Часто задаваемые вопросы (FAQ) по ЕСИА
- Необходимы ли административные привилегии для установки плагина?Административные привилегии при установке плагина не требуются, если плагин устанавливается для использования текущим пользователем. Если же в процессе установки плагина выбрана опция установки плагина для всех пользователей компьютера, то для продолжения установки будет необходимо ввести пароль администратора.
- Необходимо ли перезапускать браузер после установки плагина?Нет, при установке плагина не требуется перезапускать браузер и операционную систему. Если плагин корректно встроен на ваш веб-сайт, то веб-страница может проверить, установлен ли плагин, а также подсказать пользователю о необходимых действиях, связанных с его установкой.
- Мы хотели бы использовать ваш плагин на своем сайте. Можем ли мы предоставлять пользователям плагин для загрузки с нашего сайта? Возможно ли для нашей версии изменить название и логотип плагина?Да, если вы купили лицензию, вы можете использовать и распространять плагин с вашего веб-сайта. Вы также можете заказать выпуск специальной версии плагина, брендированной для вашей компании или вашего сайта. Свяжитесь с нами для получения дополнительной информации.
- Можно ли с вашим плагином использовать электронную подпись на смартфонах и планшетах?К сожалению, наш плагин работает только на компьютерах под управлением операционных систем Windows, macOS и Linux (Linux Ubuntu 14/16, Linux Fedora 23, Linux Mint 17/18, CentOS и др.). Операционные системы мобильных устройств, такие как IOS и Android, не поддерживаются.
- Ваш плагин не поддерживает мой тип ключей. Можно ли добавить мой токен в число поддерживаемых?Пожалуйста, обратитесь к нами с использованием формы обратной связи. Сообщите нам имя токена и его производителя. Мы сообщим, сможем ли поддержать запрошенный тип ключей.
- Будет ли плагин работать со старыми версиями браузера Firefox, в том числе действующим ESR-релизом?Да, Blitz Smart Card Plugin совместим как со старыми версиями Firefox, использующими NPAPI, так и новыми версиями Firefox (версия 52 и новее), работающими через Native Messaging API. Поставляющийся с плагином JavaScript проверяет версию Firefox, установленного у пользователя, и использует актуальный способ взаимодействия с плагином.
- Какие требования предъявляются к веб-сайту, чтобы он мог использовать функции подписания документов?Blitz Smart Card Plugin — это клиентское программное обеспечение. Это означает, что браузер сможет вызывать функции работы с электронной подписью только после установки на машину пользователя специального плагина. Вместе с плагином предоставляется JavaScript, который должен быть встроен на сайт для возможностей использования функций электронной подписи.
Единая система идентификации и аутентификации
- Нужно ли приобретать отдельные лицензии для тестовых сред?Не нужно. В зависимости от приобретенного пакета лицензий вам доступна возможность использовать Blitz Identity Provider не только на доменах ПРОД‑среды, но и на определенном количестве ТЕСТ‑сред.
- Ограничивается ли срок действия приобретенных лицензий?Приобретаемые лицензии бессрочны — приобретаются один раз и на все время. Также при желании можно отдельно приобрести услуги годовой технической поддержки программного обеспечения.
- Можно ли добавить в продукт необходимую нам функцию?Да, мы развиваем Blitz Identity Provider, ориентируясь прежде всего на пожелания наших клиентов и пользователей. Напишите нам, какая функция вам необходима. Возможно что решение вашей задачи уже предусмотрено иным способом, и мы подскажем, как это можно настроить и использовать, либо мы включим нужную вам функцию в план разработки.
- Сколько лицензий необходимо в случае подключения сайта и мобильного приложения?Если сайт и мобильное приложение архитектурно представляют собой одну систему, то они могут использовать общие параметры подключения и регистрироваться в Blitz Identity Provider как одно приложение (использовать общую лицензию). Если же сайт и мобильное приложение представляют собой архитектурно две разные системы, то они должны регистрироваться в Blitz Identity Provider как два разных приложения, каждое со своими настройками подключения, и использовать в этом случае две лицензии.
