее созданному коннектору, который соединяет его с ЕСИА. Коннектор сформирует запрос к порталу ЕСИА, в ответ на который портал пришлёт ему пакет с зашифрованными личными данными пользователя. Расшифровка данных происходит при помощи созданного ранее криптографического ключа, а затем они передаются на сайт.
Используя авторизацию через «Госуслуги», сайт может получить:
- Паспортные данные пользователя;
- Данные официальных документов (СНИЛС, ИНН, страхового полиса и т. д.);
- Данные об имеющихся транспортных средствах;
Все процессы передачи данных надёжно защищены. Это повышает доверие и у пользователей, и у компании к своим потенциальным клиентам. Что главное – идентификация с помощью ЕСИА имеет юридическую значимость. То есть, при совершении мошеннических действий, очень легко установить личность подозреваемого.
Удобна ли интеграция с «Госуслугами» для пользователя
Да, это удобно не только для владельцев компаний, но и для самих пользователей. Ведь, пройдя авторизацию с помощью ЕСИА, пользователь может:
- Автоматически подписывать документы с помощью электронной подписи;
- Получать защищённый доступ к своим банковским и финансовым выпискам, медицинским данным;
- Автоматически заполнять данные в анкетах – например, для получения кредита или страхования;
- Не беспокоиться о создании множества паролей для разных сервисов. Достаточно помнить один – от «Госуслуг».
Таким образом, интеграция сайта с «Госуслугами» удобна и для пользователей, и для владельцев компаний. Сейчас «Госуслугами» пользуется 103,2 млн. человек – то есть, более, чем каждый второй житель РФ – и это количество растёт каждый год. Да, для подключения сайта к ЕСИА требуется учесть несколько технических моментов и настроить коннекторы, но в будущем использование авторизации через портал «Госуслуг» сделает взаимодействие с вашим сайтом гораздо комфортнее для пользователей и для вас.
Вход в систему
При успешном входе вы попадете на главную страницу шлюза. На главной странице отображается статистика по всем доступным для администратора ЕИС и КИС.
Создание ЕИС
Для начала работы вам необходимо создать ЕИС. Для этого откройте вкладку “ЕИС”, она находится в меню, в левой части страницы.
Для создания новой ЕИС необходимо нажать на кнопку “Создать ЕИС”.
После нажатия на кнопку, произойдет открытие формы создания ЕИС. Нужно заполнить все обязательные поля (у всех полей есть подсказки, доступные по наведение на значок “?”). После чего, нажать кнопку “Сохранить”.
Создание КИС
После успешного создания ЕИС, вам необходимо создать КИС. Для этого необходимо перейти на вкладку КИС, и нажать на кнопку “Создать КИС”
После нажатия на кнопку, произойдет открытие формы создания КИС. Нужно заполнить все обязательные поля (у всех полей есть подсказки, доступные по наведение на значок “?”). После чего, нажать кнопку “Сохранить”
Точки возврата шлюза
Точки возврата шлюза необходимы вам для взаимодействия. Также их необходимо добавить на тех.портал ЕСИА, в URL системы, в настройках вашей ИС. Для того, чтобы просмотреть точки возврата шлюза, перейдите во вкладку “Настройки” в меню слева. На странице настроке перейти на вкладку “Точки возврата шлюза”. Откроется вкладка со всеме необходимыми эндпоинтами.
Настройки почтового сервера
Для настроек почтового сервера (нужен для получения уведомлений), перейдите в “Настройки”, на вкладку “Почтовый сервер”. На открывшейся странице, указаны данные нашего сервера, если вам необходимо заменить их на собственные данные, то необходимо заполнить все поля данными вашего почтового сервера.
Создание пользователей
Вы можете создавать пользователей, с ролью Администратор либо Менеджер (может просматривать, но не редактировать КИС и ЕИС к которым у него есть доступ). Для этого необходимо перейти на вкладку “Пользователи” в меню слева.
Для создания нового пользователя необходимо нажать на кнопку “Создать”.
После нажатия на кнопку, произойдет открытие формы создания пользователя. Нужно заполнить все обязательные поля (у всех полей есть подсказки, доступные по наведение на значок “?”), выбрать роль пользователя, задать пароль. После чего, нажать кнопку “Сохранить”
Статистика
Профиль пользователя
По нажатию на кнопку “Профиль” откроется страница профиля пользователя. На странице пользователя можно изменть email, ФИО, пароль, а также отображаются ЕИС и КИС к которым у пользователя есть доступ. По нажатию на название КИС или ЕИС будет осуществлен переход к карточке соответсвующей ЕИС или КИС.
В данном разделе вы также можете включить нотификацию на email, указанную в профиле. Вы можете получать дневной, недельный и сформированный отчет за месяц. Данный отчет содержит информацию за указанный период и количество ошибок.
Справка
Данный раздел содержит справочную информацию о работе со Шлюзом и взаимодействием с ЕСИА.
Вкладка “FAQ” содержит ответы на часто задаваемые вопросы по взаимодействию с ЕСИА, а также контакты для связи с технической поддержкой.
Вкладка “Инструкции” содержит ссылки на все необходимые инструкции по взаимодействию и настройки шлюза, а также контакты для связи с технической поддержки.
Система исполнения регламентов
Назначение СИР — автоматизация процессов предоставления государственных и муниципальных услуг гражданам и организациям (Заявителям) по заявлениям, поступающим с Портала Государственных услуг, а также, при личном обращении Заявителей в РОИВ, ОМСУ и в подведомственные им учреждения; регламентированное взаимодействие между различными РОИВ и ОМСУ и иными информационными системами, с использованием системы межведомственного электронного взаимодействия (СМЭВ).
Описание систем исполнения регламентов
Руководство пользователя СИР 3.0
Состав процедур, необходимых для обеспечения возможности работать в СИР и последовательность их выполнения описаны в документе «Технологическая карта процесса подготовки и предоставления услуг РОИВ и ОМСУ»
Порядок действий пользователей СИР по настройке рабочих мест с переходом на аутентификацию через ЕСИА
1. Настройка ПК пользователя.
- Зарегистрировать себя, как физическое лицо на сайте ЕСИА https://esia.gosuslugi.ru, согласно Инструкции по переходу на аутентификацию с использованием ЕСИА. Результатом регистрации должно быть получение подтвержденной учетной записи физ. лица в ЕСИА
- Уполномоченный сотрудник ведомства, к которому относится Пользователь (руководитель или администратор), должен выполнить в ЕСИА процедуру присоединения сотрудника к органу власти (ведомству) — см. Инструкции по переходу на аутентификацию с использованием ЕСИА
3. Порядок входа Пользователя в СИР по окончании настроeк
- Открыть браузер Mozilla Firefox, и очистить в нем КЭШ и КУКи
- Ввести в адресную ссылку https://66.sir.egov.local/tp-manager/
- Подтвердить выбор своего сертификата, если система предложит — выполнится переход на ЕСИА автоматически
- Подтвердить себя в ЕСИА. Подтвердить выбор своего сертификата, если система предложит. Выполнится переход на СИР автоматически.
1. Теперь для своей ИС необходимо сгенерировать закрытый ключ и сертификат открытого ключа. Закрытый ключ будет использоваться модулем авторизации, а сертификат требуется для идентификации ИС при взаимодействии с ЕСИА (см. пп. 2 п. 3.1.1 Методических рекомендаций).
2. Формируем файл метаданных. В нем содержится сертификат, полученный на предыдущем шаге. Образец файла метаданных приведен в Методических рекомендациях.
3. Отправляем заявку на подключение ИС к тестовой среде ЕСИА. Форма заявки указана в Приложении “Е” Регламента. К заявке прикрепляется полученный на предыдущем шаге файл метаданных. В результате регистрации в министерстве связи ваша ИС получает возможность использовать созданный ключ для взаимодействия с Оператором ЕСИА.
4. Теперь нужно разработать или приобрести модуль авторизации ЕСИА, который будет встраиваться в ИС и обеспечивать процедуры формирования и отправки запросов и получения данных.
5. Когда модуль авторизации встроен и пришёл ответ Минкомсвязи о получении тестового доступа можно произвести отладку взаимодействия модуля авторизации и ЕСИА.
6. После отладки нужно направить заявку на подключение ИС к промышленной среде ЕСИА. Форма заявки указана в Приложении “М” Регламента. Как и в случае с подключением к тестовой среде, к заявке необходимо приложить файл метаданных, полученный на шаге 2, заменив в нем тестовые данные на промышленные.
