Интеграция ИС с ЕСИА посредством SAML / Хабр

Что такое есиа

Единая Система Идентификации и Аутентификации — российская информациия система, обеспечивающая доступ (регистрация, аутентификация) на сайты государтсвенных структур и некоторых коммерческих организаций. Подробнее на википедии

В процессе интеграции ЕСИА, система сможет отправлять запрос на ЕСИА и при успешной авторизации получать в качестве ответа данные пользователя

https://www.youtube.com/watch?v=YY1G8nKlYUQ

Сценарий авторизации выглядит примерно так:

Что же может получить коммерческая организация из есиа?


Перечень доступных к получению сведений зависит от:

  1. Категории организации, подключающейся к ЕСИА
  2. Использованного способа подключения к ЕСИА

Минкомсвязь ограничивает перечень данных, доступных коммерческим организациям. Обычно разрешают получать только сведения о ФИО, реквизитах паспорта (серия и номер, кем и когда выдан), гражданстве, а также признака «подтвержденности» аккаунта и идентификатора аккаунта в ЕСИА.

Государственные организации могут получать из ЕСИА полный набор данных о пользователе и его организациях. Это следующие сведения:

  1. личные данные (ФИО, пол, дата и место рождения, гражданство)
  2. данные идентификационных документов (СНИЛС, ИНН, общегражданский и заграничный паспорт, свидетельство о рождении, водительское удостоверение, военный билет, полис ОМС)
  3. контактная информация (email, мобильный и домашний телефон, адреса регистрации и проживания)
  4. сведения о детях (личные данные и документы)
  5. сведения о транспортных средствах (номер и свидетельство о регистрации)
  6. сведения об организациях и ИП (наименование, ОГРН, ИНН/КПП, организационно-правовая форма, юридический адрес, контакты, филиалы, списки сотрудников, полномочия сотрудников, транспортные средства организации)
  7. данные учетной записи (идентификатор аккаунта в ЕСИА, признак «подтвержденности» аккаунта)

Сведения предоставляются в том объеме, в каком они заполнены пользователем в ЕСИА, а также при условии согласия пользователя на предоставления этих сведений.

Аутентификация пользователя в системе


Рекомендуемый сценарий аутентификации пользователя при интеграции по OpenID Connect 1.0 в его базовом виде происходит по следующему сценарию:

  1. Пользователь нажимает на веб-странице системы-клиента кнопку «Войти через ЕСИА».
  2. Система-клиент формирует и отправляет в ЕСИА запрос на аутентификацию и перенаправляет браузер пользователя на специальную страницу предоставления доступа.
  3. ЕСИА осуществляет аутентификацию пользователя одним из доступных способов. Если пользователь ещё не зарегистрирован в ЕСИА, то он может перейти к процессу регистрации.
  4. Когда пользователь аутентифицирован, ЕСИА сообщает пользователю, что система-клиент запрашивает данные о нем в целях проведения идентификации и аутентификации, предоставляя перечень запрашиваемых системой-клиентом сведений.
  5. Если пользователь дает разрешение на проведение аутентификации системой-клиентом, то ЕСИА выдает системе-клиенту специальный авторизационный код.
  6. Система-клиент формирует в адрес ЕСИА запрос на получение маркера идентификации, включая в запрос полученный ранее авторизационный код.
  7. ЕСИА проверяет корректность запроса (например, что система-клиент зарегистрирована в ЕСИА) и авторизационного кода и передает системе-клиенту маркер идентификации.
  8. Система-клиент извлекает идентификатор пользователя из маркера идентификации. Если идентификатор получен, а маркер проверен, то система-клиент считает пользователя аутентифицированным. После получения маркера идентификации система-клиент использует REST-сервисы ЕСИА для получения дополнительных данных о пользователе, предварительно получив соответствующий маркер доступа.

Интеграция ИС с ЕСИА посредством SAML / Хабр

Вопросы и ответы

Еэтп | единая электронная торговая площадка — росэлторг

Чтобы зарегистрироваться на сайте Roseltorg, необходимо:

  1. Перейти по ссылке https://www.roseltorg.ru/.
  2. В верхней правой части страницы нажать “Регистрация”.
  3. Выбрать тип аккаунта (заказчик/поставщик).
  4. Выбрать торговую секцию.
  5. Заполнить предложенный электронный бланк, обязательно указав наименование организации, ИНН, ФИО лица, e-mail, телефон, временную зону, логин, пароль и кодовое слово.
  6. Ввести капчу.
  7. Нажать кнопку “Регистрация”.

После подтверждения процедуры создания аккаунта, пользователь сможет авторизоваться в личном кабинете. Для этого нужно:

  1. Перейти по ссылке https://www.roseltorg.ru/.
  2. В верхней правой части страницы нажать “Войти”.
  3. Выбрать торговую секцию «Государственные закупки (44-ФЗ)».

Далее пользователь попадает на страницу авторизации, где нужно нажать на кнопку «Вход по ЭП», выбрать нужный сертификат, после чего нажать кнопку «ОК».

История

Цифровая платформа была основана в 2009 году при поддержке Правительства Москвы и банка ВТБ. К 2022 году компания открыла собственный центр сертификации по созданию электронных подписей, и специализированное учреждение для обучения заказчиков и поставщиков. В 2022-м, после одобрения федерального закона «О закупках товаров, работ, услуг отдельными видами юридических лиц» начала работать обособленная секция для взаимодействия с субъектами 223-ФЗ ( монополии, бюджетные организации, предприятия, чья деятельность регулируется государством).

Три года спустя, «Росэлторг» стал первым оператором ЭТП, который начал проводить имущественные торги в соответствии с ФЗ № 178, по приватизации муниципального и госимущества. В 2022-м общая сумма закупок на онлайн-площадке составила 10 триллионов рублей. В 2022-м число заказчиков, зарегистрированных на веб-ресурсе, достигло трехсот тысяч человек, а число поставщиков превысило отметку 400 тысяч. Через год компания запустила новую секцию для представителей малого и среднего бизнеса. В 2021 году у пользователей появилась возможность авторизации через аккаунт на «Портале поставщиков Москвы». В настоящее время «Росэлторг» имеет представительства более чем в 90 городах страны.

Как подключиться?

Чтобы подключить сайт своей организации, нужно пройти несколько довольно несложных процедур.

В общих чертах для подключения к ЕСИА нужно:

  1. Убедиться, что вашей организации можно подключать свои системы к ЕСИА.
  2. Директору организации с помощью веб-приложения «Профиль ЕСИА» зарегистрировать организацию в ЕСИА.

    Интеграция ИС с ЕСИА посредством SAML / Хабр

    Интеграция ИС с ЕСИА посредством SAML / Хабр

  3. Ему также нужно прикрепить к учетной записи организации ответственного сотрудника и назначить ему право доступа в специальное приложение — Технологический портал ЕСИА. Если директор не планирует делегировать дальнейшие операции своему сотруднику, то тогда он все равно должен явно предоставить доступ себе к Технологическому порталу ЕСИА.

    Назначенному ответственному сотруднику организации нужно с помощью веб-приложения «Технологический портал ЕСИА»:

  4. Зарегистрировать учетную запись системы в ЕСИА. Мнемонику для системы придумать, либо использовать существующую мнемонику точки подключения к СМЭВ, если подключаемая к ЕСИА система раньше уже была подключена к СМЭВ.
  5. Загрузить в карточку системы ее сертификат.

    Ответственному сотруднику организации нужно:

  6. Поочередно подать по электронной почте заполненные в соответствии с регламентом заявки на использование программных интерфейсов ЕСИА в тестовой и промышленной среде.

