ЕСИА МЕЙН

1. Теперь для своей ИС необходимо сгенерировать закрытый ключ и сертификат открытого ключа. Закрытый ключ будет использоваться модулем авторизации, а сертификат требуется для идентификации ИС при взаимодействии с ЕСИА (см. пп. 2 п. 3.1.1 Методических рекомендаций).

2. Формируем файл метаданных. В нем содержится сертификат, полученный на предыдущем шаге. Образец файла метаданных приведен в Методических рекомендациях.

3. Отправляем заявку на подключение ИС к тестовой среде ЕСИА. Форма заявки указана в Приложении “Е” Регламента. К заявке прикрепляется полученный на предыдущем шаге файл метаданных. В результате регистрации в министерстве связи ваша ИС получает возможность использовать созданный ключ для взаимодействия с Оператором ЕСИА.

4. Теперь нужно разработать или приобрести модуль авторизации ЕСИА
, который будет встраиваться в ИС и обеспечивать процедуры формирования и отправки запросов и получения данных.

5. Когда модуль авторизации встроен и пришёл ответ Минкомсвязи о получении тестового доступа можно произвести отладку взаимодействия модуля авторизации и ЕСИА.

6. После отладки нужно направить заявку на подключение ИС к промышленной среде ЕСИА. Форма заявки указана в Приложении “М” Регламента. Как и в случае с подключением к тестовой среде, к заявке необходимо приложить файл метаданных, полученный на шаге 2, заменив в нем тестовые данные на промышленные.

На этом подключение ИС к единой системе идентификации и аутентификации завершено.

Бланки заявок можно запросить здесь: http://esia.pro/blanki_zayavok

Изменения в законодательстве, начинающие действовать с начала 2018 года и включающие в себя самые разнообразные области нашей с вами жизнедеятельности (закон о мессенджерах, о телемедицине и т.д.) объединяет одно – все большее проникновение информационных сервисов в нашу жизнь. Естественным является факт, что как и в реальной жизни, для получения человеком какой-либо услуги ему требуется пройти идентификацию. В офф-лайновой жизни средством авторизации является паспорт гражданина, а в он-лайн сфере таковым средством правительство решило признать ЕСИА — единая система идентификации и аутентификации.

Вот о ней и хотелось бы поговорить. Это ознакомительная статья, можно сказать ликбез. Для знакомства людей, которые еще не знают, что при необходимости можно использовать ЕСИА у себя в проектах и идти в ногу со временем вместе с государством. И так, что же это за зверь и как его рассматривает правительство.

Минкомсвязь России в рамках инфраструктуры электронного правительства создала и развивает Единую систему идентификации и аутентификации (ФГИС ЕСИА), цель которой — упорядочить и централизовать процессы регистрации, идентификации, аутентификации и авторизации пользователей.

1. Предоставляет информационным системам решение по достоверной идентификации пользователей (физических и юридических лиц, органов государственной власти).

Достоверность достигается за счет того, что:

• регистрация лица в ЕСИА сопряжена с проверкой значимых для удостоверения личности критериев;
• ЕСИА обеспечивает защиту размещённой в ней информации в соответствии с законодательством Российской Федерации.

2. Является ориентированной на пользователя и предоставляет возможности:

• идентификации и аутентификации с использованием единой учетной записи и широкого спектра поддерживаемых методов аутентификации при доступе к различным информационным системам органов государственной власти;
• управления своими персональными данными, размещенными в ЕСИА, и контроля над их предоставлением в информационные системы органов государственной власти.

Основные функциональные возможности ЕСИА:

• идентификация и аутентификация пользователей, в том числе:
  
  • однократная аутентификация, которая дает пользователям ЕСИА следующее преимущество: пройдя процедуру идентификации и аутентификации в ЕСИА, пользователь может в течение одного сеанса работы обращаться к любым информационным системам, использующим ЕСИА, при этом повторная идентификация и аутентификация не требуется;
  • поддержка различных методов аутентификации: по паролю, по электронной подписи, а также двухфакторная аутентификация (по постоянному паролю и одноразовому паролю, высылаемому в виде sms-сообщения);
  • поддержка уровней достоверности идентификации пользователя (упрощённая учетная запись, стандартная учетная запись, подтвержденная учетная запись).
• ведение идентификационных данных, а именно – ведение регистров физических, юридических лиц, органов и организаций, должностных лиц органов и организаций и информационных систем;
• авторизация уполномоченных лиц органов государственной власти при доступе к следующим функциям ЕСИА:
  
  • ведение регистра должностных лиц органов власти в ЕСИА;
  • ведение справочника полномочий в отношении информационной системы и предоставление пользователям ЕСИА (зарегистрированным в ЕСИА как должностные лица) полномочий по доступу к ресурсам систем, зарегистрированным в ЕСИА;
  • делегирование вышеуказанных полномочий уполномоченным лицам нижестоящих органов государственной власти.
• ведение и предоставление информации о полномочиях пользователей в отношении информационных систем, зарегистрированных в ЕСИА.

В данный момент подключить систему к ЕСИА может любая государственная организация, а также отдельные виды коммерческих организаций: страховые компании, кредитные организации (банки), профессиональные участники рынка ценных бумаг, негосударственные пенсионные фонды, микрофинансовые и микрокредитные организации, а также операторы связи.

Законодательство со временем корректируется, и вместе с ним расширяется перечень организаций, которым разрешено подключиться к ЕСИА.

Люди, не знакомые с ситуацией, при слове «государственная» сразу представляют себе каналы связи, которые необходимо защитить при помощи отечественных криптоалгоритмов со всеми вытекающими затратами, лицензиями и оборудованием. Но, как бы смешно это не было (или печально), главная площадка для идентификации в стране – работает с иностранной криптографией (а куда деваться).

Поэтому, если вы хотите воспользоваться услугами данной платформы, то можете размещать свои ресурсы где у годно в нашей огромной стране, в том числе и в нашей инфраструктуре Cloud4Y
.

Что же может получить коммерческая организация из ЕСИА?

Перечень доступных к получению сведений зависит от:

1. Категории организации, подключающейся к ЕСИА
2. Использованного способа подключения к ЕСИА

Минкомсвязь ограничивает перечень данных, доступных коммерческим организациям. Обычно разрешают получать только сведения о ФИО, реквизитах паспорта (серия и номер, кем и когда выдан), гражданстве, а также признака «подтвержденности» аккаунта и идентификатора аккаунта в ЕСИА.

Государственные организации могут получать из ЕСИА полный набор данных о пользователе и его организациях. Это следующие сведения:

1. личные данные (ФИО, пол, дата и место рождения, гражданство)
2. данные идентификационных документов (СНИЛС, ИНН, общегражданский и заграничный паспорт, свидетельство о рождении, водительское удостоверение, военный билет, полис ОМС)
3. контактная информация (email, мобильный и домашний телефон, адреса регистрации и проживания)
4. сведения о детях (личные данные и документы)
5. сведения о транспортных средствах (номер и свидетельство о регистрации)
6. сведения об организациях и ИП (наименование, ОГРН, ИНН/КПП, организационно-правовая форма, юридический адрес, контакты, филиалы, списки сотрудников, полномочия сотрудников, транспортные средства организации)
7. данные учетной записи (идентификатор аккаунта в ЕСИА, признак «подтвержденности» аккаунта)

Сведения предоставляются в том объеме, в каком они заполнены пользователем в ЕСИА, а также при условии согласия пользователя на предоставления этих сведений.

Как подключиться?

Чтобы подключить сайт своей организации, нужно пройти несколько довольно несложных процедур.

В общих чертах для подключения к ЕСИА нужно:

1. Убедиться, что вашей организации можно подключать свои системы к ЕСИА.
2. Директору организации с помощью веб-приложения « Профиль ЕСИА
   » зарегистрировать организацию в ЕСИА.

   
   
   

   
   
   

3. Ему также нужно прикрепить к учетной записи организации ответственного сотрудника и назначить ему право доступа в специальное приложение — Технологический портал ЕСИА. Если директор не планирует делегировать дальнейшие операции своему сотруднику, то тогда он все равно должен явно предоставить доступ себе к Технологическому порталу ЕСИА.

   Назначенному ответственному сотруднику организации нужно с помощью веб-приложения « Технологический портал ЕСИА
   »:

4. Зарегистрировать учетную запись системы в ЕСИА. Мнемонику для системы придумать, либо использовать существующую мнемонику точки подключения к СМЭВ, если подключаемая к ЕСИА система раньше уже была подключена к СМЭВ.
5. Загрузить в карточку системы ее сертификат.

   Ответственному сотруднику организации нужно:

6. Поочередно подать по электронной почте заполненные в соответствии с регламентом
   заявки на использование программных интерфейсов ЕСИА в тестовой и промышленной среде.

   
   
   

   Разработчикам подключаемой системы:

7. Доработать систему для подключения к ЕСИА, самостоятельно разработав код взаимодействия с ЕСИА в соответствии с действующим документом « Методические рекомендации по использованию ЕСИА
   » или использовать готовые решения, благо такие на рынке есть.
8. Отладить взаимодействие в тестовой и промышленной среде ЕСИА.

Здесь нужно заметить, что с 01.01.2018 г. взаимодействие по протоколу SAML 2.0 больше не будет разрешено
(только для действующих систем). Для подключения к ЕСИА необходимо будет использовать протокол OAuth 2.0 / OpenID Connect (сейчас доступны оба варианта).