Получение данных об организациях возможно только при использовании offline-режима получения данных о пользователе. Этот процесс включает следующие шаги:
1. Проведение аутентификации пользователя с помощью offline-режима, по результатам которого у вызывающей системы будет следующая информация:
- идентификатор (oid) организации, по которой необходимо получить детальную информацию. Для получения oid можно воспользоваться блоком о ролях пользователя (roles), который доступен при наличии разрешения «Просмотр списка организаций пользователя» (usr_org);
- актуальное значение ключа доступа «scsToken».
2. Вызов специального сервиса ESIA-Bridge, позволяющего получить данные об организации. Для этого необходимо выполнить HTTP-запрос методом POST на адрес точки получения данных об организации (/blitz/bridge/organization). Особенности запроса:
- в теле (body) запроса необходимо указать параметры “token” (значение актуального ключа доступа), “oid” (идентификатор организации) и “redirect_url” (адрес обработчика успешной аутентификации на стороне вызывающей системы);
- в заголовке (http header) необходимо указать параметр “Content-Type” со значением “application/x-www-form-urlencoded”.
Пример запроса на получение данных об организации:
Возможные варианты ответа ESIA-Bridge на такой запрос:
Все, что требуется системе, – направить браузер пользователя по ссылке из ответа, указав корректный hostname ESIA-Bridge. Переход по этой ссылке инициирует в ЕСИА получение разрешения на доступ к данной организации. После того, как пользователь даст разрешение, ESIA-Bridge вернет пользователя по адресу, указанному в redirect_url и поставит новую сессионную cookie с новым ключом доступа tokenSCS. Получив обновленный ключ доступа, система должна повторно вызвать сервис получения данных об организации.
- если ключ доступа позволяет получить данные указанной организации, то в ответе будет получен json со следующими данными:
- обновленный ключ доступа scsToken, при этом старый ключ перестает действовать;
- сведения об организации согласно спецификациям ЕСИА.
Пример ответа, содержащего в себе данные организации, ее сотрудников и филиалов:
После получения ответа рекомендуется сохранить данные обновленного ключа доступа scsToken. Это позволит в будущем обновить данные об организации, ее сотрудниках и филиалах в offline-режиме, т.е. без участия пользователя.
Интеграция с ЕСИА
В целях предоставления государственных услуг, межведомственного взаимодействия, организации доступа к информации в сети Интернет (Постановления Правительства №977, №584, №451).
Кредитные организации, микрофинансовые организации
Для регистрации гражданам учетных записей в ЕСИА, а также для регистрации выпущенных сертификатов квалифицированной электронной подписи (63-ФЗ «Об электронной подписи»).
Операторы связи
Для идентификации абонентов при подключении к публичным Wi-Fi-сетям (149-ФЗ «Об информации, информационных технологиях и о защите информации»).
Наши решения и услуги по интеграции с ЕСИА
Наиболее быстрый и простой способ подключения всех веб-сайтов организации к ЕСИА для идентификации пользователей с применением современных способов взаимодействия с ЕСИА по протоколам OpenID Connect 1.0 / OAuth 2.0. ESIA-Bridge поддерживает работу с цифровым профилем.
Подключение мобильных приложений к ЕСИА
Хотите в вашем мобильном приложении сделать такую же интеграцию, как в официальном мобильном приложении Госуслуги? Пользователи смогут привязать мобильное приложение к своей учетной записи ЕСИА и предоставить приложению доступ к свежим сведениям своей учетной записи ЕСИА.
Ведение профиля пользователя ЕСИА из сторонних приложений
Вы можете предоставить пользователям ваших веб-сайтов возможность обновить сведения в их учетной записи ЕСИА, так, чтобы они не покидали при этом ваш сайт и не вводили повторно о себе сведения в ЕСИА.
Готовое решение для идентификации в Wi‑Fi сетях
Готовое решение по идентификации абонентов при доступе к публичным Wi-Fi точкам доступа, построенным на основе распространенных роутеров MikroTik.
Интеграция с ЕСИА по SAML 2. 0 / OpenID Connect с использованием бесплатных библиотек
Не важно, какие фреймворки и среды разработки используются в вашей системе. Мы решим все организационные и технические вопросы, которые у вас возникнут при интеграции с ЕСИА с использованием SAML 2.0 или OAuth 2.0 / OpenID Connect.
Мы также предоставим возможность отладки в нашей собственной среде-эмуляторе ЕСИА и обеспечим создание необходимых тестовых данных.
Решение по обеспечению самостоятельной регистрации из Интернет-банкинга клиентов банка в ЕСИА
Клиенты интернет-банка могут самостоятельно зарегистрировать в ЕСИА свою подтвержденную учетную запись. Для этой интеграции с ЕСИА банки могут использовать наше готовое ПО.
Подключение IDM-систем к ЕСИА
Хотите разработать коннектор к вашей Identity Management системе, чтобы автоматизировать ведение сотрудников организации и их полномочий в ЕСИА? Мы предоставим все необходимые консультации по использованию соответствующих программных интерфейсов ЕСИА и тестовую среду для проведения отладки.
Почему выгодно работать с нами
Наши разработчики и инженеры заняты в разработке ПО ЕСИА с 2011 года. Мы знаем все нюансы и особенности работы ЕСИА. Также за это время наши инженеры обеспечили поддержку интеграции с ЕСИА более 100 различных систем.
Экономия средств и времени
С использованием наших решений вы существенно сэкономите рабочее время своих программистов и аналитиков. Интеграция отнимет пару недель, а не месяцы.
Качественная поддержка
Мы предоставляем всю необходимую техническую и организационную поддержку. Также мы предоставляем доступ к нашей собственной среде‑эмулятору ЕСИА, и создаем необходимые тестовые данные.
Участие РЕАК СОФТ в проекте разработки ПО ЕСИА
Заинтересовались нашими решениями или хотите получить подробную информацию?
Единая система идентификации и авторизации (ЕСИА) – это единственный способ верифицировать личность пользователя. Если продукт работает с деньгами, решает юридические задачи или работает с медицинскими данными, без интеграции с ЕСИА не обойтись. Рассказываем, что нужно знать, чтобы работать с этой инфраструктурой.
ЕСИА появилась в 2010 году и изначально использовалась для авторизации на Портале госуслуг. За прошедшее время возможности системы постоянно развивались, и сегодня коммерческие организации используют её, чтобы связывать учётные записи пользователя с их оффлайн-личностью.
То есть если компании нужно удостовериться, что по ту сторону экрана действительно тот человек, которым представился пользователь, ЕСИА предоставляет такую возможность. И самое главное – эта идентификация имеет юридическую значимость.
Какие возможности открывает такая идентификация
1. Клиент может подписывать юридически значимые электронные документы, получать защищённый доступ к конфиденциальной информации, медицинским данным и т.д.
2. Появляется возможность автоматически заполнять в анкетах и заявках персональные данные клиента: ФИО, данные паспорта, ИНН, информация о детях и др. При этом компания может быть уверена, что эти данные абсолютно верны и правдивы.
3. Страховые компании и банки могут продавать через приложение свои продукты. И никаких расходов, которые связаны с традиционными, оффлайновыми каналами продаж – не нужно собирать документы, приглашать человека в офис, достаточно разработать скрипт для колл-центра.
4. Для пользователя верификация с ЕСИА повышает доверие к сервису и делает саму процедуру удобнее – не нужно помнить дополнительные пароли, просто нажимаешь знакомую кнопку и всё.
В наших проектах интеграция ЕСИА активно используется в продуктах страховых компаний. Это позволяет клиентам покупать полисы ОСАГО, отправлять извещения о ДТП при оформлении заявок на урегулирование убытков. Это критически важная функция для сценариев заявления о страховых случаях по ОСАГО, когда пользователь не является клиентом данной страховой компании.
Хотя сейчас к ЕСИА могут подключиться не все организации, можно ожидать, что такая авторизация скоро станет де-факто стандартом для пользовательских сервисов. Просто потому, что это надёжно и удобно для клиентов – вместо отдельной учётной записи для каждого ресурса можно использовать единый аккаунт «Госуслуг» и бесшовно пользоваться любыми нужными услугами. Поэтому задумываться об интеграции стоит всем компаниям.
Как информационная система работает с ЕСИА
ЕСИА является прослойкой между стандартным содержанием приложения и его защищёнными данными. Если пользователю не требуются услуги, которые требуют верификации личности, он может не проходить дополнительную авторизацию. Когда же он захочет попасть в этот раздел, приложение переадресует его на Портал госуслуг, а после успешной авторизации – вернёт обратно.
Технически процесс выглядит так:
1. Пользователь обращается к защищённому ресурсу информационной системы (например, при онлайн-покупке полиса ОСАГО).
2. Информационная система направляет в ЕСИА запрос на аутентификацию.
4. После успешной аутентификации ЕСИА передаёт в информационную систему пакет с идентификационными данными пользователя, информацию об уровне его учётной записи и контексте аутентификации.
5. На основании этой информации система открывает пользователю доступ.
Как организации подключиться к ЕСИА
Процедура подключения занимает около месяца. Это время включает регистрацию необходимых аккаунтов, получение данных от Минцифры, работы по интеграции ИС.
1. Зарегистрируйте руководителя организации на Портале госуслуг. Регистрировать компании в ЕСИА могут только те их представители, которые вправе действовать без доверенности. Им понадобится подтверждённая учётная запись физического лица – т.е. нужно будет не только указать свои данные, но и обратиться в банк или МФЦ для верификации. В последнее время многие банки позволяют сделать это онлайн, через их приложения.
2. Зарегистрируйте вашу организацию.
a. Получите квалифицированную электронную подпись (КЭП) на руководителя организации.
b. Зарегистрируйте юридическое лицо в профиле ЕСИА.
c. Оформите КЭП для юридического лица.
Оформлением КЭП занимаются аккредитованные удостоверяющие центры. Подробная инструкция по этому процессу здесь.
3. Зарегистрируйте информационную систему в ЕСИА.
Регистрация системы происходит через технологический портал. Доступ к нему может получить один из сотрудников компании – действовать через аккаунт представителя уже не обязательно. Этот процесс подробно расписан в Руководстве пользователя технологического портала ЕСИА. В результате регистрации информационная система заносится в реестр ИС и получает мнемонический буквенно-цифровой код.
4. Доработайте систему для обмена данными с ЕСИА.
Аутентификация пользователей в ЕСИА происходит по OAuth 2.0 и OpenID Connect 1.0. Компании необходимо сгенерировать закрытый ключ и сертификат открытого ключа, зарегистрировать его на технологическом портале. Стоит отметить, что ЕСИА поддерживает только российские алгоритмы шифрования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
Стоит отдельно отметить, что если в компании уже используются средства верификации пользователей посредством Single Sign-On, то особых технических трудностей при подключении к ЕСИА не будет.
5. Подключитесь к тестовой среде ЕСИА
6. Подключитесь к промышленной среде ЕСИА
Cetera выполняет интеграцию с ЕСИА только в составе комплексных проектов по созданию, поддержке и развитию личных кабинетов.
Принципы работы пользовательской идентификации
Чтобы получить доступ к полному пакету услуг после прохождения регистрации, нужно пройти идентификацию. Новые пользователи чаще всего не знают, что такое авторизация и как ее пройти через ЕСИА на сайте. ЕСИА – это единственный возможный способ повысить уровень созданной учетной записи. В ситуации, когда частное или юридическое лицо работает с важными документами, денежными оборотами, без использования ЕСИА обойтись невозможно. Чтобы пройти успешную интеграцию, важно выполнить несколько моментов.
Первоначально предполагалось, что ЕСИА будет использоваться исключительно для идентификации и авторизации на портале Госуслуги. Система появилась в 2010-ом году. Система постоянно развивалась, и ее стали использовать коммерческие организации, чтобы связать учетные записи с личностью в офлайн режиме.
Как авторизоваться на площадке
Новым пользователям нужно предварительно пройти регистрацию, выполняя несколько шагов:
• перейти на официальный сайт Госуслуг и нажать на кнопку «регистрация»;
• в стандартной форме необходимо указать данные: ФИО, номер телефона, адрес электронной почты, адрес; далее подтвердить ввод данных;
• указать в соответствующем поле код подтверждения, отправленный на номер мобильного.
Чтобы у начинающих пользователей не возникало вопросов, стоит подробно разобрать данный вопрос.
Вход в личный кабинет для частных лиц
После прохождения регистрации пользователю становится доступно посещение государственных и частных учреждений: налоговой инспекции, ПФР, ГИС, ЖКХ.