    Интеграция ИС с ЕСИА посредством SAML / Хабр

    Разработчикам подключаемой системы:

  7. Доработать систему для подключения к ЕСИА, самостоятельно разработав код взаимодействия с ЕСИА в соответствии с действующим документом «Методические рекомендации по использованию ЕСИА» или использовать готовые решения, благо такие на рынке есть.
  8. Отладить взаимодействие в тестовой и промышленной среде ЕСИА.

Интеграция ИС с ЕСИА посредством SAML / Хабр

Здесь нужно заметить, что с 01.01.2022 г. взаимодействие по протоколу SAML 2.0 больше не будет разрешено (только для действующих систем). Для подключения к ЕСИА необходимо будет использовать протокол OAuth 2.0 / OpenID Connect (сейчас доступны оба варианта).

Конфигурация файла метаданных

Теперь необходимо сгонфигурировать файл метаданных для того, чтобы его отправить вместе с заявкой в ЕСИА

Файл метаданных доступен по ссылке: ServerName/simplesaml/module.php/saml/sp/metadata.php/esia?output=xhtml

Пример файла метаданных:

Настройка simplesamlphp для подключения к тестовой среде есиа

Для интеграции необходимы сертификат (cert.crt) и ключ (key.key). Важно(!) с ГОСТовским сертфикатом ничего не выйдет, можно получить бесплатный сертификат, погуглив как это делается, либо выпустить сертификат самому. Ключ и сертификат кладем в папку simplesamlphp/cert

Для конфигурации SimpleSAMLphp необходимо отредактировать следующие файлы:

Важное замечание — время на сервере не должно отличаться от времени ЕСИА больше 1 минуты.

simplesamlphp/config/config.php:

//путь к папке с сертификатом и ключом относительно директории simplesamlphp
'certdir' => 'cert/'

// соль
'secretsalt' => 'defaultsecretsalt',
//Контакты администратора
'technicalcontact_name' => 'Familiya Imya',
'technicalcontact_email' => '[email protected]',

Важно знать, есть ли у системы entityID, если его нет, то в поле ‘entityID’ необходимо указать адрес системы

simplesamlphp/config/authsources.php:

О компании

«Росэлторг» – это веб-ресурс, предназначенный для проведения государственных, коммерческих, имущественных и корпоративных торгов. Помимо основного направления, компания осуществляет предоставление услуг, связанных с проведением закупок: оформление электронных подписей, проверку закупочной документации, сопровождение при покупке недвижимости, страхование и т.д. Также электронная площадка регулярно представляет клиентам обновленные сервисы и приложения для закупок.

Принять участие в торгах на сайте компании могут организации, физические лица, индивидуальные предприниматели и самозанятые. За 13 лет на российском рынке «Росэлторг» провел торги на сумму более 33 триллионов рублей. Среди наиболее известных государственных структур, использующих ЭТП, можно выделить Минобороны РФ, МЧС, ФСИН, СК РФ, Министерство Культуры РФ и другие.

Общие сведения

На сайте МинКомСвязи размещен документ, именуемый «Методические рекомендации по использованию Единой системы идентификации и аутентификации», последнюю актуальную версию всегда можно найти на сайте МинКомСвязи. Документ сам по себе немаленький — почти 200 страниц, и, конечно же мало кто захочет его подробно изучать, да и понятен он будет не всем желающим, поэтому опишу тут процесс в сухом остатке.

Подключить ИС к ЕСИА возможно двумя способами:

Если сравнивать 2 подхода, то по факту разницы между ними большой нет, есть несколько плюсов у способа на базе подхода REST. Есть ребята, которые на мой взгляд за немалые деньги подключают ЕСИА и о преимуществах REST они написали тут.

Но для подавляющего большинста случаев первый подход охватывает все необходимые функции. Поэтому расскажу о внедрении ЕСИА посредством SAML 2.0

Отправка заявки на подключение ис к продуктивной среде есиа

Теперь формируем заявку по форме «М» Регламента информационного взаимодействия Участников с Оператором ЕСИА. Она не сильно отличается от формы Е, но внимательно изучите форму, необходимо в форме добавить запрашиваемые данные и уже не надо прикреплять файл сертификата.

