Вот протокол взаимодействия и другие вопросы, которые вам нужно знать

Часто задаваемые вопросы (FAQ) по ЕСИА

• Необходимы ли административные привилегии для установки плагина?Административные привилегии при установке плагина не требуются, если плагин устанавливается для использования текущим пользователем. Если же в процессе установки плагина выбрана опция установки плагина для всех пользователей компьютера, то для продолжения установки будет необходимо ввести пароль администратора.
• Необходимо ли перезапускать браузер после установки плагина?Нет, при установке плагина не требуется перезапускать браузер и операционную систему. Если плагин корректно встроен на ваш веб-сайт, то веб-страница может проверить, установлен ли плагин, а также подсказать пользователю о необходимых действиях, связанных с его установкой.
• Мы хотели бы использовать ваш плагин на своем сайте. Можем ли мы предоставлять пользователям плагин для загрузки с нашего сайта? Возможно ли для нашей версии изменить название и логотип плагина?Да, если вы купили лицензию, вы можете использовать и распространять плагин с вашего веб-сайта. Вы также можете заказать выпуск специальной версии плагина, брендированной для вашей компании или вашего сайта. Свяжитесь с нами для получения дополнительной информации.
• Можно ли с вашим плагином использовать электронную подпись на смартфонах и планшетах?К сожалению, наш плагин работает только на компьютерах под управлением операционных систем Windows, macOS и Linux (Linux Ubuntu 14/16, Linux Fedora 23, Linux Mint 17/18, CentOS и др.). Операционные системы мобильных устройств, такие как IOS и Android, не поддерживаются.
• Ваш плагин не поддерживает мой тип ключей. Можно ли добавить мой токен в число поддерживаемых?Пожалуйста, обратитесь к нами с использованием формы обратной связи. Сообщите нам имя токена и его производителя. Мы сообщим, сможем ли поддержать запрошенный тип ключей.
• Будет ли плагин работать со старыми версиями браузера Firefox, в том числе действующим ESR-релизом?Да, Blitz Smart Card Plugin совместим как со старыми версиями Firefox, использующими NPAPI, так и новыми версиями Firefox (версия 52 и новее), работающими через Native Messaging API. Поставляющийся с плагином JavaScript проверяет версию Firefox, установленного у пользователя, и использует актуальный способ взаимодействия с плагином.
• Какие требования предъявляются к веб-сайту, чтобы он мог использовать функции подписания документов?Blitz Smart Card Plugin — это клиентское программное обеспечение. Это означает, что браузер сможет вызывать функции работы с электронной подписью только после установки на машину пользователя специального плагина. Вместе с плагином предоставляется JavaScript, который должен быть встроен на сайт для возможностей использования функций электронной подписи.

Единая система идентификации и аутентификации

• Нужно ли приобретать отдельные лицензии для тестовых сред?Не нужно. В зависимости от приобретенного пакета лицензий вам доступна возможность использовать Blitz Identity Provider не только на доменах ПРОД‑среды, но и на определенном количестве ТЕСТ‑сред.
• Ограничивается ли срок действия приобретенных лицензий?Приобретаемые лицензии бессрочны — приобретаются один раз и на все время. Также при желании можно отдельно приобрести услуги годовой технической поддержки программного обеспечения.
• Можно ли добавить в продукт необходимую нам функцию?Да, мы развиваем Blitz Identity Provider, ориентируясь прежде всего на пожелания наших клиентов и пользователей. Напишите нам, какая функция вам необходима. Возможно что решение вашей задачи уже предусмотрено иным способом, и мы подскажем, как это можно настроить и использовать, либо мы включим нужную вам функцию в план разработки.
• Сколько лицензий необходимо в случае подключения сайта и мобильного приложения?Если сайт и мобильное приложение архитектурно представляют собой одну систему, то они могут использовать общие параметры подключения и регистрироваться в Blitz Identity Provider как одно приложение (использовать общую лицензию). Если же сайт и мобильное приложение представляют собой архитектурно две разные системы, то они должны регистрироваться в Blitz Identity Provider как два разных приложения, каждое со своими настройками подключения, и использовать в этом случае две лицензии.

Ответы на частые вопросы о подключении организации к ЕСИА

Официальные инструкции запутанны и сложны для восприятия, так что мы подготовили FAQ по теме
интеграции с ЕСИА на основе вопросов, которые чаще всего задают наши клиенты.

Что такое ЕСИА

Министерство цифрового развития, связи и массовых коммуникаций уже больше десяти лет разрабатывает
и совершенствует безопасный сервис авторизации для различных государственных сервисов и сайтов. Он получил
название «Единая система идентификации и аутентификации» — ЕСИА. Это универсальный ключ доступа к ресурсам
электронного правительства РФ.

Если вначале ЕСИА применялась для авторизации на портале Госуслуг, то по мере выполнения Федерального
проекта «Цифровое государственное управление» и появления
новых суперсервисов, ее сфера применения
расширилась.

ЕСИА применяется для взаимодействия с органами власти и за пределами государственного сектора.
К сервису подключаются порталы и IT-системы частных компаний из числа тех, для которых точная
и безошибочная идентификация пользователей — приоритет.