Вход с использованием номера телефона
Авторизоваться в системе можно через стандартный веб-ресурс или посредством мобильного приложения. Для этого необходимо в специальную форму для входа вписать номер телефона и созданный пароль.
Авторизация через СНИЛС
Альтернативный способ авторизации через Госуслуги. Номер СНИЛС состоит из 11 цифр. Пароль остается идентичным, как и в случае со входом по номеру телефона. При этом разницы, каким образом авторизоваться на портале, не существует. При использовании СНИЛС встречаются следующие трудности:
• при регистрации была допущена ошибка в номере;
• СНИЛС не действителен;
• если была смена фамилии, а СНИЛС не был изменен.
Если данные аспекты отсутствуют, то СНИЛС возможно использовать для авторизации.
С использованием ЭЦП
Является наиболее безопасным способом при авторизации. Данный вариант могут использовать не только физические, но и юридические лица. Подпись значительно упрощает процесс работы на портале Госуслуг. Но предварительно нужно создать электронную цифровую подпись и установить специальное программное обеспечение, чтобы распознавался ключ.
Чтобы авторизоваться в системе этим методом, рекомендуется выполнить следующие действия:
• среди имеющегося списка выбрать ЭЦП;
• система автоматически запросит диск, карту или флешку, либо другой носитель, на котором должна быть записана информация о ключе;
• как только идентификация пройдена, пользователю будут доступны функциональные возможности кабинета.
Какие функциональные возможности дает идентификация
Авторизация через Госуслуги дает возможность использования личного кабинета. В зависимости от того, была ли пройдена идентификация, предлагается набор функциональных возможностей. При прохождении полной процедуры пользователи могут:
• подписывать документы в электронном формате, иметь доступ к конфиденциальным и медицинским данным;
• заполнять анкеты и заявления с автоматическим проставлением персональных данных: ФИО, сведения из паспорта, ИНН, информация о детях. При этом нет необходимости каждый раз проверять достоверность указанных данных;
• будет полезен личный кабинет не только для частных пользователей, но и для юридических лиц;
• для частных пользователей идентификация является гарантом хранения данных в конфиденциальном порядке. Также не потребуется запоминать пароли.
Какие существуют виды учетной записи
Когда пользователь регистрируется на портале Госуслуг, появляется личный кабинет, где можно оплачивать судебные задолженности и штрафы, получать справки в электронном формате, что позволяет избежать очередей в МФЦ. Уровень учетной записи зависит от того, какое количество информации будет указано в анкете. Чем подробнее будет заполнена анкета, тем больше функциональных возможностей будет предоставлено:
• при прохождении формальной регистрации, где необходимо указать ФИО, мобильный номер телефона и адрес электронной почты, учетной записи будет присвоен статус Упрощенной;
• стандартная учетная запись присваивается при указании в личном кабинете паспортных данных и СНИЛС;
• подтвержденная запись имеет наиболее высокий статус. Для этого идентификацию можно пройти через онлайн-банк Сбербанка, ТКС, Альфа-Банка или ВТБ, либо лично посетить отделение МФЦ.
Восстановление пароля
Нередко пользователь сталкивается с ситуацией, когда пароль от личного кабинета может быть утерян. Восстановление данных – это довольно простая процедура. Под формой входа на главной странице есть функция «забыли пароль». Системой автоматически будет предложено несколько вариантов: с использованием мобильного номера телефона, посредством ввода данных из паспорта, СНИЛС, ИНН.
После того, как информация будет указана, пользователю, зарегистрированному в системе, будет направлено смс сообщение с одноразовым паролем для входа. Далее нужно перейти в настройки и задать новую комбинацию для входа. В среднем, процедура занимает 15-20 минут и не предполагает каких-либо сложностей.
Какие возможности приобретают зарегистрированные пользователи
Сервис Госуслуги дает широкие функциональные возможности:
• поставить бронь на роспись в ЗАГСе, запросить копию свидетельства о рождении;
• отправить заявку на оформление нового загранпаспорта;
• поставить транспортное средство на учет;
• получить справку о несудимости;
• поставить ребенка на очередь в детский сад;
• оплачивать услуги ЖКХ;
• запрашивать выписки из налоговой, ПФР.
Большинство услуг возможно получить в дистанционном режиме, не выходя из дома.