FAQ по теме интеграции с ЕСИА



    Изменения в законодательстве, начинающие действовать с начала 2018 года и включающие в себя самые разнообразные области нашей с вами жизнедеятельности (закон о мессенджерах, о телемедицине и т.д.) объединяет одно – все большее проникновение информационных сервисов в нашу жизнь. Естественным является факт, что как и в реальной жизни, для получения человеком какой-либо услуги ему требуется пройти идентификацию. В офф-лайновой жизни средством авторизации является паспорт гражданина, а в он-лайн сфере таковым средством правительство решило признать ЕСИА — единая система идентификации и аутентификации.

    Вот о ней и хотелось бы поговорить. Это ознакомительная статья, можно сказать ликбез. Для знакомства людей, которые еще не знают, что при необходимости можно использовать ЕСИА у себя в проектах и идти в ногу со временем вместе с государством. И так, что же это за зверь и как его рассматривает правительство.

    Минкомсвязь России в рамках инфраструктуры электронного правительства создала и развивает Единую систему идентификации и аутентификации (ФГИС ЕСИА), цель которой — упорядочить и централизовать процессы регистрации, идентификации, аутентификации и авторизации пользователей.

    ФГИС ЕСИА:

    1. Предоставляет информационным системам решение по достоверной идентификации пользователей (физических и юридических лиц, органов государственной власти).

    Достоверность достигается за счет того, что:

    • регистрация лица в ЕСИА сопряжена с проверкой значимых для удостоверения личности критериев;
    • ЕСИА обеспечивает защиту размещённой в ней информации в соответствии с законодательством Российской Федерации.

    2. Является ориентированной на пользователя и предоставляет возможности:

    • идентификации и аутентификации с использованием единой учетной записи и широкого спектра поддерживаемых методов аутентификации при доступе к различным информационным системам органов государственной власти;
    • управления своими персональными данными, размещенными в ЕСИА, и контроля над их предоставлением в информационные системы органов государственной власти.

    Основные функциональные возможности ЕСИА:

    • идентификация и аутентификация пользователей, в том числе:
      • однократная аутентификация, которая дает пользователям ЕСИА следующее преимущество: пройдя процедуру идентификации и аутентификации в ЕСИА, пользователь может в течение одного сеанса работы обращаться к любым информационным системам, использующим ЕСИА, при этом повторная идентификация и аутентификация не требуется;
      • поддержка различных методов аутентификации: по паролю, по электронной подписи, а также двухфакторная аутентификация (по постоянному паролю и одноразовому паролю, высылаемому в виде sms-сообщения);
      • поддержка уровней достоверности идентификации пользователя (упрощённая учетная запись, стандартная учетная запись, подтвержденная учетная запись).
    • ведение идентификационных данных, а именно – ведение регистров физических, юридических лиц, органов и организаций, должностных лиц органов и организаций и информационных систем;
    • авторизация уполномоченных лиц органов государственной власти при доступе к следующим функциям ЕСИА:
      • ведение регистра должностных лиц органов власти в ЕСИА;
      • ведение справочника полномочий в отношении информационной системы и предоставление пользователям ЕСИА (зарегистрированным в ЕСИА как должностные лица) полномочий по доступу к ресурсам систем, зарегистрированным в ЕСИА;
      • делегирование вышеуказанных полномочий уполномоченным лицам нижестоящих органов государственной власти.
    • ведение и предоставление информации о полномочиях пользователей в отношении информационных систем, зарегистрированных в ЕСИА.

    В данный момент подключить систему к ЕСИА может любая государственная организация, а также отдельные виды коммерческих организаций: страховые компании, кредитные организации (банки), профессиональные участники рынка ценных бумаг, негосударственные пенсионные фонды, микрофинансовые и микрокредитные организации, а также операторы связи.

    Законодательство со временем корректируется, и вместе с ним расширяется перечень организаций, которым разрешено подключиться к ЕСИА.

    Люди, не знакомые с ситуацией, при слове «государственная» сразу представляют себе каналы связи, которые необходимо защитить при помощи отечественных криптоалгоритмов со всеми вытекающими затратами, лицензиями и оборудованием. Но, как бы смешно это не было (или печально), главная площадка для идентификации в стране – работает с иностранной криптографией (а куда деваться).

    Поэтому, если вы хотите воспользоваться услугами данной платформы, то можете размещать свои ресурсы где у годно в нашей огромной стране, в том числе и в нашей инфраструктуре Cloud4Y.