Аутентификация пользователя в системе

Рекомендуемый сценарий аутентификации пользователя при интеграции по OpenID Connect 1.0 в его базовом виде происходит по следующему сценарию:

1. Пользователь нажимает на веб-странице системы-клиента кнопку «Войти через ЕСИА».
2. Система-клиент формирует и отправляет в ЕСИА запрос на аутентификацию и перенаправляет браузер пользователя на специальную страницу предоставления доступа.
3. ЕСИА осуществляет аутентификацию пользователя одним из доступных способов. Если пользователь ещё не зарегистрирован в ЕСИА, то он может перейти к процессу регистрации.
4. Когда пользователь аутентифицирован, ЕСИА сообщает пользователю, что система-клиент запрашивает данные о нем в целях проведения идентификации и аутентификации, предоставляя перечень запрашиваемых системой-клиентом сведений.
5. Если пользователь дает разрешение на проведение аутентификации системой-клиентом, то ЕСИА выдает системе-клиенту специальный авторизационный код.
6. Система-клиент формирует в адрес ЕСИА запрос на получение маркера идентификации, включая в запрос полученный ранее авторизационный код.
7. ЕСИА проверяет корректность запроса (например, что система-клиент зарегистрирована в ЕСИА) и авторизационного кода и передает системе-клиенту маркер идентификации.
8. Система-клиент извлекает идентификатор пользователя из маркера идентификации. Если идентификатор получен, а маркер проверен, то система-клиент считает пользователя аутентифицированным. После получения маркера идентификации система-клиент использует REST-сервисы ЕСИА для получения дополнительных данных о пользователе, предварительно получив соответствующий маркер доступа.

Подключаться или нет?

За операторов, в связи со вступлением в действие закона о мессенджерах данный вопрос практически решен.

Напомним, в соответствии с Федеральным законом №245 «О внесении изменений в Федеральный закон «О связи» от 29 июля 2017 года, операторы связи обязаны проверять достоверность сведений об абоненте. В законе закреплен перечень способов проверки
, одним из которых является использование Единого портала государственных и муниципальных услуг
или информационных систем госорганов при наличии подключения к ним у операторов через СМЭВ.

Поправки в ФЗ «О связи» вступают в силу 1 июня 2018. До этого времени операторы связи смогут протестировать работу своих систем со СМЭВ и ЕСИА.

Становится ли чебурнет всё ближе? Официальных заявлений о планах сделать выход в Интернет возможным только через ЕСИА нами не найдено. На данный момент, по официальным данным, в ЕСИА зарегистрировано около 50 миллионов пользователей (физических лиц) и около 300 000 организаций.

Привет ИТ-сообщество! Я Анастасия Пятько, аналитик-внедренец из РТЛабс. Это компания, которая развивает всем известные Госуслуги и пытается облегчить нашу бюрократическую жизнь.

Недавно мне довелось выступить на HighLoad++ 2022 с похожей темой: «СМЭВ. Сильно проще, чем кажется. Полезные советы, как стартовать интеграцию через СМЭВ3 и СМЭВ4». Организаторы знают своё дело. В зале была заинтересованная аудитория, которая задавала вопросы с неподдельным интересом. С некоторыми разговор у стенда продолжался ещё несколько часов. Так родилась идея — зафиксировать всё текстом в этой статье.

Начнём с небольшой предыстории. Цифровизация пришла в нашу большую страну определённо раньше того, как появились эксперты, которые смогли бы сразу сказать, как надо делать, придумали стандарты и протоколы. Регионы, ведомства, их подрядчики писали свои системы на разных языках программирования, строя различную архитектуру, а потом делали интеграции как получится. В какой-то момент систем стало много. Пришло понимание, что обмениваться информацией между собой без единого унифицированного фреймворка им стало просто невозможно. И вот 12 лет назад появилась Система межведомственного электронного взаимодействия (СМЭВ).

Что такое СМЭВ

СМЭВ — это тот транспорт, которым доставляются миллионы «конвертов», необходимых для оказания госуслуг. Через СМЭВ обмениваются информацией между собой:

• федеральные и региональные ведомства

• Единая система идентификации и аутентификации (ЕСИА)

• ряд коммерческих организаций

СМЭВ в цифрах:

Актуальных СМЭВ два: СМЭВ3 и СМЭВ4. При этом четвёртая версия не заменяет третью. Это две принципиально разные системы с одним предназначением — организация обменов между системами участников взаимодействия. Разница в том, что:

• СМЭВ3 подходит, когда нужно гарантированно передать информацию

• СМЭВ4 — когда на первом месте стоит скорость обмена данными

В этой статье речь пойдёт о третьей версии СМЭВ. Как ни крути, она пока остаётся наиболее востребованной. Однако популярность четвёртой растёт на глазах, и о ней я планирую написать в следующей статье.

Как работает СМЭВ3

Собственно, все сообщения в СМЭВ3 — это XML, составленные на основе XSD-схем самого транспорта и вида сведения, отправленные через веб-сервис.

По опыту предыдущих уже неактуальных версий системы в СМЭВ3 сделан упор на гарантии доставки. То есть «доставить любой ценой», несмотря на возможные технические проблемы на стороне любого из участников взаимодействия, — лозунг третьей СМЭВ.

Что такое очереди в СМЭВ3

Важная фишка СМЭВ3 — очереди. В самом транспорте для каждой зарегистрированной системы создаются как минимум 2 очереди: запросов и ответов.

Системы всех участников должны уметь формировать сообщения и подписывать их зарегистрированным сертификатом. Сообщения бывают трёх типов:

• send — с основной информацией

• get — для опроса очередей

• ack — для подтверждения получения

Рассмотрим обмен между информационными системами двух ведомств, одна из которых инициирует обмен или запрашивает информацию, вторая — отвечает на запрос.

1. Инициатор отправляет запрос
—SendRequest. Он попадает в очередь запросов ответчика. Там запрос будет храниться до тех пор, пока ответчик его не вычитает, но максимум — 14 дней.

Если за 14 дней запрос не вычитают, инициатору придёт «отбивка» от СМЭВ, что его запрос попал в архив.

2. Ответчик опрашивает очередь
— GetRequest. Он должен делать это постоянно. И когда туда попадает запрос, ему возвращается непустой «конверт».

3. Ответчик обрабатывает запрос.
Получив «конверт», система ответчика должна выполнить ряд действий: распарсить, уложить в базу и т. п. Затем система отправляет в СМЭВ «конверт» с подтверждением получения запроса — AckRequest. Это ещё один уровень для обеспечения гарантированной доставки. Если СМЭВ не получит от ответчика такое подтверждение, через 15 минут запрос снова вернётся в очередь.

4. Инициатор получает ответ.
После того как система ответчика подготовит «конверт» с ответом, происходит всё ровно то же самое:

• «конверт» попадает в очередь инициатора — SendResponse

• инициатор его вычитывает — GetResponse

• инициатор оправляет подтверждение о получении — AckResponse

Только тогда обмен считается завершённым.

Конечно, здесь ещё много нюансов:

• существуют другие типы обменов, например рассылка

• на стороне СМЭВ происходят различные проверки

• формируются разные типы сообщений: статусные и об ошибках

Но в целом все обмены через СМЭВ3 устроены так, как я описала выше.

Что такое виды сведений в СМЭВ

Важную роль в СМЭВ3 играют такие сущности, как «Виды сведений» (ВС).

Схемами транспорта задаются условно-общие поля для всех обменов, например, для правильной маршрутизации, передачи вложений, подписи и т. п.

Схемами ВС задаются правила, по которым будет формироваться смысловая часть «конверта». То есть как раз та информация, ради которой и осуществляется обмен.

В итоге ВС представляют собой:

1. Правила, по которым формируются запросы и ответы (XSD).

2. Эталоны (XML) — примеры «конвертов» для работы эмулятора.

3. Руководство пользователя — документ, составленный автоматически или вручную владельцем или создателем ВС, призванный помочь подключающимся участникам.

ВС в целом может создать и зарегистрировать любой участник взаимодействия. Таких ВС сейчас около 2 750.

Как подключиться к СМЭВ3

Чтобы стать участником взаимодействия, организации нужно пройти 7 шагов.

1. Оформить заявку на регистрацию организации в СМЭВ. В заявке указывают нормативно-правовое обоснование подключения. В зависимости от типа организации и её целей, эту заявку могут рассмотреть либо очень быстро, либо долго — с выносом на президиум специальной комиссии.

2. Организовать защищённый канал. Это также делается по заявке, в рамках которой вам предоставят и помогут настроить оборудование.

3. Получить сертификаты аккредитованного удостоверяющего центра (АУЦ).

4. Зарегистрировать одну или несколько своих систем с полученными сертификатами в СМЭВ через Личный кабинет участника взаимодействия (ЛК УВ). Выбрать вид сведения, по которому будете работать, или зарегистрировать свой.

5. Настроить или разработать интеграционный модуль для подключения к СМЭВ. Здесь вам на помощь придёт наш адаптер СМЭВ3.

6. Получить доступ к ВС, пройдя процедуру технической готовности (ПТГ) на тестовой среде через ЛК УВ.

7. Переключиться на продуктивную среду.

Как устроен ЛК УВ

Если первые 3 шага инструкции более или менее понятны, то про остальные хотелось бы рассказать подробнее.

Есть у нас потрясающий ЛК УВ

. Получить к нему доступ не составит труда, если выполнена заявка из первого пункта. Авторизация происходит под учётной записью ЕСИА. Единственное, администратору профиля вашей организации в ЕСИА нужно будет вас присоединить к организации.

В ЛК УВ автоматизированы все регламентированные процедуры, которые необходимо выполнить для полноценной работы в СМЭВ.

В несколько кликов можно:

• поменять ей сертификат

• получить доступ к ВС

• зарегистрировать свой ВС

• пройти ПТГ с эмулятором

• проверить наполненность своих очередей

• отследить судьбу обмена

• сформировать отчёт и многое другое

ЛК УВ развивается семимильными шагами и завоёвывает сердца наших пользователей. Особенно рады те, кто знает, как было до его появления. Знаете, мы как-то считали: получилось, что ЛК УВ экономит участникам годы (!) жизни.

Среды в СМЭВ3

В СМЭВ3 мы предоставляем 3 среды: разработки, тестовую и продуктивную.

Среда разработки.
Она даёт уникальную возможность — попробовать свои силы в СМЭВ, не имея ещё ни одного доступа и не дожидаясь выполнения первых пунктов.

На среде разработки можно создать демоверсию организации, зарегистрировать для неё пару систем, вид сведений и попробовать совершить обмены через СМЭВ.

Тестовая среда.
Более популярна, чем среда разработки, потому что сюда перед выходом на прод надо обязательно попасть всем. А большинство поддерживают работоспособность своих тестовых систем и после выхода на прод.

Для тестовой среды и среды разработки не нужен защищённый канал. Опять же получается, что тестироваться можно параллельно с организацией канала для прода.

Ещё одна важная штука для этих сред — сертификат для систем можно сгенерировать прямо в ЛК УВ за несколько секунд.

На тестовой среде помимо её прямого назначения, также проходится ПТГ для получения доступа к видам сведений.

Продуктивная среда.
Здесь экспериментировать уже нежелательно. Доступна она только через защищённый канал. Конверты подписывать можно только сертификатами, полученными в АУЦ.

Интеграционный узел адаптера (ИУА) СМЭВ3

Лирическое отступление: любовь к аббревиатурам в нашей компании и госсекторе в принципе неспроста. У систем такие названия, чтобы можно было их однозначно идентифицировать. Вот так и с ИУА. Конечно, его любят называть просто «адаптер», но это вызывает недопонимание. Адаптерами подрядчики могут обозвать модули своих систем, а у кого-то разработаны и свои универсальные адаптеры СМЭВ. В СМЭВ4 адаптер — это вообще часть другого ПО.

Итак, ИУА СМЭВ3 — это клиентское ПО, поддерживающее все необходимые операции для выполнения обменов через СМЭВ3. Он разворачивается на стороне участника взаимодействия и предоставляет удобные для интеграции интерфейсы.

По сути, это прослойка между вашей системой и СМЭВ, которая облегчит вам жизнь в несколько раз.

ИУА можно поставить как на Windows, так и на Linux. Есть версия для кубера, а есть для домохозяйки: «далее, далее, ок, готово». Также имеется версия в комплекте со всем необходимым окружением: Java, криптопровайдер и СУБД.

Чем же поможет ИУА

• Возьмёт на себя заботы с подписанием конвертов

• Будет опрашивать ваши очереди, выполняя get с заданной вами частотой

• Поможет удобно логировать все обмены

• Позволит выбрать удобный интерфейс: amqp, rest api, soap, БД, через файловую систему и даже встроенный веб-интерфейс. Используя последний, кстати, можно вообще не разрабатывать свою информационную систему, а пользоваться только адаптером СМЭВ3

• Сам подберёт конфигурацию для выбранной среды, обернёт в нужный формат передаваемые вложения, отправит статистику и т. д.

ИУА распространяется свободно, и мы настоятельно рекомендуем его использовать всем участникам взаимодействия.

Где почитать подробнее и куда бежать с вопросами

Единая система контекстной справки

Как любые уважающие себя системы, наши СМЭВ, ЛК УВ и ИУА, конечно же, обросли официальной документацией. Много страниц сложно читаемого текста.

Но также у нас есть классная база знаний в виде статей. Называется она Единая система контекстной справки
(ЕСКС). Также здесь хранятся официальные документы и дистрибутивы. А ещё есть крайне полезный новостной раздел и форум.

Бот. Судьба сообщения и уведомления

Команда ЛК УВ совместно с другими, внешне не видимыми, но не менее значимыми командами разработали телеграм-бота

. С ним можно общаться о судьбе своих обменов и получать уведомления о ключевых событиях, касающихся вас в СМЭВ.

Есть у нас официальный канал связи с эксплуатацией и другими участниками взаимодействия — Ситуационный центр. Там вам ответят здорово и красиво, но не очень быстро.

Однако мы любим наших пользователей, поэтому часто создаём чаты оперативной поддержки в Telegram. Порой они живут годами, а мы с участниками становимся друг другу родными.

Идя в ногу со временем, мы активно ведём телеграм-канал «Новости СМЭВ+»

. Здесь вы можете не только узнать последние новости, но и задать под любой из них свой вопрос. Неважно, если он будет не в тему новости, — мы ответим!

СМЭВ — это сложная высоконагруженная система. Но мы очень стараемся, чтобы она казалась лёгкой для пользователей, особенно на самом сложном шаге — этапе подключения к ней.

Это всё, что хотелось бы рассказать. Надеюсь на ваш интерес и мотивацию к написанию новых статей.

Благодарю за внимание.

Редактор: Ольга Кочкина

Шаг №1 — получение разрешения на использование ЦПГ в ЦБ РФ

Для получения доступа к ЦПГ, необходимо обратиться в ЦБ РФ, с просьбой
предоставить доступ к Цифровому профилю. Отправлять запрос необходимо через ЛК ЦБ РФ. Видеоинструкция по отправке запроса через ЛК ЦБ РФ доступна по ссылке
. Ответ занимает до 3-х рабочих дней.

Шаг №2 — создание учетной записи организации в ЕСИА

Необходимо создать учетную запись организации через портал Госуслуг ( Инструкция
).
Это может сделать
руководитель организации через сайт Госуслуг. Для этого он должен быть
зарегистрирован на госуслугах и иметь квалифицированную электронную подпись
(КЭП) юридического лица (в т.ч. это может быть подпись ЭП-СП).
За получением
средства КЭП нужно обратиться в один из аккредитованных Минкомсвязью России
удостоверяющих центров вашего региона.

При невозможности получения КЭП в УЦ, необходимо обратиться в федеральное казначейство, ЦБ РФ или федеральную налоговую службу. В зависимости от типа организации.

Шаг №3 — получение КЭП в УЦ

Требуется получить средство технологической электронной подписи для
информационной системы («ключ для СМЭВ»/ «ключ Организации (ЭП- ОВ)»,
извлекаемый ключ, в сертификате которого должны быть указаны только данные
Организации), обратившись в любой удостоверяющий центр, входящий в Единое
пространство доверия.
Перечень удостоверяющих центров доступен по адресу
https://digital.gov.ru/ru/activity/govservices/certification_authority/
.
Это может сделать
руководитель организации через сайт Госуслуг. Для этого он должен быть
зарегистрирован на госуслугах и иметь квалифицированную электронную подпись
(КЭП) юридического лица (в т.ч. это может быть подпись ЭП-СП). За получением
средства КЭП нужно обратиться в один из аккредитованных Минкомсвязью России
удостоверяющих центров вашего региона. При невозможности получения КЭП в УЦ, необходимо обратиться в федеральное казначейство, ЦБ РФ или федеральную налоговую службу. В зависимости от типа организации.

Внимание:
полученный из КЭП сертификат, должен использоваться только в одной ИС в СМЭВ и только для работы с сервисом ЦПГ и ЕСИА, при необходимости работать с другими СМЭВ сервисами, нужно будет создать отдельную ИС в СМЭВ, и выпустить отдельный сертификат.

Шаг №4 — присоединение к регламенту СМЭВ

Внимание
: Если организация ранее не была подключена к СМЭВ, то оригинал заявки на присоединение к Регламенту СМЭВ с сопроводительным письмом (на бланке организации) необходимо направить в Минкомсвязь России (адрес для отправки будет в ответном письме, на отправку заявки в электронном виде).

Внимание
: следующий шаг рекомендуется выполнять не ранее, чем через 3 дня после отправки заявки.

Шаг №5 — регистрация ИС в среде СМЭВ 3

На рабочем столе ЛК УВ открыть страницу Информационные системы / Добавление.
На странице добавления информационной системы следует заполнить:

Среда СМЭВ
– нередактируемое поле;

Мнемоника
– нередактируемое текстовое поле, содержит уникальную мнемонику создаваемой Информационной системы, при создании новой информационной системы, ЛК УВ автоматически создаст уникальную мнемонику Информационной системы;

Краткое наименование
– текстовое поле, содержит краткое наименование создаваемой Информационной системы;

Полное наименование
– текстовое поле, содержит полное наименование создаваемой Информационной системы;

Сертификат
– нередактируемое поле, после загрузки на форму сертификата, в поле отображается его номер.

При выборе тестовой или продуктивной среды будет предложено скопировать ИС из другой среды. Сначала нужно создать ИС в тестовой среде. Указать необходимую информацию для заполнения.

Далее откроется окно добавление сертификата создаваемой Информационной системы.
Необходимо загрузить сертификат вашей КЭП в окно загрузки, сертификат пройдет проверку в системе ЛК УВ.

После заполнения всей необходимой информации и добавления сертификата система предложит вам подтвердить добавление системы, нужно проверить информацию и нажать кнопку “Да, уверен”.

После создания ИС в тестовой среде СМЭВ, нужно создать ИС в продуктивной среде СМЭВ и загрузить файл сертификата вашей КЭП по аналогии из шагов выше. И С в продуктивной среде СМЭВ копируется из тестовой среды, при создании ИС вам предложат выбрать это действие.

Шаг №6 — предоставление доступа к тех. порталу

Для доступа к техпорталу и переходу к шагу №7 вам необходимо, в учетной записи
созданной организации перейти в раздел «Сотрудники»
и добавить всех сотрудников,
которым будет необходим доступ к техпорталу. Во вкладке «Доступ к системам»
,
также предоставить добавить всех сотрудников, которым необходим доступ для
управления системой. Во вкладке «Группы доступа»
необходимо «присоединить»
сотрудников, которым будет необходимо управлять ИС на техпортале, а также
«присоединить» администратора ИС к «Администраторам профиля ораганизации».
Внимание: После добавления сотрудников во все группы, необходимо выйти из
техпортала и госуслуг, очистить кэш в браузере и перезайти в систему.

Шаг №7 — создание ИС на тех. портале

Регистрация ИС в ЕСИА необходима для дальнейшего получения доступа к сервисам СМЭВ 3.0, взаимодействующим с ЕСИА (УПРИД, Сервис регистрации пользователей и т.д.).

Зарегистрировать ИС можно через технологический портал ЕСИА
. Подробную инструкцию по регистрации ИС в

ЕСИА смотрите в руководстве пользователя технологического портала: http://minsvyaz.ru/ru/documents/4545/
. В результате регистрации ваша информационная система заносится в реестр ИС, взаимодействующих с ЕСИА.

Внимание
: При регистрации ИС в ЕСИА необходимо указать Мнемонику ИС в ЕСИА = Мнемонике ИС в СМЭВ.

Также, требуется загрузить сертификат электронной подписи системы, такой же как зарегистрирован в СМЭВ для этой системы.

• название системы – желательно использовать официальное название ИС на русском языке;
• отображаемое название – текст, который будет отображаться на форме логина ИС;
• мнемоника системы – идентификатор системы, который будет использоваться в ЕСИА;
• информация о системе – краткое описание ИС;
• URL системы – url с обязательным указанием протокола HTTP/HTTPS, например: https://esia.gosuslugi.ru/
  ;
• Алгоритм формирования электронной подписи – GOST (как на скриншоте выше);
• URL для отправки push сообщений – оставить пустым.

• поле URL для отправки push сообщений – оставить пустым;
• «Категория информационной системы» – оставить по умолчанию, параметры «время жизни» не менять;
• данные об ответственном за эксплуатацию ИС – ответственный должен быть предварительно зарегистрирован в ЕСИА и присоединен к организации-оператору ИС в качестве сотрудника. Для выбора сотрудника достаточно ввести первые буквы фамилии, после чего будут предложены возможные варианты. Поля «адрес электронной почты» и «номер телефона» отображаются автоматически после выбора сотрудники (это служебные контакты указанного сотрудника).

После заполнения данных полей необходимо нажать на кнопку «Сохранить». Запись ИС будет добавлена в регистр ЕСИА.

Шаг №8 — генерация необходимых файлов

При подаче заявки на подключение к тестовой среде ЕСИА вам потребуются ключ и
сертификат ключа.

Для получения необходимо обратиться в один из аккредитованных удостоверяющих
центров. Ключом будут шифроваться запросы от вашей ИС к ЕСИА. Перечень
аккредитованных удостоверяющих центров доступен по адресу
https://digital.gov.ru/ru/activity/govservices/certification_authority/
. Для экспорта ключа
используйте инструкцию указанную на шаге No8.

Шаг №11 — заполнение и отправка заявки на промышленную среду

После получения положительного ответа о подключении к тестовой среде ЕСИА
следует аналогично шагам No6-7 направить заявку на “На подключение к
промышленной среде ЕСИА”. В бланке заявке указать номер заявки на подключение к тестовой среде.

Шаг №12 — передача ключа и сертификата

После завершения процесса подключения необходимо экспортировать контейнер из КЭП в
соответствии с инструкцией – https://crypto.rnds.pro/
.
Вам необходимо выполнить первые 5 шагов инструкции и полученные 6 файлов загрузить в систему.

Шаг №13 — Получение доступа к ВС ЦПГ через ЛК УВ

Для получения доступа к ВС ЦПГ через ЛК УВ необходимо:

1. Пройти авторизацию на сайте ЛК УВ (сотрудник должен находиться в группе доступа к “ЛК УВ”) – https://lkuv.gosuslugi.ru/

2. В ЛК УВ основного меню выбрать пункт “Доступ к виду сведений”

3. Выбрать продуктивную среду СМЭВ.

4. Необходимо выбрать вид сведений ЦПГ из списка доступных ВС.

Наименование сервисов ЦПГ:

Запрос перечня согласий пользователя ЕСИА, выданных организации – https://docs.agredator.ru/docs/services/esia/issued-person-permissions/

Запрос согласий пользователя ЕСИА от организации – https://docs.agredator.ru/docs/services/esia/claim-person-permissions/

Запрос персональных данных при наличии согласия пользователя ЕСИА – https://docs.agredator.ru/docs/services/esia/personal-data/#запрос-персональных-данных-при-наличии-согласия-пользователя-есиа

В документации к сервисам ЦПГ можно узнать точное наименование и необходимую версию для добавления в ЛК УВ.

5. Выбрать версию ВС к которой вы хотите получить доступ.

6. Необходимо выбрать информационную систему для которой запрашивается доступ

7. Выбрать роль участника информационного взаимодействия, возможны вариации: инициатор.

При добавлении нужного ВС в продуктивную информационную систему ЛК УВ запросит у вас НПА, по которым ваша организация может подключить нужный ВС. Необходимо указать: “Постановление Правительства РФ от 3 июня 2019 г. N 710
“О проведении эксперимента по повышению качества и связанности данных, содержащихся в государственных информационных ресурсах”” и номер телефона ответственного сотрудника за подключение.

Добавленный ВС будет в статусе “Новый запрос на доступ”. Необходимо ожидать согласование доступа с владельцем ВС.

8. После прохождения всех шагов получения доступа к ВС ЦПГ, нужно подтвердить процедуру подтверждения технической готовности, выбрав кнопку ”Да, уверен”. При подтверждении, воспроизводится процедура прохождения тестирования с ЛК УВ.

Шаг №14 — Прохождение тестирования

Необходимо пройти тестирование на подключение к ВС ЦПГ
Описание ВС в СМЭВ:
https://lkuv.gosuslugi.ru/paip-portal/#/inquiries/b07a8b17-3178-11ec-ab13-114392f4260e/versions/a793af38-ce9f-44c6-98e8-b488512fec07?area=PROD

И дополнительным ВС:

Описание ВС в СМЭВ:
«Запрос согласий пользователя ЕСИА от организации».

С помощью данного ВС система-клиент может запрашивать согласия у гражданина.