На этом подключение ИС к единой системе идентификации и аутентификации завершено. Бланки заявок можно запросить здесь: http://esia.pro/blanki_zayavok
Ответы на частые вопросы о подключении организации к ЕСИА
Официальные инструкции запутанны и сложны для восприятия, так что мы подготовили FAQ по теме
интеграции с ЕСИА на основе вопросов, которые чаще всего задают наши клиенты.
Что такое ЕСИА
Министерство цифрового развития, связи и массовых коммуникаций уже больше десяти лет разрабатывает
и совершенствует безопасный сервис авторизации для различных государственных сервисов и сайтов. Он получил
название «Единая система идентификации и аутентификации» — ЕСИА. Это универсальный ключ доступа к ресурсам
электронного правительства РФ.
Если вначале ЕСИА применялась для авторизации на портале Госуслуг, то по мере выполнения Федерального
проекта «Цифровое государственное управление» и появления
новых суперсервисов, ее сфера применения
расширилась.
ЕСИА применяется для взаимодействия с органами власти и за пределами государственного сектора.
К сервису подключаются порталы и IT-системы частных компаний из числа тех, для которых точная
и безошибочная идентификация пользователей — приоритет.
Доверие к ЕСИА обеспечено продуманной криптографической защитой и тем фактом, что учетная запись
пользователя этой системы содержит подтвержденную государством информацию, начиная с фамилии и заканчивая
номером пенсионного свидетельства.
Как работает ЕСИА
С точки зрения пользователя вход на сайт или в мобильное приложение при помощи ЕСИА
не отличается от использования аккаунта Google, Яндекс или одной из популярных социальных сетей.
В момент ввода данных сайт обращается к отдельному программному модулю — коннектору, отвечающему
за связь с ЕСИА. Коннектор формирует зашифрованный запрос к серверам сервиса и получает
в ответ пакет с личными данными пользователя. Они расшифровываются при помощи криптографического
ключа, выданного организации заранее, еще на этапе настройки коннектора. Затем, личные данные передаются
на сайт.
Такая схема подключения позволяет реализовать разнообразные сценарии взаимодействия пользователя и сайта.
В случае с банковскими продуктами использование сервиса может выглядеть так:
- Пользователь заходит на сайт банка, чтобы оформить кредит.
- Выбрав нужную сумму в кредитном калькуляторе, он переходит к оформлению заявки.
- Вместо того чтобы заполнять длинную анкету с личными данными, пользователь кликает на кнопку
авторизации в ЕСИА. - Модуль-коннектор переходит на сайт ЕСИА и открывает форму авторизации.
- Пользователь вводит телефон, email или СНИЛС и пароль и подтверждает передачу персональных данных.
- Система проверяет корректность данных и возвращает пользователя на сайт банка, а коннектор
получает и расшифровывает ответ, содержащий необходимую банку информацию о пользователе. - Анкета, необходимая для создания заявки на кредит, заполняется автоматически.
- Пользователю остается подтвердить отправку заявки и ждать звонка менеджера.
Кто может подключиться к ЕСИА
ЕСИА создавалась, чтобы облегчить предоставление государственных услуг, так что интеграция с этим
сервисом доступна всем государственным учреждениям. Помимо них, такая привилегия выдана нескольким разновидностям
юридических лиц, занимающихся коммерческой деятельностью.
Интегрироваться с ЕСИА могут:
Какие данные можно получать из ЕСИА
Для организаций, зарегистрированных в ЕСИА, этот список составляют типовые реквизиты: наименование,
юридический адрес, ОГРН, код ОКПО и т.д. Кроме того, при создании учетной записи присваивается один
из трех статусов, отражающих ее надежность.
Государственные органы, с разрешения владельца учетной записи, могут получить всю информацию
из аккаунта, но для коммерческих организаций доступ ограничен. Им доступны данные
о подтвержденности аккаунта, ФИО пользователей и часть паспортных данных.
Какие бывают учетные записи в ЕСИА
Каждый новый пользователь сервиса первоначально получает «упрощенную» учетную запись с ограниченными
возможностями. Когда пользователь указывает правильные паспортные данные или СНИЛС, аккаунт проходит проверку
со стороны государственных органов, и учетной записи присваивается статус — «стандартная». Для получения
«подтвержденного» аккаунта его владелец должен пройти идентификацию при помощи авторизованного интернет-банка
или лично посетив МФЦ.