    Что же может получить коммерческая организация из ЕСИА?


    Перечень доступных к получению сведений зависит от:

    1. Категории организации, подключающейся к ЕСИА
    2. Использованного способа подключения к ЕСИА

    Минкомсвязь ограничивает перечень данных, доступных коммерческим организациям. Обычно разрешают получать только сведения о ФИО, реквизитах паспорта (серия и номер, кем и когда выдан), гражданстве, а также признака «подтвержденности» аккаунта и идентификатора аккаунта в ЕСИА.

    Государственные организации могут получать из ЕСИА полный набор данных о пользователе и его организациях. Это следующие сведения:

    1. личные данные (ФИО, пол, дата и место рождения, гражданство)
    2. данные идентификационных документов (СНИЛС, ИНН, общегражданский и заграничный паспорт, свидетельство о рождении, водительское удостоверение, военный билет, полис ОМС)
    3. контактная информация (email, мобильный и домашний телефон, адреса регистрации и проживания)
    4. сведения о детях (личные данные и документы)
    5. сведения о транспортных средствах (номер и свидетельство о регистрации)
    6. сведения об организациях и ИП (наименование, ОГРН, ИНН/КПП, организационно-правовая форма, юридический адрес, контакты, филиалы, списки сотрудников, полномочия сотрудников, транспортные средства организации)
    7. данные учетной записи (идентификатор аккаунта в ЕСИА, признак «подтвержденности» аккаунта)

    Сведения предоставляются в том объеме, в каком они заполнены пользователем в ЕСИА, а также при условии согласия пользователя на предоставления этих сведений.

    Как подключиться?


    Чтобы подключить сайт своей организации, нужно пройти несколько довольно несложных процедур.



    В общих чертах для подключения к ЕСИА нужно:

    1. Убедиться, что вашей организации можно подключать свои системы к ЕСИА.
    2. Директору организации с помощью веб-приложения «Профиль ЕСИА» зарегистрировать организацию в ЕСИА.




    3. Ему также нужно прикрепить к учетной записи организации ответственного сотрудника и назначить ему право доступа в специальное приложение — Технологический портал ЕСИА. Если директор не планирует делегировать дальнейшие операции своему сотруднику, то тогда он все равно должен явно предоставить доступ себе к Технологическому порталу ЕСИА.

      Назначенному ответственному сотруднику организации нужно с помощью веб-приложения «Технологический портал ЕСИА»:
    4. Зарегистрировать учетную запись системы в ЕСИА. Мнемонику для системы придумать, либо использовать существующую мнемонику точки подключения к СМЭВ, если подключаемая к ЕСИА система раньше уже была подключена к СМЭВ.
    5. Загрузить в карточку системы ее сертификат.

      Ответственному сотруднику организации нужно:
    6. Поочередно подать по электронной почте заполненные в соответствии с регламентом заявки на использование программных интерфейсов ЕСИА в тестовой и промышленной среде.



      Разработчикам подключаемой системы:
    7. Доработать систему для подключения к ЕСИА, самостоятельно разработав код взаимодействия с ЕСИА в соответствии с действующим документом «Методические рекомендации по использованию ЕСИА» или использовать готовые решения, благо такие на рынке есть.
    8. Отладить взаимодействие в тестовой и промышленной среде ЕСИА.



    Здесь нужно заметить, что с 01.01.2018 г. взаимодействие по протоколу SAML 2.0 больше не будет разрешено (только для действующих систем). Для подключения к ЕСИА необходимо будет использовать протокол OAuth 2.0 / OpenID Connect (сейчас доступны оба варианта).

    Аутентификация пользователя в системе


    Рекомендуемый сценарий аутентификации пользователя при интеграции по OpenID Connect 1.0 в его базовом виде происходит по следующему сценарию:

    1. Пользователь нажимает на веб-странице системы-клиента кнопку «Войти через ЕСИА».
    2. Система-клиент формирует и отправляет в ЕСИА запрос на аутентификацию и перенаправляет браузер пользователя на специальную страницу предоставления доступа.
    3. ЕСИА осуществляет аутентификацию пользователя одним из доступных способов. Если пользователь ещё не зарегистрирован в ЕСИА, то он может перейти к процессу регистрации.
    4. Когда пользователь аутентифицирован, ЕСИА сообщает пользователю, что система-клиент запрашивает данные о нем в целях проведения идентификации и аутентификации, предоставляя перечень запрашиваемых системой-клиентом сведений.
    5. Если пользователь дает разрешение на проведение аутентификации системой-клиентом, то ЕСИА выдает системе-клиенту специальный авторизационный код.
    6. Система-клиент формирует в адрес ЕСИА запрос на получение маркера идентификации, включая в запрос полученный ранее авторизационный код.
    7. ЕСИА проверяет корректность запроса (например, что система-клиент зарегистрирована в ЕСИА) и авторизационного кода и передает системе-клиенту маркер идентификации.
    8. Система-клиент извлекает идентификатор пользователя из маркера идентификации. Если идентификатор получен, а маркер проверен, то система-клиент считает пользователя аутентифицированным. После получения маркера идентификации система-клиент использует REST-сервисы ЕСИА для получения дополнительных данных о пользователе, предварительно получив соответствующий маркер доступа.



    Подключаться или нет?


    За операторов, в связи со вступлением в действие закона о мессенджерах данный вопрос практически решен.

    Напомним, в соответствии с Федеральным законом №245 «О внесении изменений в Федеральный закон «О связи» от 29 июля 2017 года, операторы связи обязаны проверять достоверность сведений об абоненте. В законе закреплен перечень способов проверки, одним из которых является использование Единого портала государственных и муниципальных услуг или информационных систем госорганов при наличии подключения к ним у операторов через СМЭВ.

    Поправки в ФЗ «О связи» вступают в силу 1 июня 2018. До этого времени операторы связи смогут протестировать работу своих систем со СМЭВ и ЕСИА.


    Становится ли чебурнет всё ближе? Официальных заявлений о планах сделать выход в Интернет возможным только через ЕСИА нами не найдено. На данный момент, по официальным данным, в ЕСИА зарегистрировано около 50 миллионов пользователей (физических лиц) и около 300 000 организаций.
    Cloud4Y 201,65
    #1 Корпоративный облачный провайдер
    Поделиться публикацией
    Комментарии 12
    • 0
      Почте России нужно подумать над этим. Человек приходит на почту, генерирует в приложении ГосУслуг уникальных QR код для получения посылки вместо заполнения извещения своими ПДн вручную. Очереди бы сократились. Было бы полезнее чебурнета.
      • 0

        Да просто дать паспорт, поискать по номеру, если нет ещё, вбить один раз, а в дальнейшем использовать вбитые данные с визуальным контролем вещей типа прописки на предмет изменения. Насколько я знаю для этого даже ничего рахзрабатывать толком не надо, только инструкции поменять.

        • +1
          Сомнительно. Сейчас можно после прихода посылки на почту по трекингу заполнить и распечатать извещение дома, чтобы на почте ничего не заполнять.
          И в моём отделении обычно те кому надо заполнить извещение обычно заполняют в сторонке, пока оператор следующего человека обслуживает, так что с этой стороны задержек я не вижу особых.
          • +1
            носить паспорт, выписывать из него ПДн, ставить подпись, сама необходимость делать всё это вручную вас не смущает в 2017 году?
            • +2
              Ужас, и не говорите. Вообще на самом деле нет, эти полминуты заполнения бланка меня не пугают.
              Но я не об этом, я о том что никакого ускорения очередей не будет. Те кто хотят и сейчас могут этот процесс ускорить до нуля, те кто не хотят — ну я не думаю что что-либо изменилось бы в случае если бы добавили QR коды или ещё какую-нить модную фиговину.
              Не с той стороны оптимизируете процесс как по мне.
              • 0
                Вот носить паспорт никак не пугает. Хоть какой-то гарант что мою посылку не отдадут местному бомжу с айфоном.
              • 0
                Сейчас можно после прихода посылки на почту по трекингу заполнить и распечатать извещение дома, чтобы на почте ничего не заполнять.

                А десятки лет извещения просто приносили почтальоны (собственно само слово намекает) и большинство людей заполняло их дома.

                • 0
                  Можно и так, просто я (и многие другие) раньше видят обновление трека, а извещение принесут только на следующий или через день.
              • 0
                На Почте России есть сервис самостоятельной печати бланков где ПДн подставляются автоматом.
              • 0
                При реализации провайдера аутентификации через OAuth 2.0 неистово «доставил» динамический client_secret
                • 0
                  А как боролись?
                  • 0
                    Прочитал документацию. Написал код, который работает. Для криптографии под доткор взял BouncyCastle.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое