Спецификация esia и инструкции по взаимодействию (API)

от 28 ноября 2011 г. N 977

Общие положения

Взаимодействие клиентской системы с сервисами шлюза, обеспечивающими идентификацию пользователей через ЕСИА, происходит через стандартный протокол OAuth 2.0/OpenID Connect. Авторизация в ЕСИА происходит, в данном случае, как обычная OAuth авторизация.

Для работы с данным протоколом имеются готовые открытые реализации под большинство популярных программных платформ.

Чтобы начать работу с ЕСИА Шлюзом необходимо интегрировать в целевую информационную систему одно из готовых средств, реализующих работу с протоколом OAuth 2.0.

Спецификация OpenID Connect

В соответствии с ч. 19 и ч. 21 ст. 14.1 Федерального закона от 27.07.2006 №149-ФЗ “Об информации, информационных технологиях и о защите информации” для обеспечения защиты передаваемых биометрических персональных данных от актуальных угроз безопасности должны применяться сертифицированные средства криптографии (шифрования). Таким образом каждый пользователь, инициирующий (по средством браузера) соединение, с целью проведения процедур биометрической идентификации должен быть уведомлён о необходимости установки российских сертифицированных средств криптографической защиты если таковые не были установлены в его браузере. В случае отказа пользователя от использования российских сертифицированных средств криптографической защиты его необходимо уведомить о рисках перехвата биометрических персональных данных злоумышленником, для дальнейшего их использования в мошеннических целях.

Браузеры, поддерживающие российские сертифицированные средства криптографической защиты:

  • Яндекс.Браузер версии 19.3. и выше
  • Спутник версии 4.1 и выше
  • Internet Explorer версии 11.0.9600 и выше
  • КриптоПРО CSP 5.0
  • ViPNet CSP Win 4.4 Windows RUS

Контроль использования российских сертифицированных средств криптографической защиты возлагается на клиентскую систему (КИС), являющуюся стороной, по средством которой пользователь инициирует процесс биометрической идентификации.

Схемы процесса взаимодействия между Клиентской ИС, ЕСИА Шлюзом и ЕСИА/ЕБС/ЦПГ

ЕСИА Шлюз не хранит персональные данные пользователей в базе данных. Передача персональных данных пользователя происходит через защищенный по https канал связи.

ЕСИА Шлюз хранит только транспортную информацию (scopes, redirect_uri, время запроса, авторизационный код ЕСИА) и SHA-512 от ФИО и СНИЛСа пользователя. Эти данные необходимы для обработки внештатных ситуаций, таких как составление заявки в службу поддержку ЕСИА и реагирование на запросы правоохранительных органов и не являются персональными данными.

Технические подробностиПравить

Например, сценарий идентификации и аутентификации выглядит следующим образом:

  • Пользователь обращается к защищённому ресурсу информационной системы (например, ведомственному или региональному порталу государственных услуг).
  • Информационная система направляет в ЕСИА запрос на аутентификацию.
  • ЕСИА проверяет наличие у пользователя открытой сессии и, если активная сессия отсутствует, проводит его аутентификацию. Для этого ЕСИА направляет пользователя на веб-страницу аутентификации ЕСИА. Заявитель проходит идентификацию и аутентификацию, используя доступный ему метод аутентификации.
  • Если пользователь успешно аутентифицирован, то ЕСИА передаёт в информационную систему набор утверждений, содержащих идентификационные данные пользователя, информацию о контексте аутентификации, в том числе данные об уровне достоверности идентификации.

Для осуществления аутентификации пользователей в ведомственной ИС посредством ЕСИА необходимо выполнить следующее:

  • С помощью веб-интерфейса ЕСИА осуществляется регистрация учётной записи руководителя организации и учётной записи юридического лица (органа государственной власти).
  • С помощью веб-интерфейса Технологического портала ЕСИА регистрируется учётная запись информационной системы.
  • Генерируется закрытый ключ и сертификат открытого ключа (в одном из аккредитованных удостоверяющих центрах).
  • С помощью веб-интерфейса Технологического портала ЕСИА загружается сертификат информационной системы.
  • Направляется заявка на подключение ИС к тестовой среде ЕСИА;
  • Производится отладка взаимодействия;

СсылкиПравить

2013 — Постановлением Правительства Российской Федерации от 25 января 2013 года № 33 «Об использовании простой электронной подписи при оказании государственных и муниципальных услуг» предусмотрено создание в ЕСИА регистра органов и организаций, имеющих право создания (замены) и выдачи ключа простой электронной подписи в целях оказания государственных и муниципальных услуг. Однако информация о сроках исполнения данного постановления и появлении соответствующих функциональных возможностей в ЕСИА отсутствует.

ТРЕБОВАНИЯ
К ФЕДЕРАЛЬНОЙ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ
“ЕДИНАЯ СИСТЕМА ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ
В ИНФРАСТРУКТУРЕ, ОБЕСПЕЧИВАЮЩЕЙ
ИНФОРМАЦИОННО-ТЕХНОЛОГИЧЕСКОЕ ВЗАИМОДЕЙСТВИЕ ИНФОРМАЦИОННЫХ
СИСТЕМ, ИСПОЛЬЗУЕМЫХ ДЛЯ ПРЕДОСТАВЛЕНИЯ ГОСУДАРСТВЕННЫХ
И МУНИЦИПАЛЬНЫХ УСЛУГ В ЭЛЕКТРОННОЙ ФОРМЕ”

Список изменяющих документов

(в ред. Постановлений Правительства РФ от 14.09.2012 N 928,

от 25.01.2013 N 33, от 28.10.2013 N 968, от 09.12.2013 N 1135,

от 30.06.2018 N 772, от 20.11.2018 N 1391, от 19.08.2020 N 1259,

от 23.12.2020 N 2249, от 24.06.2021 N 982, от 04.02.2022 N 111,

от 14.05.2022 N 875, от 21.10.2022 N 1879)

1. Федеральная государственная информационная система “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме” (далее – единая система идентификации и аутентификации) должна обеспечивать санкционированный доступ участников информационного взаимодействия в единой системе идентификации и аутентификации (далее – участники информационного взаимодействия) к информации, содержащейся в государственных информационных системах, муниципальных информационных системах и иных информационных системах.

(п. 1 в ред. Постановления Правительства РФ от 19.08.2020 N 1259)

(см. текст в предыдущей редакции)

2. Санкционированный доступ к информации, содержащейся в государственных и муниципальных информационных системах, должен предоставляться с использованием единой системы идентификации и аутентификации.

Санкционированный доступ к информации, содержащейся в иных информационных системах, может предоставляться с использованием единой системы идентификации и аутентификации при условии, что такие информационные системы подключены к единой системе идентификации и аутентификации в порядке, установленном Правительством Российской Федерации.

(п. 2 в ред. Постановления Правительства РФ от 23.12.2020 N 2249)

3. Санкционированный доступ с использованием единой системы идентификации и аутентификации к информации, содержащейся в государственных, муниципальных и иных информационных системах, должен осуществляться посредством использования простых электронных подписей и усиленных квалифицированных электронных подписей в порядке, устанавливаемом Правительством Российской Федерации, следующими участниками информационного взаимодействия:

должностные лица федеральных органов исполнительной власти, государственных внебюджетных фондов, исполнительных органов субъектов Российской Федерации, органов местного самоуправления, государственных и муниципальных учреждений, многофункциональных центров предоставления государственных и муниципальных услуг (далее – многофункциональные центры), а также иных организаций в случаях, предусмотренных федеральными законами, актами Президента Российской Федерации и актами Правительства Российской Федерации;

заявители – физические и юридические лица.

Санкционированный доступ заявителей – физических лиц и заявителей – юридических лиц с использованием единой системы идентификации и аутентификации к информации, содержащейся в федеральной государственной информационной системе “Единый портал государственных и муниципальных услуг (функций)” (далее – единый портал), помимо способов, указанных в абзаце первом настоящего пункта, может осуществляться посредством аутентификации с использованием единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее – единая биометрическая система).

Больше проверок:  План проверок на сайте генпрокуратуры на 2024 год

(п. 3 в ред. Постановления Правительства РФ от 21.10.2022 N 1879)

3(1). Физические и юридические лица вправе посредством личного кабинета на едином портале установить возможность получать с использованием единой системы идентификации и аутентификации санкционированный доступ к информации, содержащейся в государственных, муниципальных и иных информационных системах, посредством дополнительной аутентификации одним из следующих способов:

(в ред. Постановления Правительства РФ от 21.10.2022 N 1879)

путем дополнительного использования единой биометрической системы, за исключением случая, когда санкционированный доступ с использованием единой системы идентификации и аутентификации к информации, содержащейся на едином портале, осуществляется посредством аутентификации заявителя с использованием единой биометрической системы в соответствии с абзацем четвертым пункта 3 настоящих требований;

путем дополнительного использования кода подтверждения, направленного физическому или юридическому лицу на пользовательское оборудование (оконечное оборудование), имеющее в своем составе идентификационный модуль, одним из способов, указанных им в личном кабинете на едином портале, в том числе путем направления кода подтверждения в виде короткого текстового сообщения на указанный таким физическим или юридическим лицом в соответствующем регистре единой системы идентификации и аутентификации абонентский номер, выделенный оператором подвижной радиотелефонной связи.

Физические и юридические лица также вправе с использованием личного кабинета на едином портале отказаться от установленной ими возможности получения санкционированного доступа к информации, содержащейся в государственных, муниципальных и иных информационных системах, способами, определенными ими в соответствии с настоящим пунктом.

(п. 3(1) введен Постановлением Правительства РФ от 14.05.2022 N 875)

4. Единая система идентификации и аутентификации должна обеспечивать взаимодействие государственных информационных систем, муниципальных информационных систем и иных информационных систем, которые используются участниками информационного взаимодействия.

(в ред. Постановления Правительства РФ от 19.08.2020 N 1259)

5. Единая система идентификации и аутентификации должна обеспечивать осуществление следующих основных функций:

а) идентификация участников информационного взаимодействия – сравнение идентификатора, вводимого участником информационного взаимодействия в любую из информационных систем, указанных в пункте 4 настоящих требований, с идентификатором этого участника в информационных системах, содержащих уникальные сведения о физическом лице, на ведение которых федеральные органы исполнительной власти, органы государственных внебюджетных фондов уполномочены в соответствии с федеральными законами, актами Президента Российской Федерации и актами Правительства Российской Федерации;

(в ред. Постановлений Правительства РФ от 23.12.2020 N 2249, от 24.06.2021 N 982)

б) аутентификация участников информационного взаимодействия – проверка принадлежности участнику информационного взаимодействия введенного им идентификатора, а также подтверждение подлинности идентификатора;

в) авторизация участников информационного взаимодействия – подтверждение наличия у участника информационного взаимодействия прав на получение доступа к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме;

г) формирование перечня прошедших идентификацию и аутентификацию информационных систем, указанных в пункте 4 настоящих требований, участников информационного взаимодействия, органов и организаций, а также их идентификаторов в регистрах единой системы идентификации и аутентификации;

д) создание пароля ключа простой электронной подписи для физических и юридических лиц в порядке, предусмотренном Правилами использования простой электронной подписи при оказании государственных и муниципальных услуг, утвержденными постановлением Правительства Российской Федерации от 25 января 2013 г. N 33 “Об использовании простой электронной подписи при оказании государственных и муниципальных услуг”;

(пп. “д” в ред. Постановления Правительства РФ от 23.12.2020 N 2249)

е) автоматическое предоставление по запросу органов и организаций, имеющих право на создание (замену) и выдачу ключей простой электронной подписи в целях оказания государственных и муниципальных услуг, пароля ключа простой электронной подписи для физического или юридического лица;

(пп. “е” введен Постановлением Правительства РФ от 25.01.2013 N 33)

ж) автоматическое предоставление по запросу государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций, индивидуальных предпринимателей и нотариусов сведений, размещенных в единой системе идентификации и аутентификации, в целях идентификации и (или) аутентификации физического лица в соответствии с частями 18 и 18.2 статьи 14.1 Федерального закона “Об информации, информационных технологиях и о защите информации”;

(пп. “ж” в ред. Постановления Правительства РФ от 24.06.2021 N 982)

з) автоматическое обновление сведений, содержащихся в единой системе идентификации и аутентификации, посредством получения сведений о физическом лице в целях их обновления из государственных информационных систем;

(пп. “з” в ред. Постановления Правительства РФ от 24.06.2021 N 982)

и) предоставление по запросу государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций, индивидуальных предпринимателей и нотариусов с согласия физического лица сведений о нем, размещенных в единой системе идентификации и аутентификации, в целях обновления информации об указанном лице, идентифицированном и (или) аутентифицированном в соответствии с частями 18 и 18.2 статьи 14.1 Федерального закона “Об информации, информационных технологиях и о защите информации”;

(пп. “и” в ред. Постановления Правительства РФ от 24.06.2021 N 982)

к) обеспечение физическим лицам, достигшим возраста 14 лет, и юридическим лицам возможности при их волеизъявлении получения с использованием единой системы идентификации и аутентификации из информационных систем органов и организаций относящейся к ним информации (в том числе документированной), используемой в процессе предоставления государственных и муниципальных услуг, выполнения государственных и муниципальных функций (включая результаты оказания государственных и муниципальных услуг, выполнения государственных и муниципальных функций) (далее – необходимые сведения), а физическим лицам также получения необходимых сведений, относящихся к несовершеннолетним, законными представителями которых они являются;

(пп. “к” в ред. Постановления Правительства РФ от 04.02.2022 N 111)

л) предоставление органам и организациям, подключенным в порядке, предусмотренном Правительством Российской Федерации, к единой системе идентификации и аутентификации, необходимых сведений, содержащихся в единой системе идентификации и аутентификации, с согласия физического или юридического лица, если иное не предусмотрено федеральными законами Российской Федерации;

(пп. “л” введен Постановлением Правительства РФ от 23.12.2020 N 2249)

м) обеспечение возможности корректировки информации о физических или юридических лицах в государственных, муниципальных и иных информационных системах в случае ее недостоверности и (или) неточности;

(пп. “м” введен Постановлением Правительства РФ от 23.12.2020 N 2249)

н) автоматическое заполнение заявлений, форм и иных документов, используемых для предоставления государственных и муниципальных услуг, выполнения государственных и муниципальных функций на основании информации, содержащейся в единой системе идентификации и аутентификации, о физических и юридических лицах;

(пп. “н” введен Постановлением Правительства РФ от 23.12.2020 N 2249)

Больше проверок:  Мораторий на проверки продлён до конца 2024 года

о) предоставление физическим лицам, достигшим возраста 14 лет, и юридическим лицам на основании их запросов сведений о фактах обмена информацией о них между участниками информационного взаимодействия, а также предоставление физическим лицам на основании их запросов сведений о фактах обмена информацией о несовершеннолетних, законными представителями которых они являются;

(пп. “о” в ред. Постановления Правительства РФ от 04.02.2022 N 111)

п) обеспечение возможности физическому лицу, в том числе несовершеннолетнему, достигшему возраста 14 лет или иного возраста, при наступлении которого законодательством Российской Федерации разрешается принятие им решений, порождающих юридические последствия или иным образом затрагивающих его права и законные интересы, в пределах установленного законодательством Российской Федерации объема дееспособности предоставлять и отзывать согласие на обработку своих персональных данных при предоставлении органам и организациям, подключенным в порядке, предусмотренном Правительством Российской Федерации, к единой системе идентификации и аутентификации, доступа к информации о физическом лице, предоставлять и отзывать согласия на совершение иных действий, в том числе юридически значимых, с использованием государственных, муниципальных и иных информационных систем, а также хранение указанных согласий. В отношении несовершеннолетних предоставление и отзыв согласий, указанных в настоящем подпункте, посредством единой системы идентификации и аутентификации может осуществляться их законными представителями;

(пп. “п” в ред. Постановления Правительства РФ от 04.02.2022 N 111)

р) организация взаимодействия с подсистемой единого личного кабинета на едином портале;

(пп. “р” введен Постановлением Правительства РФ от 23.12.2020 N 2249; в ред. Постановления Правительства РФ от 14.05.2022 N 875)

с) обеспечение возможности для участника информационного взаимодействия передачи другим участникам информационного взаимодействия полномочий на подачу с использованием единого портала заявлений на оказание государственных и муниципальных услуг в электронном виде, получение с использованием единого портала результатов предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме, получение уведомлений, судебных извещений и актов, процессуальных документов и иных сообщений, в том числе юридически значимых, посредством единого портала, осуществление оплаты государственной пошлины и иных платежей с использованием единого портала, а также на совершение иных действий, в том числе юридически значимых, с использованием государственных, муниципальных и иных информационных систем в соответствии с законодательством Российской Федерации;

(пп. “с” введен Постановлением Правительства РФ от 23.12.2020 N 2249)

т) иные функции, установленные федеральными законами, актами Президента Российской Федерации и актами Правительства Российской Федерации.

(пп. “т” введен Постановлением Правительства РФ от 23.12.2020 N 2249)

6. Единая система идентификации и аутентификации должна включать в себя следующие регистры:

а) регистр физических лиц;

б) регистр юридических лиц;

в) регистр должностных лиц органов и организаций, предусмотренных абзацем вторым пункта 3 настоящих требований;

г) регистр органов и организаций – федеральных органов исполнительной власти, государственных внебюджетных фондов, исполнительных органов субъектов Российской Федерации, органов местного самоуправления, государственных и муниципальных учреждений, многофункциональных центров, а также иных организаций в случаях использования единой системы идентификации и аутентификации, предусмотренных федеральными законами, актами Президента Российской Федерации и актами Правительства Российской Федерации;

(в ред. Постановлений Правительства РФ от 19.08.2020 N 1259, от 21.10.2022 N 1879)

д) регистр информационных систем;

е) регистр органов и организаций, имеющих право создания (замены) и выдачи ключа простой электронной подписи в целях оказания государственных и муниципальных услуг.

6(1). Единая система идентификации и аутентификации должна обеспечивать возможность применения различных методов идентификации пользователей при обеспечении доступа к информации, содержащейся в регистрах, и информации, содержащейся в государственных и муниципальных информационных системах, предусмотренной пунктом 1 настоящих требований, с учетом реализуемых посредством указанной системы полномочий пользователей и целей доступа к этой информации.

(п. 6(1) введен Постановлением Правительства РФ от 28.10.2013 N 968)

7. Виды идентификаторов, используемых в регистрах единой системы идентификации и аутентификации, определяются в соответствии с положением о федеральной государственной информационной системе “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме”, утверждаемым Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации.

(в ред. Постановлений Правительства РФ от 14.09.2012 N 928, от 20.11.2018 N 1391, от 23.12.2020 N 2249)

7(1). Единая система идентификации и аутентификации в целях направления общественных инициатив и голосования за них с использованием интернет-ресурса “Российская общественная инициатива” должна обеспечивать доступ к этому интернет-ресурсу исключительно гражданам Российской Федерации, прошедшим в указанной системе процедуру регистрации, осуществление которой сопровождалось предъявлением основного документа, удостоверяющего личность, и внесением информации о таком способе установления личности в соответствующий регистр этой системы.

При этом документ, удостоверяющий личность, считается предъявленным в том числе при обращении за получением государственной (муниципальной) услуги, предусматривающей личное присутствие заявителя на любом из этапов получения такой услуги. Внесение информации, указанной в абзаце первом настоящего пункта, осуществляется в соответствии с положением о федеральной государственной информационной системе “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме”, утвержденным Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации.

(в ред. Постановления Правительства РФ от 20.11.2018 N 1391)

(п. 7(1) введен Постановлением Правительства РФ от 28.10.2013 N 968)

8. Единая система идентификации и аутентификации должна обеспечивать защиту размещенной в ней информации в соответствии с законодательством Российской Федерации.

Взаимодействие с сервисами шлюза

В данном разделе приводится пошаговое взаимодействие клиентской системы и шлюза, доступного по адресу https://gate.esia.pro/ В качестве клиентской ИС рассматривается система с идентификатором a4fb804bfdf54df4f4da7faae24375e6, секретом 6cd6a2bd732bb66fed6ff7fd7ca2442ccc316a8e6764cbea4e8ad589407a4c28 и путем возврата https://ya.ru

Общее описание HTTP API предоставляемого со стороны ЕСИА Шлюза

Для инициации процесса идентификации и аутентификации пользователей через ЕСИА необходимо сформировать авторизационный запрос и передать его на соответствующий URL шлюза. Для пользователя с вышеуказанными параметрами ссылка будет иметь следующий вид.