В файлах simplesamlphp/config/authsources.php, simplesamlphp/metadata/saml20-idp-remote.php необходимо заменить idp поставщика услуг с Тестовой среды на продуктивную:

Первые интернет-площадки запустили авторизацию через есиа

Москва, 24 ноября 2021 года. — Минцифры расширяет возможности использования инфраструктуры электронного правительства для бизнеса. Пользователи портала Госуслуг с подтвержденной учетной записью получили возможность совершать юридически значимые действия на коммерческих площадках, пройдя аутентификацию с использованием Единой системы идентификации и аутентификации (ЕСИА), через которую осуществляется вход на портал Госуслуг.

В рамках пилотного проекта, который продлится до 1 июля 2022 года, возможность входа через ЕСИА в первую очередь стала доступна пользователям таких ресурсов, как hh.ru, Авто.ру и ЦИАН. В ближайшее время к ним присоединятся Авито, Петербургская сбытовая компания, сервис поиска недвижимости «Этажи» и ряд других. Всего на текущий момент к проекту присоединились десять компаний, ответственных за работу 12 сайтов и приложений. Минцифры выработало целевую модель и архитектуру взаимодействия с бизнес-площадками.

«Это первый важный шаг к созданию условий для заключения сделок, подписания договоров и совершения иных юридически значимых действий в интернете с использованием достоверной аутентификации через Единую систему идентификации и аутентификации. Это повысит доверие со стороны граждан и уровень безопасности дистанционного взаимодействия с бизнесом, а также поможет решить проблему использования агрегаторов товаров и услуг, ресурсов поиска работы и социальных сетей в мошеннических целях», — сообщил руководитель проекта по интеграции ЕСИА с коммерческими платформами Минцифры России Александр Смирнов.

При такой схеме взаимодействия физических и юридических лиц на базе защищенной государственной информационной системы, которой является ЕСИА, данные граждан останутся под защитой государства, а пользователь сможет сам решать, какому сервису, в каком объеме и для каких целей он готов предоставить сведения о себе, а также при желании отозвать право на обработку персональных данных.

«Портал Госуслуг активно развивается и по размеру аудитории уже сопоставим с некоторыми соцсетями, через которые можно авторизоваться на hh.ru. Мы рады, что благодаря подключению к ЕСИА даем миллионам россиян возможность связать свои профили на hh.ru и Госуслугах для еще более простого входа на наш сайт, — сказал GR-директор hh.ru Виталий Терентьев. — Кросс-авторизация между hh.ru и Госуслугами поможет пользователям в поисках новой работы, расширит для граждан возможности для трудоустройства и сократит сроки поиска. В дальнейшем в рамках эксперимента с Минцифры мы планируем добавить аналогичную функцию и для компаний-работодателей».

«Возможность верификации пользователей с помощью Госуслуг — новый этап развития сервисов объявлений. Мы рассчитываем, что интеграция с ЕСИА поможет сократить количество мошеннических операций, а также приведет к тому, что сделки станут удобнее и для продавца, и для покупателя», — прокомментировал генеральный директор компании Яндекс.Вертикали (включает сервис Авто.ру) Павел Алёшин.

«Удобный поиск, обеспечение финансовыми инструментами и безопасное быстрое заключение сделок с недвижимостью онлайн — основные и наиболее важные задачи для ЦИАН сегодня. Завершение первого этапа эксперимента — это действительно еще один большой шаг к удобству и безопасности наших пользователей. Дальнейшая интеграция с ЕСИА в рамках второго этапа эксперимента позволит сделать лучше наши продукты для онлайн выбора ипотечных предложений от крупнейших банков с помощью сервиса «Циан.Ипотека», а также удалённого проведения и регистрации сделок через сервис «Циан.Сделка». Кроме того, поможет снизить количество мошеннических действий, с которыми приходится сталкиваться любому технологичному сервису сегодня. Мы рады быть частью пилотного проекта Минцифры и строить диалог с государством и рынком, который в будущем будет способствовать повышению удобства и безопасности для граждан и бизнеса», — рассказал генеральный директор ЦИАН Максим Мельников.

В ближайшее время интеграцию с ЕСИА завершит и компания Авито.

«Авито станет одной из первых компаний в России, которые реализуют следующий шаг Минцифры по интеграции с Госуслугами. Этот проект поможет создать дополнительную защиту для всех клиентов Авито, что очень важно в современной цифровой среде», — сообщил директор Авито по правовым вопросам и взаимодействию с госорганами Виктор Топадзе.  

Порядок проведения эксперимента установлен Постановлением Правительства Российской Федерации от 27 марта 2021 года № 453.

Юридические лица, индивидуальные предприниматели и граждане участвуют в эксперименте на добровольной основе. В случае положительных результатов эксперимента возможность подключения к ЕСИА может быть распространена и на другие коммерческие ресурсы.

Подключаться или нет?


За операторов, в связи со вступлением в действие закона о мессенджерах данный вопрос практически решен.

Напомним, в соответствии с Федеральным законом №245 «О внесении изменений в Федеральный закон «О связи» от 29 июля 2022 года, операторы связи обязаны проверять достоверность сведений об абоненте. В законе закреплен перечень способов проверки, одним из которых является использование Единого портала государственных и муниципальных услуг или информационных систем госорганов при наличии подключения к ним у операторов через СМЭВ.

Поправки в ФЗ «О связи» вступают в силу 1 июня 2022. До этого времени операторы связи смогут протестировать работу своих систем со СМЭВ и ЕСИА.
Интеграция ИС с ЕСИА посредством SAML / Хабр

Становится ли чебурнет всё ближе? Официальных заявлений о планах сделать выход в Интернет возможным только через ЕСИА нами не найдено. На данный момент, по официальным данным, в ЕСИА зарегистрировано около 50 миллионов пользователей (физических лиц) и около 300 000 организаций.

Режим работы

Сотрудники контактного центра принимают звонки круглосуточно, без выходных и перерывов.

Служба поддержки росэлторг

Росэлторг siteСпособы связи со службой поддержки:

Установка simplesamlphp

Для интеграции будем использовать SimpleSAMLphp. Если система, которую вы настраиваете написана не на PHP, то все равно можно использовать этот модуль, просто на вашем сайте будет функция аутентификации реализована на php, данные от ЕСИА вы получите в xml формате.

Последняя официальная версия SimplSAMLphp доступна на официальном сайте SimpleSamlPHP. Скачиваете архив, распаковываете модуль в папку /var.В целях безопасности для папки с разархивированным модулем необходимо настроить права доступа только для root пользователя. В конфигурации сервера необходимо добавить алиас и следующие правила:

Функциональная интеграция с есиа и получение данных авторизированных пользователей через есиа

Проверить подключения ИС к тестовой среде можно по ссылкеServerName/simplesaml/module.php/core/authenticate.php?as=esia.

При корректном выполнении всех предыдущих пунктов по ссылке откроется страница с тестовой средой ЕСИА. Для аутентификации в тестовой среде используются данные, полученные от ЕСИА в письме со статусом «Решен». После аутентификации произойдет переход на страницу SimpleSAML с таблицей с полученными данными от ЕСИА.

xml ответ ЕСИА

Теперь напишем скрипт, который будет обрабатывать данные. Для начала добавим кнопку для авторизации на сайт. 


//в аттрибуте action указываем путь к файлу с будущим обработчиком данных
<form action="inc/esia.php" method="POST">
	<input name="esia" type="submit" value="Войти через Госуслуги"/>
</form>

Обработчик inc/esia.php. Тут мы получаем данные и можем записать их в базу, добавить в сессию и т.д. Вообще надо правильно парсить xml. Сейчас просто выведем данные на экран.

Похожее:  Как выйти со всех устройств в ВК: ответ Дурова

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *