Что это? Зачем мне учетная запись в ЕСИА?

Аббревиатура ЕСИА расшифровывается как “Единая система идентификации и аутентификации”. Звучит сложно, но и система непростая и нужная. Это что-то вроде электронного паспорта для российских граждан и иностранцев, которые легально находятся на территории РФ

Учетная запись в ЕСИА открывает доступ к государственным и ряду других информационных систем.

Зачем нужен аккаунт в ЕСИА

Аккаунт в ЕСИА позволяет людям и компаниям получать госуслуги в электронной форме. С ним вы можете совершать юридически значимые действия, не обращаясь в ведомства лично – достаточно смартфона, компьютера или планшета.

ЕСИА – это полноценный доступ к порталу госуслуг, в том числе подача заявлений, совершение платежей, пользование электронными сервисами. Авторизовавшись в ЕСИА, вы сможете участвовать в электронных голосованиях, подавать жалобы о нарушении своих прав, обращаться в госорганы и др.

Уровни учетных записей

В ЕСИА существует несколько форматов регистрации. Чем меньше данных вы предоставляете, тем сильнее ограничены ваши возможности при использовании аккаунта.

• Упрощенная учетная запись создается по имени, фамилии, e-mail и номеру телефона. Она обеспечивает доступ к открытым сервисам. К примеру, вы можете узнать, какие госуслуги доступны гражданам в электронной форме, посмотреть данные в открытых реестрах и др.
• Стандартная учетная запись создается после ввода и проверки данных паспорта и СНИЛС. Здесь перечень услуг шире: так, можно подавать несколько видов заявлений и жалоб.
• Подтвержденная учетная запись активируется после полной проверки данных в МФЦ или через личный кабинет онлайн-банка. Она обеспечивает доступ ко всем услугам и сервисам, которые предоставляются в электронной форме.

Как создать аккаунт в ЕСИА

ЕСИА – часть портала госуслуг. Система позволяет заводить учетные записи физическим и юридическим лицам (компаниям и индивидуальным предпринимателям). Наборы документов и процесс регистрации несколько отличаются.

Для физических лиц

Для регистрации в ЕСИА потребуются действительные документы, удостоверяющие личность:

Кроме того, нужно будет указать действующий номер мобильного телефона и актуальный e-mail. Они нужны для подтверждения регистрации.

После того, как вы заполните форму, системе потребуется около 5 минут на проверку информации. В отдельных случаях на анализ данных уходит до 5 дней, но это скорее исключение из правил.

Если данные корректны, ЕСИА отправит вам сообщение об этом.

Завершающий шаг – подтверждение личности. Можно прийти с паспортом в любой МФЦ, а можно воспользоваться аккаунтами в онлайн-банках – поддерживаются “Сбербанк Онлайн”, “Тинькофф Банк” и “Почта Банк”.

Наконец, можно подтвердить аккаунт по почте. Закажите получение кода подтверждения личности в профиле (он станет активен после подтверждения e-mail и номера телефона – будет создана упрощенная учетная запись), и все данные придут письмом через “Почту России”.

Для индивидуальных предпринимателей

Чтобы работать с системой как ИП, нужно сначала создать аккаунт для физического лица. После получения полного доступа к нему вы сможете добавить сведения об индивидуальном предпринимателе.

Данные проверяются около 10 минут. Если всё верно, ЕСИА пришлет вам соответствующее сообщение.

Затем информация отправляется в Федеральную налоговую службу (ФНС). Проверка длится до 5 дней, о её результатах вам сообщат по электронной почте.

Для компаний

Чтобы создать аккаунт юрлица, вы должны быть либо руководителем организации, либо иметь право действовать от лица компании без доверенности. Процесс также начинается с регистрации в ЕСИА физического лица, которое в дальнейшем будет выступать от имени компании.

Авторизовавшись в системе как физлицо, вы сможете добавить информацию о компании и подтвердить её, используя усиленную квалифицированную электронную подпись. Проверка данных занимает до 10 минут, затем они также отправляются в ФНС. Специалисты берут до 5 дней на анализ информации, о результатах проверки вам сообщат на e-mail.

Что такое ЕСИА?

Прежде всего стоит сказать, что ЕСИА – это система, за функционирование которой отвечает Минкомсвязь России. Участником системы может стать любое физическое лицо, юридическое лицо или организация. Регистрация в ЕСИА на портале Госуслуги происходит бесплатно, процедура доступна для всех пользователей интернета. В это же время каждый зарегистрированный участник системы имеет право в любой момент удалить свой аккаунт.

Зарегистрировавшись, человек получает пароль, который может использоваться для доступа ко всем государственным сайтам, участвующим в программе. То есть при активной сессии на Госуслугах и переходе, к примеру, на ресурс Виртуальная школа, подключенный к ЕСИА, проходить повторную идентификацию не потребуется.

Помимо единого входа на гос.порталы, система обеспечивает одновременный выход из них. То есть при завершении сеанса на Госуслугах будет прерван доступ и к учеткам на сайте МВД, ПФР, ФНС и др.

ЕСИА обеспечивает возможность внесения и самостоятельного изменения персональных данных владельца аккаунта через Личный кабинет. Подлинность номера СНИЛС проверяется с использованием сервиса ПФР, корректность ИНН – с помощью сервиса Налоговой службы, а паспортных данных и сведений из миграционных карт (для иностранных граждан) – сервиса МВД.

Что дает ЕСИА?

Регистрация в ЕСИА для физического лица – это возможность пользоваться функционалом сайта Госуслуги и другими информационными сервисами, подключенными к программе. Это открывает широкие возможности для владельца аккаунта, позволяя: оформлять через интернет различные документы, например, паспорт, загранпаспорт, водительское удостоверение; записываться к врачу через интернет, выбирая удобную для посещения дату и время; ставить ребенка на очередь в детский сад, записывать его в школу, кружки и секции, летние лагеря; узнавать о штрафах и задолженностях по налогам; подавать заявки на оказание различных услуг, к примеру, регистрацию брака, смену фамилии, оформления свидетельства ИНН; оплачивать счета за коммунальные услуги, телефон; оформлять пособия и социальные выплаты, получать льготы; узнавать о пенсионных накоплениях, проверять свой лицевой счет в ПФР и др.

Как стать участником системы?

Создавая учетную запись на портале Госуслуг, пользователь становится участником ЕСИА. Чтобы авторизоваться, нужно зайти на gosuslugi.ru и указать в специальной форме свои настоящие ФИО и телефон или email. Информация должна быть актуальной, так как дальше в профиль нужно будет добавить сведения из паспорта и персональные данные из других важных документов (СНИЛС, ИНН).

Для завершения процедуры регистрации учетной записи на портале ЕСИА требуется ввести код активации, отправленный системой на телефонный номер, введенный на предыдущем этапе. Второй вариант активации аккаунта – подтвердить учетную запись, перейдя по ссылке в электронном письме, полученном на email.

Как подтвердить аккаунт?

Пройдя простую процедуру создания аккаунта на сайте Госуслуги, человек становится участником ЕСИА с упрощенной учетной записью. Стоит разобраться, что это такое.

Упрощенная учетка дает право заходить на портал и просматривать информацию о различных услугах, которые на нем предоставляются. Однако получать эти услуги пользователь не сможет, так как действия на сайте будут ограничены.

Владельцам упрощенных записей доступна проверка задолженностей и штрафов в режиме онлайн и получение оповещений о них. Но каждый пользователь может «поднять» свою учетку, дополнив информацию о себе.

Указав номер СНИЛС и паспортные данные, владелец аккаунта после проверки информации системой получает стандартную учетную запись. Для присвоения статуса стандартной учетной записи потребуется указать в профиле: свои ФИО; пол, место рождения и дату; гражданство; серию/номер паспорта или другого документа, подтверждающего личность; номер СНИЛС.

Стандартная учетка позволяет оплачивать штрафы и счета в режиме онлайн, используя банковские карты и электронные кошельки, записываться на прием к врачу, зарегистрировать товарный знак.

Следующий шаг, открывающий доступ ко всем функциям сайта – получение подтвержденной записи. Владельцы подтвержденного аккаунта могут оформлять различные документы (паспорт, загранпаспорт, справки, свидетельства и др.) через интернет, записывать ребенка в очередь в сад, получать доступ к лицевым счетам и прочее.

Чтобы подтвердить аккаунт, необходимо либо лично явиться в МФЦ, либо заказать код подтверждения почтовым письмом, либо иметь электронную подпись. Самым популярным вариантом становится личное обращение в многофункциональный центр с паспортом и карточкой СНИЛС.

Защита персональных данных пользователя

В системе хранится важная персональная информация о зарегистрированных пользователях: паспортные данные; номер СНИЛС; ИНН;

Поэтому портал Госуслуги должен иметь высокий уровень безопасности. Доступ к Личному кабинету со всей личной информацией имеет только его владелец. Данные, переданные в систему владельцами аккаунтов, хранятся на государственных серверах, имеющих высокую защиту. Данные в системе передаются по защищенным каналам с высоким уровнем шифрования.

В свою очередь, владелец аккаунта должен понимать, что пароль учетной записи ЕСИА – это доступ к его персональным данным, поэтому сообщать его третьим лицам нельзя. Способ хранения пароля для входа в аккаунт его владелец выбирает самостоятельно, при этом вся ответственность за сохранность этих данных лежит на нем.

Сайт Госуслуги был запущен еще в 2010 году, но первые несколько лет активность на нем практически не наблюдалась. Однако сегодня портал стремительно развивается, открывая широкие возможности его пользователям. На сайте Госуслуги можно легко и быстро получить сотни услуг муниципального и федерального значения. Для этого нужно просто заполнить заявку через интернет и подтвердить операцию паролем учетной записи ЕСИА. Это избавляет от очередей, лишних стрессов и дополнительных финансовых расходов.

Последнее обновление: 26 июня 2018 г., 15:45

Личный кабинет ЕСИА

Каждый гражданин неизбежно общается с представителями разнообразных государственных органов. Хождение по инстанциям отнимает много времени и нервов. Современные средства связи и переход государственных органов на новые формы коммуникаций позволяют многие услуги получать в электронном виде.

Функционал личного кабинета ЕСИА

Авторизация в личном кабинете ЕСИА

Мобильное приложение личного кабинета ЕСИА

Клиентская поддержка через кабинет

Правила безопасности и конфиденциальности

Функционал личного кабинета ЕСИА

Регистрация в личном кабинете позволяет аккумулировать информацию обо всех услугах, которые вы когда-либо получали – обращения, заявления, платежи. Через личный кабинет можно следить за тем, как рассматривается ваша заявка, контролировать ее статус, настраивать уведомления об изменениях, отслеживать статус платежей.

Регистрация в кабинете

Авторизация в личном кабинете ЕСИА

Мобильное приложение личного кабинета ЕСИА

Мобильное приложение разработано для мобильных устройствах на разных платформах.

С помощью приложения возможно:

• получать информацию о событиях (изменение статусов заявлений, информация о штрафах и задолженности, прием к врачу, время смены паспорта и множество другой информации)
• подстроиться под каталог услуг в зависимости от региона
• подать заявление на получение заграничного и гражданского паспорта
• запросить выписку по пенсионному счету
• заказать справку об отсутствии судимости
• зарегистрировать автомобиль
• оформить водительское удостоверение
• оплатить задолженности и штрафы

Клиентская поддержка через кабинет

• Поддержка клиентов осуществляется по телефону:
• 8 800 100-70-10
• +7 495 727-47-47
• Электронный адрес для обратной связи
• Ответы на частые вопросы в разделе «Помощь и поддержка».
• Поддержка в Telegram.

Правила безопасности и конфиденциальности

В системе портала используется полный набор механизмов безопасности. Программное обеспечение портала регулярно проходит сертификацию. Персональные данные пользователей хранятся в единой базе ЕСИА. Данная система аттестована на обработку конфиденциальной информации.

В то же время не нужно забывать, что безопасность определяется не только защищенностью базы, но и рабочего места. Пользователи должны следовать рекомендациям:

• использовать лицензированное ПО
• регулярно производить рекомендуемые обновления безопасности
• использовать качественное антивирусное обеспечение
• не входить на портал из общественных и незнакомых источников

3 минуты – 3 дня

МФК «Лайм-Займ» (ООО)

ООО МФК «Вэббанкир»

ООО МКК «Академическая»

Изменения в законодательстве, начинающие действовать с начала 2018 года и включающие в себя самые разнообразные области нашей с вами жизнедеятельности (закон о мессенджерах, о телемедицине и т.д.) объединяет одно – все большее проникновение информационных сервисов в нашу жизнь. Естественным является факт, что как и в реальной жизни, для получения человеком какой-либо услуги ему требуется пройти идентификацию. В офф-лайновой жизни средством авторизации является паспорт гражданина, а в он-лайн сфере таковым средством правительство решило признать ЕСИА — единая система идентификации и аутентификации.

Вот о ней и хотелось бы поговорить. Это ознакомительная статья, можно сказать ликбез. Для знакомства людей, которые еще не знают, что при необходимости можно использовать ЕСИА у себя в проектах и идти в ногу со временем вместе с государством. И так, что же это за зверь и как его рассматривает правительство.

Минкомсвязь России в рамках инфраструктуры электронного правительства создала и развивает Единую систему идентификации и аутентификации (ФГИС ЕСИА), цель которой — упорядочить и централизовать процессы регистрации, идентификации, аутентификации и авторизации пользователей.

1. Предоставляет информационным системам решение по достоверной идентификации пользователей (физических и юридических лиц, органов государственной власти).

Достоверность достигается за счет того, что:

• регистрация лица в ЕСИА сопряжена с проверкой значимых для удостоверения личности критериев;
• ЕСИА обеспечивает защиту размещённой в ней информации в соответствии с законодательством Российской Федерации.

2. Является ориентированной на пользователя и предоставляет возможности:

• идентификации и аутентификации с использованием единой учетной записи и широкого спектра поддерживаемых методов аутентификации при доступе к различным информационным системам органов государственной власти;
• управления своими персональными данными, размещенными в ЕСИА, и контроля над их предоставлением в информационные системы органов государственной власти.

Основные функциональные возможности ЕСИА:

• идентификация и аутентификация пользователей, в том числе:
  однократная аутентификация, которая дает пользователям ЕСИА следующее преимущество: пройдя процедуру идентификации и аутентификации в ЕСИА, пользователь может в течение одного сеанса работы обращаться к любым информационным системам, использующим ЕСИА, при этом повторная идентификация и аутентификация не требуется;поддержка различных методов аутентификации: по паролю, по электронной подписи, а также двухфакторная аутентификация (по постоянному паролю и одноразовому паролю, высылаемому в виде sms-сообщения);поддержка уровней достоверности идентификации пользователя (упрощённая учетная запись, стандартная учетная запись, подтвержденная учетная запись).
• однократная аутентификация, которая дает пользователям ЕСИА следующее преимущество: пройдя процедуру идентификации и аутентификации в ЕСИА, пользователь может в течение одного сеанса работы обращаться к любым информационным системам, использующим ЕСИА, при этом повторная идентификация и аутентификация не требуется;
• поддержка различных методов аутентификации: по паролю, по электронной подписи, а также двухфакторная аутентификация (по постоянному паролю и одноразовому паролю, высылаемому в виде sms-сообщения);
• поддержка уровней достоверности идентификации пользователя (упрощённая учетная запись, стандартная учетная запись, подтвержденная учетная запись).
• ведение идентификационных данных, а именно – ведение регистров физических, юридических лиц, органов и организаций, должностных лиц органов и организаций и информационных систем;
• авторизация уполномоченных лиц органов государственной власти при доступе к следующим функциям ЕСИА:
  ведение регистра должностных лиц органов власти в ЕСИА;ведение справочника полномочий в отношении информационной системы и предоставление пользователям ЕСИА (зарегистрированным в ЕСИА как должностные лица) полномочий по доступу к ресурсам систем, зарегистрированным в ЕСИА;делегирование вышеуказанных полномочий уполномоченным лицам нижестоящих органов государственной власти.
• ведение регистра должностных лиц органов власти в ЕСИА;
• ведение справочника полномочий в отношении информационной системы и предоставление пользователям ЕСИА (зарегистрированным в ЕСИА как должностные лица) полномочий по доступу к ресурсам систем, зарегистрированным в ЕСИА;
• делегирование вышеуказанных полномочий уполномоченным лицам нижестоящих органов государственной власти.
• ведение и предоставление информации о полномочиях пользователей в отношении информационных систем, зарегистрированных в ЕСИА.

В данный момент подключить систему к ЕСИА может любая государственная организация, а также отдельные виды коммерческих организаций: страховые компании, кредитные организации (банки), профессиональные участники рынка ценных бумаг, негосударственные пенсионные фонды, микрофинансовые и микрокредитные организации, а также операторы связи.

Законодательство со временем корректируется, и вместе с ним расширяется перечень организаций, которым разрешено подключиться к ЕСИА.

Люди, не знакомые с ситуацией, при слове «государственная» сразу представляют себе каналы связи, которые необходимо защитить при помощи отечественных криптоалгоритмов со всеми вытекающими затратами, лицензиями и оборудованием. Но, как бы смешно это не было (или печально), главная площадка для идентификации в стране – работает с иностранной криптографией (а куда деваться).

Поэтому, если вы хотите воспользоваться услугами данной платформы, то можете размещать свои ресурсы где у годно в нашей огромной стране, в том числе и в нашей инфраструктуре Cloud4Y.

Что же может получить коммерческая организация из ЕСИА?

Перечень доступных к получению сведений зависит от:

• Категории организации, подключающейся к ЕСИА
• Использованного способа подключения к ЕСИА

Минкомсвязь ограничивает перечень данных, доступных коммерческим организациям. Обычно разрешают получать только сведения о ФИО, реквизитах паспорта (серия и номер, кем и когда выдан), гражданстве, а также признака «подтвержденности» аккаунта и идентификатора аккаунта в ЕСИА.

Государственные организации могут получать из ЕСИА полный набор данных о пользователе и его организациях. Это следующие сведения:

• личные данные (ФИО, пол, дата и место рождения, гражданство)
• данные идентификационных документов (СНИЛС, ИНН, общегражданский и заграничный паспорт, свидетельство о рождении, водительское удостоверение, военный билет, полис ОМС)
• контактная информация (email, мобильный и домашний телефон, адреса регистрации и проживания)
• сведения о детях (личные данные и документы)
• сведения о транспортных средствах (номер и свидетельство о регистрации)
• сведения об организациях и ИП (наименование, ОГРН, ИНН/КПП, организационно-правовая форма, юридический адрес, контакты, филиалы, списки сотрудников, полномочия сотрудников, транспортные средства организации)
• данные учетной записи (идентификатор аккаунта в ЕСИА, признак «подтвержденности» аккаунта)

Сведения предоставляются в том объеме, в каком они заполнены пользователем в ЕСИА, а также при условии согласия пользователя на предоставления этих сведений.

Как подключиться?

Чтобы подключить сайт своей организации, нужно пройти несколько довольно несложных процедур.

В общих чертах для подключения к ЕСИА нужно:

• Убедиться, что вашей организации можно подключать свои системы к ЕСИА.
• Директору организации с помощью веб-приложения «Профиль ЕСИА» зарегистрировать организацию в ЕСИА.
• Ему также нужно прикрепить к учетной записи организации ответственного сотрудника и назначить ему право доступа в специальное приложение — Технологический портал ЕСИА. Если директор не планирует делегировать дальнейшие операции своему сотруднику, то тогда он все равно должен явно предоставить доступ себе к Технологическому порталу ЕСИА.

  Назначенному ответственному сотруднику организации нужно с помощью веб-приложения «Технологический портал ЕСИА»:

• Зарегистрировать учетную запись системы в ЕСИА. Мнемонику для системы придумать, либо использовать существующую мнемонику точки подключения к СМЭВ, если подключаемая к ЕСИА система раньше уже была подключена к СМЭВ.
• Загрузить в карточку системы ее сертификат.