Описание ВС в СМЭВ:
«Запрос перечня согласий пользователя ЕСИА, выданных организации».
https://lkuv.gosuslugi.ru/paip-portal/#/inquiries/card/636ac359-ff80-11eb-ba23-33408f10c8dc

С помощью данного ВС система-клиент может запрашивать перечень выданных
гражданином организации-владельцу ИС согласий.

Для завершения подключения к ВС ЦПГ необходимо отправить тестовые запросы.

ЕСИА и СМЭВ для государственных

и муниципальных организаций

Для реализации положений Распоряжения Правительства РФ от 09 июня 2014 № 991-р

и Указа Президента Российской Федерации от 7 мая 2012 года N 601

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c  политикой конфиденциальности
.

Готовые решения для подключения к ЕСИА

Распоряжением Правительства РФ от 09.06.2014 N 991-р (ред. от 27.09.2014) «Об утверждении плана мероприятий (“дорожной карты”) по реализации Концепции развития механизмов предоставления государственных и муниципальных услуг в электронном виде, утвержденного распоряжением Правительства РФ от 25.12.2013 N 2516-р» в пункте 29 сказано, что должна быть обеспечена интеграция официальных сайтов и порталов федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и органов местного самоуправления, используемых в процессе предоставления услуг (далее – региональные и муниципальные порталы), с единой системой идентификации и аутентификации (ЕСИА).

Результатом реализации данного пункта должно являться использование ЕСИА для авторизации пользователей на региональных и муниципальных порталах, а также на официальных сайтах в I квартале 2015.

Ответственность за невыполнение плана мероприятий (“Дорожной карты”)

Хотя прямых мер в отношении организаций, не обеспечивающих авторизацию через ЕСИА на своих официальных сайтах и порталах еще не предусмотрено, но существующие тенденции и события в сфере развития концепции электронного правительства показывают решительность министерства связи и аппарата президента в реализации установленных планов.

Так, например, крупные информационные системы, использующие свою систему авторизации были директивно по требованию минсвязи переведены на ЕСИА.

Также Министерство связи стимулирует регионы публикацией рейтингов:

• 4 февраля 2014: Минкомсвязи подготовило рейтинг регионов по доле жителей, зарегистрированных на Едином портале госуслуг на январь 2014 г. ( http://minsvyaz.ru/ru/events/30222/
  );
• 2 апреля 2015: Минкомсвязь России начинает публиковать еженедельный отчет по использованию ЕСИА ( http://minsvyaz.ru/ru/events/32964/
  ).
• 17 июля 2015 Минкомсвязи назвала лидирующие и отстающие регионы по доле зарегистрированных на портале госуслуг жителей, где, в частности, сказано, что 10 субъектам необходимо принять меры.
• На 1 февраля 2016 года в “красную” зону по невыполнению плана “дорожной карты” попали уже 12 субъектов.

По мере приближения к 2018 году (в котором планируется довести долю граждан, зарегистрированных в ЕСИА до 70%) меры будут ужесточаться, а соответствующие рейтинги станут основанием для принятия мер в отношении руководителей органов исполнительной власти и органов местного самоуправления.

Так, например, во многих регионах устоялась практика, при которой интеграция с ЕСИА рассматривается как необходимый элемент для выделения средств на дальнейшее развитие и модернизацию официальных сайтов и порталов органов власти.

По опыту регионов, занимающих лидирующие позиции в сегменте электронного правительства, граждане активно регистрируются на портале Госуслуг и пользуются получением услуг в электронной форме только после того, как местная инфраструктура (официальные сайты, порталы, информационные системы) широко использует ЕСИА для авторизации.

Таким образом, интеграция ЕСИА является стратегическим шагом для реализации утвержденных планов, по которым доля граждан, использующих механизм получения государственных и муниципальных услуг в электронной форме, к 2018 г. должна достичь 70%. При этом плановый показатель на 2015 г. — 40%.

Некоторые сайты с нашими решениями

Государственные и муниципальные организации

А также более 400 других государственных учреждений, вузов и коммерческих компаний по всей России.

При выполнении очередного госзаказа наша команда столкнулась с проблемой интеграции сайта с ЕСИА. Инструкции по решению этой задачи в сети нет, кроме информации в официальных документах МинКомСвязи (примерно 300 страниц в трех регламентах). Также есть компании, которые оказывают платные услуги по интеграции ЕСИА. Мы реализовали, описали процесс интеграции и решили поделиться с сообществом habrahabr.

Что такое ЕСИА

Е
диная С
истема И
дентификации и А
утентификации — российская информациия система, обеспечивающая доступ (регистрация, аутентификация) на сайты государтсвенных структур и некоторых коммерческих организаций. Подробнее на википедии

В процессе интеграции ЕСИА, система сможет отправлять запрос на ЕСИА и при успешной авторизации получать в качестве ответа данные пользователя

Сценарий авторизации выглядит примерно так:

• Пользователь на сайте, на котором внедряется ЕСИА, в личном кабинете нажимает на кнопку «Войти через ГосУслуги»
• Система переадресует на сайт ЕСИА
• Пользователь вводит свои логин и пароль на сайте ЕСИА
• При успешной авторизации ЕСИА возвращает пользователя обратно на сайт и по защищенному протоколу передает его личные данные