Сколько пользователей в ЕСИА
Министерство цифрового развития, связи и массовых коммуникаций открыто не отчитывается о числе
пользователей ЕСИА, так что судить об их количестве можно лишь приблизительно, по устаревшим
данным.
Согласно отчету Ростелеком, сервисом пользуется
больше 80 миллионов человек — каждый второй житель России.
Для чего ЕСИА коммерческим компаниям
Для негосударственных организаций сервис открывает новые возможности, не связанные с получением
персональных данных.
Как зарегистрировать организацию в ЕСИА
Процедура начинается с юридических формальностей. Прежде всего, необходимо выбрать ответственное лицо —
администратора IT-системы, которая будет работать с ЕСИА. В этой роли может выступать руководитель
организации или его доверенное лицо. Администратор подтверждает личность через портал госуслуг
и регистрирует там организацию.
Затем администратор оформляет квалифицированную
электронную подпись и вносит новую IT-систему в особый регистр. Эта процедура подробно
изложена в детальном руководстве.
После регистрации IT-системе присваивается мнемоника — индивидуальный код-идентификатор. Он потребуется
техническим специалистам для дальнейшей настройки системы.
Как подключить сайт организации или другую IT-систему к ЕСИА
Следующий шаг на пути интеграции с сервисом требует привлечения специалистов с технической
квалификацией в области информационной безопасности. Чтобы подключить сайт или другую IT-систему
к сервису, необходимо сгенерировать криптографический ключ и соответствующий ему сертификат.
Сертификат передается государству. В ответ Минкомсвязи высылает разрешение на тестовый доступ
к сервису и данные для пробного подключения.
Далее следуют работы по разработке и настройке коннектора между IT-системой организации
инфраструктурой сервиса. Разработчикам предстоит научить их взаимодействовать между собой — принимать
и отправлять запросы в автоматическом режиме. Минкомсвязи даст разрешение на полноценный запуск
IT-системы только после того, как коннектор стабильно заработает в тестовом режиме.
Какой протокол использовать для подключения к ЕСИА и чем он отличается
от стандартов
Для интеграции сайта или IT-системы с ЕСИА используется сочетание авторизации по OAuth 2.0 и аутентификации при помощи OpenID Connect. Это распространенные решения с подробной
документацией и многочисленными примерами использования, но применить их для интеграции
с сервисом «как есть» не получится.
Хотя создатели сервиса в целом придерживались стандартных спецификаций, им пришлось разработать
собственный Application Programming Interface для приема электронных подписей. Чтобы подключение
к ЕСИА было успешным, стандартным библиотекам OpenID/OAuth необходима ручная доработка.
Какой сертификат нужен для регистрации системы в ЕСИА
и обязательно ли использовать ГОСТ-криптографию?
В октябре 2019 года Минкомсвязи обновило методические
рекомендации, исключив из них
упоминания стандарта шифрования RSA (Rivest, Shamir и Adleman) и самоподписанных сертификатов.
Их использование больше не допускается.
Теперь российские алгоритмы шифрования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 —
единственные стандарты, которые доступны для использования с ЕСИА.
Сертификаты обязательно должны быть выпущены сертифицированным удостоверяющим центром.
Какие готовые решения можно использовать для подключения
В отдельных отечественных системах управления сайтами предусмотрены инструменты для подключения
к ЕСИА, но переносить сайт на новую CMS ради интеграции с порталом госуслуг
нецелесообразно, и, зачастую, попросту невозможно.
Универсальное решение — библиотеки с открытым исходным кодом. С их помощью можно обеспечить
работу с сервисом для любой IT-системы, но для их настройки требуются технические навыки. Мы
предпочитаем использовать Open Source компоненты, однако дорабатываем и адаптируем их для каждого
проекта.
Можно ли подключить к ЕСИА мобильное приложение
Да, но в приложение должен быть интегрирован браузер. Он необходим только для авторизации,
так что все остальные операции с приложением можно реализовать через обычный интерфейс. Например,
так функционируют приложения «Госуслуги» и «Почта России».
Сколько времени уходит на подключение к ЕСИА
Формальная сторона процедуры, включающая регистрацию аккаунтов и ожидание мнемонического кода
от Минкомсвязи, обычно занимает около недели.
На работы по настройке коннектора для базового подключения требуется две — три недели.
В случаях, когда необходимо получение данных из аккаунта ЕСИА и дальнейшая их обработка,
срок увеличивается.
Сколько стоит подключение
Государство не взимает платы за использование системы авторизации и идентификации.
Подключение к ЕСИА бесплатно, однако на самостоятельную настройку коннектора для работы
с сервисом придется потратить силы и время.
Практика показывает, что интеграция силами штатных сотрудников IT-отдела компании удается
не всегда. Настройку интеграции сайта или иной IT-системы с ЕСИА лучше доверить опытной
команде, которая неоднократно выполняла эту процедуру. Стоимость работ специалистов варьируется
в зависимости от сложности системы и масштабов проекта.
Предупреждает ли Минкомсвязи о регламентных работах
Минкомсвязи не публикует график работ, но за несколько часов до начала технического
обслуживания предупреждает об отключениях сервиса при помощи сообщений на сайте
государственных услуг.
Отключения ЕСИА редки и, как правило, происходят в часы наименьшей нагрузки на сервис,
а восстановление работы авторизации происходит автоматически.
Где можно найти дополнительную информацию о ЕСИА
Инструкции по работе с сервисом периодически пересматриваются, обновляются и дополняются,
поэтому, изучив ответы на распространенные вопросы, стоит обратиться к первоисточникам.
Общую информацию о подключении к ЕСИА, а также контакты для связи с Ситуационным
центром Минкомсвязи, где можно получить консультацию по правовым аспектам подключения, приведены на информационной странице ЕСИА
на портале Госуслуг.
Актуальные документы, касающиеся сервиса, публикуются на официальном портале Минкомсвязи РФ. Перечень
документов, которые публикует министерство, включает в себя:
Необходимо создать учетную запись организации через портал Госуслуг (см. раздел
3.2 Руководства ). Это может сделать
руководитель организации через сайт Госуслуг. Для этого он должен быть
зарегистрирован на госуслугах и иметь квалифицированную электронную подпись
(КЭП) юридического лица (в т.ч. это может быть подпись ЭП-СП).
За получением
средства КЭП нужно обратиться в один из аккредитованных Минкомсвязью России
удостоверяющих центров вашего региона.
Это может сделать
руководитель организации через сайт Госуслуг. Для этого он должен быть
зарегистрирован на госуслугах и иметь квалифицированную электронную подпись
(КЭП) юридического лица (в т.ч. это может быть подпись ЭП-СП).
За получением
средства КЭП нужно обратиться в один из аккредитованных Минкомсвязью России
удостоверяющих центров вашего региона. При невозможности получения КЭП в УЦ, необходимо обратиться в федеральное казначейство, ЦБ РФ или федеральную налоговую службу. В зависимости от типа организации.
Шаг №2 — предоставление доступа к тех. порталу
Для доступа к тех.порталу и переходу к шагу №3 вам необходимо, в учетной записи
созданной организации, перейти в раздел «Сотрудники» и добавить всех сотрудников,
которым будет необходим доступ к техпорталу. Во вкладке «Доступ к системам»,
также предоставить доступ всем сотрудников, которым необходим доступ для
управления системой.
Внимание: После добавления сотрудников во все группы, необходимо выйти из
тех.портала и госуслуг, очистить кэш в браузере и перезайти в систему.
Шаг №3 — создание ИС на тех. портале
Необходимо зарегистрировать ИС через технологический портал. Подробную инструкцию по регистрации ИС в
ЕСИА смотрите в руководстве пользователя технологического портала:
руководство пользователя технологического портала. В результате регистрации ваша информационная
система заносится в реестр ИС, взаимодействующих с ЕСИА.
Шаг №4 — генерация необходимых файлов
При подаче заявки на подключение к тестовой среде ЕСИА вам потребуются ключ и
сертификат ключа.
Для получения необходимо обратиться в один из аккредитованных удостоверяющих
центров. Ключом будут шифроваться запросы от вашей ИС к ЕСИА. Перечень
аккредитованных удостоверяющих центров доступен по адресу
https://digital.gov.ru/ru/activity/govservices/certification_authority/ . Для экспорта ключа
используйте инструкцию указанную на шаге №8.
Шаг №7 — заполнение и отправка заявки на промышленную среду
После получения положительного ответа о подключении к тестовой среде ЕСИА
следует аналогично шагам №5-6 направить заявку на “На подключение к
промышленной среде ЕСИА”. В бланке заявке указать номер заявки на подключение к тестовой среде.