  Ответственному сотруднику организации нужно:

• Поочередно подать по электронной почте заполненные в соответствии с регламентом заявки на использование программных интерфейсов ЕСИА в тестовой и промышленной среде.

  Разработчикам подключаемой системы:

• Доработать систему для подключения к ЕСИА, самостоятельно разработав код взаимодействия с ЕСИА в соответствии с действующим документом «Методические рекомендации по использованию ЕСИА» или использовать готовые решения, благо такие на рынке есть.
• Отладить взаимодействие в тестовой и промышленной среде ЕСИА.

Здесь нужно заметить, что с 01.01.2018 г. взаимодействие по протоколу SAML 2.0 больше не будет разрешено (только для действующих систем). Для подключения к ЕСИА необходимо будет использовать протокол OAuth 2.0 / OpenID Connect (сейчас доступны оба варианта).

Аутентификация пользователя в системе

Рекомендуемый сценарий аутентификации пользователя при интеграции по OpenID Connect 1.0 в его базовом виде происходит по следующему сценарию:

• Система-клиент формирует и отправляет в ЕСИА запрос на аутентификацию и перенаправляет браузер пользователя на специальную страницу предоставления доступа.
• Когда пользователь аутентифицирован, ЕСИА сообщает пользователю, что система-клиент запрашивает данные о нем в целях проведения идентификации и аутентификации, предоставляя перечень запрашиваемых системой-клиентом сведений.
• Если пользователь дает разрешение на проведение аутентификации системой-клиентом, то ЕСИА выдает системе-клиенту специальный авторизационный код.
• Система-клиент формирует в адрес ЕСИА запрос на получение маркера идентификации, включая в запрос полученный ранее авторизационный код.
• ЕСИА проверяет корректность запроса (например, что система-клиент зарегистрирована в ЕСИА) и авторизационного кода и передает системе-клиенту маркер идентификации.
• Система-клиент извлекает идентификатор пользователя из маркера идентификации. Если идентификатор получен, а маркер проверен, то система-клиент считает пользователя аутентифицированным. После получения маркера идентификации система-клиент использует REST-сервисы ЕСИА для получения дополнительных данных о пользователе, предварительно получив соответствующий маркер доступа.

Подключаться или нет?

За операторов, в связи со вступлением в действие закона о мессенджерах данный вопрос практически решен.

Напомним, в соответствии с Федеральным законом №245 «О внесении изменений в Федеральный закон «О связи» от 29 июля 2017 года, операторы связи обязаны проверять достоверность сведений об абоненте. В законе закреплен перечень способов проверки, одним из которых является использование Единого портала государственных и муниципальных услуг или информационных систем госорганов при наличии подключения к ним у операторов через СМЭВ.

Поправки в ФЗ «О связи» вступают в силу 1 июня 2018. До этого времени операторы связи смогут протестировать работу своих систем со СМЭВ и ЕСИА.

Становится ли чебурнет всё ближе? Официальных заявлений о планах сделать выход в Интернет возможным только через ЕСИА нами не найдено. На данный момент, по официальным данным, в ЕСИА зарегистрировано около 50 миллионов пользователей (физических лиц) и около 300 000 организаций.

Привет, меня зовут Никита Нятин. Я главный разработчик PHP в Уральском банке реконструкции и развития. Расскажу, как мы в банке внедряли интеграцию с Единой системой идентификации и аутентификации (ЕСИА) на PHP и какие проблемы пришлось решать.

Зарождение идеи

В УБРиР есть сервис посадочных страниц, позволяющий клиентам оставлять заявки на кредит, вклад и РКО. В 2019 году у нас возникла идея упростить процесс заполнения заявки на кредит. Зачем клиенту указывать ФИО, адрес регистрации, если все эти сведения уже есть на сайте Госуслуг (ГУ), который также называют ЕСИА.

Как это работает

После успешной авторизации нужно дать согласие на передачу своих данных ПАО КБ УБРиР.

Когда согласие дано, клиент перенаправляется обратно на посадочную страницу, где уже заполнены ФИО и паспортные данные, полученные от сайта ГУ. Остается только убедиться, что все верно, и отправить заявку.

Неожиданная поломка

Первая версия интеграции была написана в 2019 году и создавалась в рамках монолитного приложения, написанного на PHP 7.1. Реализовать интеграцию было непросто, но оно того стоило – клиенты стали пользоваться этой возможностью.

Радость длилась почти год, пока в августе 2020 года не истек сертификат, с помощью которого шло взаимодействие с ГУ. При попытке авторизоваться клиенты наблюдали ошибку. Это было для нас сюрпризом, поскольку мы не вели учет срока действия этого сертификата. Но это было не самое страшное. Оказывается, что с 1 апреля 2020 года RSA-сертификаты не могли использоваться для подписей запросов к ЕСИА.

Для устранения сбоя требовались следующие шаги:

• получить в Удостоверяющем центре (УЦ) сертификат, выпущенный с использованием криптографического алгоритма ГОСТ Р 34.10-2012;
• доработать нашу систему, чтобы она начала поддерживать работу с электронными подписями, выпущенными с использованием этого криптографического алгоритма.

Это было что-то! Интеграцию мы не смогли починить за один день, и за неделю не смогли, и за месяц тоже. Это было связано с тем, что первая версия интеграции была написана на скорую руку, без создания документации. Нам пришлось снова во всем разбираться и заново пройти процесс подключения к ЕСИА.

Как подключить сайт компании к ЕСИА

Нам пришлось изучить официальные документы по интеграции с ЕСИА и прочитать много статей. Какие шаги в итоге пришлось пройти, чтобы интеграция свершилась:

Регистрация руководителя организации на Госуслугах

Зарегистрировать компанию в ЕСИА может представитель, имеющий право действовать без доверенности. У него должна быть подтверждённая учётная запись физического лица. В нашем случае руководство банка уже было зарегистрировано на ГУ.

Регистрация компании на Госуслугах

Для этого нужна квалифицированная электронная подпись (КЭП), которую можно получить в одном из аккредитованных Минцифрой России удостоверяющих центров. С ее помощью юридическое лицо подписывает документы и подтверждает различные запросы на портале. Для того, чтобы работать с электронной подписью, необходимо установить криптозащиту на устройство. Это программное обеспечение может быть как платное, так и бесплатное. Подробнее – в инструкции или видео. В нашем случае банк был уже зарегистрирован на ГУ.

Регистрация информационной системы на технологическом портале Госуслуг

Доступ к порталу получают сотрудники организации, включенные в специальную группу “Технологический портал” и имеющие личную учетную запись на Госуслугах, это – обязательное условие для получения прав доступа к Техпорталу. После регистрации система заносится в реестр информационных систем (ИС) и получает мнемонику, то есть буквенно-цифровой код системы (к примеру, ROMASHKA, VECTOR, 123555_3S).

Существует небольшое Руководство пользователя технологического портала ЕСИА (47 страниц). В нем наглядно показано, как можно добавить новую ИС.

В нашем банке нашелся сотрудник, который уже имел доступ в портал, – он создал для нас новую ИС. Увы, этого было недостаточно. В руководстве написано: “создание записи ИС не означает, что данные ИС получают возможности по использованию программных интерфейсов ЕСИА. Для получения таких возможностей необходимо выполнить действия согласно Регламенту информационного взаимодействия Участников с Оператором ЕСИА и Оператором эксплуатации инфраструктуры электронного правительства”.

В разделе 1 “Введение” этого регламента приведена удобная таблица “Основные задачи заявителей”, где есть нужный нам пункт – “Подключиться к ЕСИА с целью идентификации и аутентификации пользователей своей системы (вход через Госуслуги)”. Там как раз описаны шаги, которые мы сейчас рассматриваем.

Получение сертификата и закрытого ключа для новой ИС

Сертификат должен удовлетворять следующим требованиям:

• выдан аккредитованным Удостоверяющим центром. Благо в г. Екатеринбурге, где расположен главный офис УБРиР, есть два таких аккредитованных УЦ;
• соответствует алгоритму формирования электронной подписи ГОСТ Р 34.10-2021 или алгоритму криптографического хэширования ГОСТ Р 34.11-2012;
• должен содержать ОГРН юридического лица (ЮЛ), являющегося оператором ИС (может быть выпущен как на сотрудника ЮЛ, так и на организацию). Таким образом, в сертификате должна содержаться информация о том, что этот ключ относится именно к нашему банку.

При первичном получении сертификата нужно было посетить офис Контура (ООО Сертум-Про), при перевыпуске сертификата посещение не требуется – достаточно сформировать заявку в личном кабинете Контура. Далее там же выпускаются новые сертификат и ключ, которые записываются на виртуальную флешку (виртуальный образ с расширением .img).

Полученный сертификат – это файл с названием из 40 цифр, к примеру,  1151593111080991181175644517328337074622.cer. Этот сертификат нужно загрузить в карточку ИС на Техпортале.

Кстати, если открыть сертификат в текстовом редакторе, то там может оказаться абракадабра:

Это значит, что сертификат в бинарном формате. Если кликнуть по файлу сертификата в ОС Windows, появится диалоговое окно, в котором его можно преобразовать в другой формат – в X.509 (.CER) в кодировке Base-64:

Полученный файл сертификата можно открыть в текстовом редакторе и увидеть цифры и латинские буквы между “——BEGIN CERTIFICATE—–” и “—–END CERTIFICATE—–”. Это значит, что сертификат в кодировке base64.

Закрытый ключ представляет собой папку с 6 файлами с расширением .key из контейнера КриптоПро:

Эти файлы понадобятся на сервере приложения при настройке интеграции с ЕСИА.

Подключение к тестовой среде ЕСИА

Форма этой заявки приведена в Регламенте взаимодействия заявителей с операторами ЕСИА (Приложение Г). Вот как это выглядело у нас. Мы в Microsoft Word создали документ и заполнили его нужными данными.

В пункте “Планируемые к использованию программные интерфейсы” мы указали следующее:

• скоупы: fullname, birthdate, birthplace, email, mobile, contacts, id_doc, snils, inn;
• файл сертификата: 1151593111080991181175644517328337074622.cer.

На форуме КриптоПро некоторые пользователи говорят, что неправильно использовать промышленный сертификат в тестовой среде. Тем не менее этот вариант допустим, поэтому мы им воспользовались, чтобы не тратить время.

Разработка или покупка сервиса интеграции с ЕСИА

Когда администраторы ГУ открывают доступ, компании нужно подключить свою систему к ЕСИА, чтобы она могла принимать и отправлять запросы. Минцифры не позволит подключиться к промышленной среде ЕСИА, если интеграция не будет работать в тестовой среде. В нашем случае мы решили не искать стороннее решение, а написать свой коннектор к ЕСИА на языке PHP.

Подключение к промышленной среде ЕСИА

Когда интеграция на тестовом стенде начинает работать, можно отправлять заявку на подключение ИС к промышленной среде. Форма заявки та же, что и в п.5, но только для промышленной среды.

Вот и все шаги, выполнив которые, мы смогли, наконец, порадоваться созданной интеграции с ЕСИА. Но не все так солнечно, поскольку технически непросто реализовать сервис авторизации в п.6. Об этом расскажем дальше.

Создаем свой сервис интеграции с ЕСИА

При создании собственного сервиса нам пришлось учитывать несколько ключевых моментов.

В OpenSSL нет поддержки ГОСТ

Алгоритм ГОСТ есть в библиотеке OpenSSL. Вернее, был. Начиная с версии OpenSSL 1.1.0 gost engine был удален из основного пакета, так как недостаточно активно поддерживался (см. CHANGES.md). Это значит, что по умолчанию шифрование алгоритмом ГОСТ в openssl не доступно. Тем не менее, работа над движком ГОСТ продолжается, но уже в рамках отдельного репозитория gost-engine/engine.

Подключаемся к проду по SSH и смотрим, поддерживает ли библиотека openssl шифрование ГОСТ:

Если эта команда ничего не вернет, значит, поддержки ГОСТ на сервере нет. У нас так и получилось.

Мы побоялись сломать прод из-за возможных сбоев при подключении gost engine к OpenSSL. Также выяснили, что другой проект в нашем банке хочет взаимодействовать с ЕСИА. Поэтому было решено создать отдельный сервис – esia-connector.

Задачи этого сервиса:

• сгенерировать ссылку, перейдя по которой, пользователь окажется на сайте Госуслуг, где нужно авторизоваться и согласиться предоставить банку свои данные;
• при помощи токена запросить данные пользователя в ГУ и сохранить их в базе данных сервиса;
• предоставить другим сервисам Банка доступ к этим данным. Простое REST API, которое позволит другим внутренним сервисам получить доступ к данным клиента.

Генерация секретного. pem ключа из шести файлов КриптоПро

В УЦ мы уже получили сертификат и файлы секретного ключа для нашей ИС. Файлы секретного ключа из контейнера КриптоПро представляют собой папку, в которой расположены 6 файлов с расширением .key:

Нам нужно получить из них один файл в формате .pem. Для этого мы проделали серию шагов:

• скачали и распаковали .zip-файл проекта https://github.com/garex/nodejs-gost-crypto;
• создали в корне этого проекта (где файл package.json) папку “keys” и поместили туда шесть файлов от КриптоПро с расширением .key;
• открыли консоль и перешли в корень этого проекта;
• убедились, что у нас на ПК установлен Node.js: node -v;
• установили зависимости: npm install;

В итоге у нас появился файл private-key.pem. На удивление, объем его крайне мал – всего 4 строчки, например:

——-BEGIN PRIVATE KEY——-
MEgCAQFwHwYIkoUDBwEBAQwEwYHKoUDAgIkAAYIkAAYIKoUDBwEBAgIEIgQgtWkIBZW5
mUvc6UE12SuwcdsTcXXD6hqcXZPYmNcdusE=
——-END PRIVATE KEY——-

Несмотря на свой небольшой размер, он помог нам установить связь с ЕСИА.

Генерация ссылки для авторизации на портале ЕСИА

Нам нужно было как-то сгенерировать ссылку, перейдя по которой, пользователь окажется на сайте Госуслуг. Может быть, так?

Если бы все было так просто. Вы можете перейти по этой ссылке, авторизоваться, но волшебства не случится, ведь мы не сообщаем ЕСИА, что у клиента нужно спросить разрешения поделиться своими данными с банком.

На самом деле, генерация этой ссылки – непростая задача. Лучше ее поручить сторонней библиотеке: https://github.com/fr05t1k/esia. Она поддерживает PHP 8.

Но и тут снова никаких чудес не произошло – эта библиотека просто так работать не будет. Нам нужно создать окружение, где есть openssl с поддержкой ГОСТ, а также php-fpm, nginx.

Создаем окружение при помощи Docker

Нам помог проект https://github.com/rnixik/docker-openssl-gost. Однако на момент написания этой статьи он использовал устаревшие версии библиотек. Поэтому нам пришлось самостоятельно решать, как добавить к свежей версии PHP поддержку ГОСТ. Это было непросто, но после пары недель изысканий нам это удалось.