Для получения данных об организации требуется

Указать в параметре scope необходимые значения, соответствующие методическим рекомендациям ( допустимые значения scope приведены в таблице ниже ).
Согласно регламенту ЕСИА scope org_# нужно формировать запросом вида scope=“http://esia.gosuslugi.ru/org_emps?org_oid=1000000357”
На странице 237 регламента есть информация про org_# и формирование запроса.

Сначала необходимо сформировать первичный запрос для получения идентификатора организации ЕСИА.
Первый запрос на получение списка компаний и идентификатора:

После получения идентификатора, необходимо отправить запрос на получение данных организации.
На пример запрос на получение Инн по компании:

Больше проверок:  Комплексная процедура проверки цеха для обеспечения качества и безопасности

Для идентификации пользователя через ЕБС требуется:

  • Изменить значение параметра provider на ebs_oauth;
  • В параметре scope указать openid bio.

Для получения данных Цифрового профиля требуется:

  • Изменить значение параметра provider на cpg_oauth;
  • В параметре scope указать openid;
  • указать опциональный параметр responsible_object – Иванов Иван Иванович.

Должна получиться ссылка вида:

https://demo.gate.esia.pro/auth/authorize?client_id=a4fb804bfdf54df4f4da7faae24375e6response_type=codescope=openidredirect_uri=https://ya.ruprovider=cpg_oauthpermissions=fullnamepurposes=CREDITsysname=CREDITactions=ALL_ACTIONS_TO_DATAexpire=3responsible_object=Иванов Иван Ивановичstate=1a73f168-4485-11ed-b878-0242ac120002

Для запроса нескольких целей согласия нужно указать их в запросе в параметре purposes=
Должна получиться ссылка следующего вида:

В случае успешной авторизации произойдет редирект на url следующего вида

где, в параметре code передается авторизационный код.

В случае возникновения ошибки будет редирект на url возврата с указанием ошибки

где, в параметрах error и error_description хранится информация об ошибке.

Получение токена доступа (Обмен авторизационного кода на токен доступа)

  • grant_type – тип авторизационного кода (допустимое значение authorization_code);
  • redirect_uri – путь возврата специфичный для конкретного клиента;
  • client_id – идентификатор клиента;
  • code – авторизационный код;
  • client_secret – секрет клиента.

На предыдущем шаге после успешной авторизации в ЕСИА был получен авторизационный код, который следует обменять на токен доступа (access_token) для его последующего использования при получении пользовательских данных. Один код можно обменять только на один токен. Для этого отправляем POST запрос на url

со следующими параметрами запроса:

  • grant_type=authorization_code;
  • redirect_uri=https://ya.ru – путь возврата специфичный для конкретного клиента;
  • client_id=a4fb804bfdf54df4f4da7faae24375e6 – идентификатор клиента;
  • code – авторизационный код;
  • client_secret=6cd6a2bd732bb66fed6ff7fd7ca2442ccc316a8e6764cbea4e8ad589407a4c28 – секрет клиента.

Пример запроса получения access_token:

curl POST https://demo.gate.esia.pro/auth/token

Будет получен следующий ответ.

В поле access_token находится токен доступа.

Получение данных пользователя

Для получения данных отправляется GET или POST запрос на url

со следующими заголовками запроса:

Пример запроса на получение данных:

На основе полученного токена доступа шлюз предоставляет клиентским системам доступ к областям данных из защищённого хранилища ЕСИА.

ВАЖНО! В соответствии с законодательством перечень скоупов доступных для клиентских систем шлюза может быть ограничен. Поэтому, прежде чем указывать перечень скоупов в запросе к шлюзу, необходимо сверить этот перечень с перечнем скоупов указанным в заявке на подключение к тестовой/промышленной ЕСИА.

Полный перечень скоупов и соответствующих им данных, которые могут быть запрошены из защищённого хранилища ЕСИА можно найти в методических рекомендациях по использованию ЕСИА.

Получение согласий пользователя из Цифрового профиля

На основе полученного токена доступа шлюз предоставляет список всех согласий пользователя, выданных клиентской системе.

Получение документов из Цифрового профиля

Запрос документов происходит так же, как и запрос других данных – путем указания нужного scope. Но в случае запроса документа ответ может поступить не сразу, а в течении некоторого времени.
В случае, если сведение запрошено в ведомстве и ответ еще не поступил, возвращается
идентификатор этого запроса и идентификатор пользователя (oid). С помощью идентификатора
запроса осуществляется процесс обработки персональных данных. Для возможности получения
сведения о документах необходимо обновить запрос. Для типа документа
INCOME_REFERENCE (Справка о доходах и суммах налога физического лица (форма 2-НДФЛ))
дополнительно указывается параметр year – год, за который успешно получена справка 2-НДФЛ
в ведомстве.
В случае, если у пользователя нет информации по следющим сведениям: FID_BRTH_CERT,
OLD_BRTH_CERT, RF_BRTH_CERT, MARRIED_CERT, DIVORCE_CERT,
NAME_CHANGE_CERT и FATHERHOOD_CERT, то в ответе на запрос вернется ошибка 404.
Перечень параметров, которые возвращаются по каждому типу документа (doc_type),
приведены в разделе 7.2 методических рекомендаций.

Выписка с данными в исходном виде

Получение данных о документах в исходном виде происходит так же путем указания scope.
Сервис доступен для типов документов VEHICLE_INFO (Выписка
о транспортном средстве по владельцу), ILS_PFR (Cведения о состоянии индивидуального
страхового счета застрахованного лица), PAYOUT_INCOME (Сведения о доходах
физического лица и о выплатах страховых взносов, произведенных в пользу физического
лица). Но в случае запроса данных ответ может поступить не сразу, а в течении некоторого времени.
В случае, если сведение запрошено в ведомстве и ответ еще не поступил, возвращается
идентификатор этого запроса и идентификатор пользователя (oid). С помощью идентификатора
запроса осуществляется процесс обработки персональных данных. Для возможности получения
сведения о выписки транспортого средства по владельцу необходимо обновить запрос. Перечень
параметров, которые возвращаются по каждому типу документа (doc_type), приведен в разделе
7.2 методических рекомендаций.

Пример ответа в случае запроса openid и fullname из защищённого хранилища ЕСИА:

Выход из системы ЕСИА

  • client_id=a4fb804bfdf54df4f4da7faae24375e6 – идентификатор клиента;
  • redirect_uri=https://ya.ru/callback – путь возврата специфичный для конкретного клиента, на который будет перенаправлен пользователь;
  • state – набор случайных символов, имеющий вид 128 битного идентификатора запроса, сформированного по стандарту UUID. Должен отличаться от набора, использованного для получения авторизационного кода. Необходим для предотвращения CSRF атак.

Для получения данных отправляется GET запрос

Для инициации процесса выхода из системы ЕСИА необходимо сформировать авторизационный запрос и передать его на соответствующий URL шлюза. Для пользователя с вышеуказанными параметрами ссылка будет иметь следующий вид:

ВАЖНО! Путь возврата пользователя обязательно должен быть указан в соответствующей КИС

Также, необходимо добавить на тех.портал ЕСИА url вида https://gate.esia.pro/auth/esia_oauth/logout_callback

После завершения сессии в системе ЕСИА пользователь будет перенаправлен на адрес, указанный в параметре redirect_uri

Доступ к сервисам шлюза

Для доступа к сервисам шлюза необходимо с помощью функциональных инструментов его административной панели создать КИС, указав в её параметрах «Пути возврата» – URL-адрес(а) клиентской ИС (потребителя идентификации), на которые шлюз будет отвечать после выполнения авторизации.

Для доступа к сервисам шлюза потребуются следующие реквизиты:

  • адрес шлюза (например, адрес демо стенда RNDSOFT https://gate.esia.pro/);
  • идентификатор клиента (например, a4fb804bfdf54df4f4da7faae24375e6);
  • секрет клиента (например, 6cd6a2bd732bb66fed6ff7fd7ca2442ccc316a8e6764cbea4e8ad589407a4c28);
  • страница с конфигурацией OАuth https://gate.esia.pro/.well-known/openid-configuration

Значение идентификатора и секрета для КИС берутся из её параметров в административной панели шлюза.

Спецификация esia и инструкции по взаимодействию (API)

ЕСИА Шлюз не занимается валидацией скоупов, переданных клиентской системой. Скоупы просто передаются в ЕСИА. Поэтому .well-known/openid-configuration содержит пустой массив в scopes_supported.