Решение на удивление оказалось простым:

• берем актуальный docker-образ PHP, к примеру php:8-fpm-bullseye;
• на основе этого образа в Dockerfile делаем сборку gost-engine из ветки openssl_1_1_1;
• редактируем конфиг OpenSSL, чтобы подключить gost-engine.

Проект для демонстрации интеграции с ЕСИА

Лучше один раз попробовать, чем сто раз услышать или увидеть. Мы создали тестовый проект https://github.com/yesnik/esia-mini.

Установив его, вы сами сможете подключиться к тестовому стенду ЕСИА, загрузить оттуда данные тестовой учетной записи и на практике понять, как это все работает.

Как видите, очень даже возможно добавить поддержку ГОСТ к свежему образу PHP и настроить связь с Госуслугами.

А как же КриптоПро?

Оказывается, что для связи с ЕСИА необходимо использовать сертифицированный криптопровайдер. Безопасность должна быть безопасной. Одним из таких решений является КриптоПро. Для реализации интеграции с ГУ на проде нам пришлось его приобрести. У этого решения есть свои особенности подключения к PHP, но это тема отдельной статьи. А так, для тренировки общения с тестовым стендом ЕСИА вполне подойдет наш проект.

Список источников

При выполнении очередного госзаказа наша команда столкнулась с проблемой интеграции сайта с ЕСИА. Инструкции по решению этой задачи в сети нет, кроме информации в официальных документах МинКомСвязи (примерно 300 страниц в трех регламентах). Также есть компании, которые оказывают платные услуги по интеграции ЕСИА. Мы реализовали, описали процесс интеграции и решили поделиться с сообществом habrahabr.

Что такое ЕСИА

Единая Система Идентификации и Аутентификации — российская информациия система, обеспечивающая доступ (регистрация, аутентификация) на сайты государтсвенных структур и некоторых коммерческих организаций. Подробнее на википедии

В процессе интеграции ЕСИА, система сможет отправлять запрос на ЕСИА и при успешной авторизации получать в качестве ответа данные пользователя

Сценарий авторизации выглядит примерно так:

• Система переадресует на сайт ЕСИА
• При успешной авторизации ЕСИА возвращает пользователя обратно на сайт и по защищенному протоколу передает его личные данные

Госуслуги

Госуслуги — интернет-портал, обеспечивающий физическим и юридическим лицам доступ к информации о муниципальных и государственных услугах, которые можно получить на территории РФ. Портал предоставляет сведения об услугах:

• Муниципальных и государственных учреждений
• Организаций, которые участвуют в предоставлении государственных и муниципальных услуг, в том числе в электронной форме

Все услуги, представленные на этом интернет-ресурсе, соотносятся с конкретным регионом РФ.

История создания

Портал Gosuslugi.ru был создан компанией «Энвижн Груп» по заказу компании «Ростелеком». В тестовом режиме проект был запущен 25 ноября 2009 года. Официальное открытие состоялось 15 декабря 2009 года. На портале была размещена информация о 110 федеральных услугах и более 200 услугах муниципального и регионального уровней.

1 апреля 2010 года на портале появился сервис «Личный кабинет», который предоставил пользователям возможность регистрироваться на сайте и направлять документы на оформление различных услуг онлайн.

В феврале 2012 года была запущена новая версия портала, на котором уже к середине апреля того же года было зарегистрировано более 2 млн пользователей. 26 ноября 2019 было объявлено о 100 млн пользователей, из которых 62 млн человек имеют подтвержденную учетную запись.

Правовое регулирование

Портал Gosuslugi.ru — государственный веб-сайт, и его функционирование осуществляется на основе ФЗ РФ «Об организации предоставления государственных и муниципальных услуг», а также постановления правительства РФ от 24 октября 2011 года № 861.

Структура портала Gosuslugi

Информация на портале сгруппирована по двум категориям — для физических и юридических лиц. В каждой категории присутствует несколько тематических разделов, такие как семья, налоги и сборы, социальное обеспечение, образование и наука, ЖКХ, страхование, здравоохранение, культура и искусство, и другие. Для юридических лиц представлены те же самые группы, а также информация о производстве, строительстве, торговле и некоммерческих организациях.

На портале предусмотрен раздел «Вопросы и ответы». Регулярно размещаются актуальные новости.

Возможности портала для зарегистрированных пользователей

Регистрация на портале происходит посредством Единой системы идентификации и аутентификации (ЕСИА) и проходит в несколько этапов с обязательной верификацией личности пользователя. Авторизация может производиться с использованием усиленной квалифицированной электронной подписи или УЭК.

После завершения процедуры регистрации ряд доступных функций портала расширяется. Например, становятся доступными сведения о состоянии личного лицевого счета из Пенсионного фонда или появляется возможность подать заявление на получение загранпаспорта (в том числе биометрического).

• Получать информацию об услугах, предоставляемых государственными и муниципальными учреждениями
• Подавать онлайн-обращения в федеральные и муниципальные учреждения, заказывать и получать в электронном виде справки, заверенные электронной подписью должностного лица
• Оплачивать онлайн госпошлины, налоги, административные штрафы, услуги ЖКХ и совершать другие платежи