Доверие к ЕСИА обеспечено продуманной криптографической защитой и тем фактом, что учетная запись
пользователя этой системы содержит подтвержденную государством информацию, начиная с фамилии и заканчивая
номером пенсионного свидетельства.

Как работает ЕСИА

С точки зрения пользователя вход на сайт или в мобильное приложение при помощи ЕСИА
не отличается от использования аккаунта Google, Яндекс или одной из популярных социальных сетей.

В момент ввода данных сайт обращается к отдельному программному модулю — коннектору, отвечающему
за связь с ЕСИА. Коннектор формирует зашифрованный запрос к серверам сервиса и получает
в ответ пакет с личными данными пользователя. Они расшифровываются при помощи криптографического
ключа, выданного организации заранее, еще на этапе настройки коннектора. Затем, личные данные передаются
на сайт.

Такая схема подключения позволяет реализовать разнообразные сценарии взаимодействия пользователя и сайта.
В случае с банковскими продуктами использование сервиса может выглядеть так:

• Пользователь заходит на сайт банка, чтобы оформить кредит.
• Выбрав нужную сумму в кредитном калькуляторе, он переходит к оформлению заявки.
• Вместо того чтобы заполнять длинную анкету с личными данными, пользователь кликает на кнопку
  авторизации в ЕСИА.
• Модуль-коннектор переходит на сайт ЕСИА и открывает форму авторизации.
• Пользователь вводит телефон, email или СНИЛС и пароль и подтверждает передачу персональных данных.
• Система проверяет корректность данных и возвращает пользователя на сайт банка, а коннектор
  получает и расшифровывает ответ, содержащий необходимую банку информацию о пользователе.
• Анкета, необходимая для создания заявки на кредит, заполняется автоматически.
• Пользователю остается подтвердить отправку заявки и ждать звонка менеджера.

Кто может подключиться к ЕСИА

ЕСИА создавалась, чтобы облегчить предоставление государственных услуг, так что интеграция с этим
сервисом доступна всем государственным учреждениям. Помимо них, такая привилегия выдана нескольким разновидностям
юридических лиц, занимающихся коммерческой деятельностью.

Интегрироваться с ЕСИА могут:

Какие данные можно получать из ЕСИА

Для организаций, зарегистрированных в ЕСИА, этот список составляют типовые реквизиты: наименование,
юридический адрес, ОГРН, код ОКПО и т.д. Кроме того, при создании учетной записи присваивается один
из трех статусов, отражающих ее надежность.

Государственные органы, с разрешения владельца учетной записи, могут получить всю информацию
из аккаунта, но для коммерческих организаций доступ ограничен. Им доступны данные
о подтвержденности аккаунта, ФИО пользователей и часть паспортных данных.

Какие бывают учетные записи в ЕСИА

Каждый новый пользователь сервиса первоначально получает «упрощенную» учетную запись с ограниченными
возможностями. Когда пользователь указывает правильные паспортные данные или СНИЛС, аккаунт проходит проверку
со стороны государственных органов, и учетной записи присваивается статус — «стандартная». Для получения
«подтвержденного» аккаунта его владелец должен пройти идентификацию при помощи авторизованного интернет-банка
 или лично посетив МФЦ.

Сколько пользователей в ЕСИА

Министерство цифрового развития, связи и массовых коммуникаций открыто не отчитывается о числе
пользователей ЕСИА, так что судить об их количестве можно лишь приблизительно, по устаревшим
данным.

Согласно отчету Ростелеком, сервисом пользуется
больше 80 миллионов человек — каждый второй житель России.

Для чего ЕСИА коммерческим компаниям

Для негосударственных организаций сервис открывает новые возможности, не связанные с получением
персональных данных.

Как зарегистрировать организацию в ЕСИА

Процедура начинается с юридических формальностей. Прежде всего, необходимо выбрать ответственное лицо —
администратора IT-системы, которая будет работать с ЕСИА. В этой роли может выступать руководитель
организации или его доверенное лицо. Администратор подтверждает личность через портал госуслуг
и регистрирует там организацию.

Затем администратор оформляет квалифицированную
электронную подпись и вносит новую IT-систему в особый регистр. Эта процедура подробно
изложена в детальном руководстве.

После регистрации IT-системе присваивается мнемоника — индивидуальный код-идентификатор. Он потребуется
техническим специалистам для дальнейшей настройки системы.

Как подключить сайт организации или другую IT-систему к ЕСИА

Следующий шаг на пути интеграции с сервисом требует привлечения специалистов с технической
квалификацией в области информационной безопасности. Чтобы подключить сайт или другую IT-систему
к сервису, необходимо сгенерировать криптографический ключ и соответствующий ему сертификат.

Сертификат передается государству. В ответ Минкомсвязи высылает разрешение на тестовый доступ
к сервису и данные для пробного подключения.

Далее следуют работы по разработке и настройке коннектора между IT-системой организации
инфраструктурой сервиса. Разработчикам предстоит научить их взаимодействовать между собой — принимать
и отправлять запросы в автоматическом режиме. Минкомсвязи даст разрешение на полноценный запуск
IT-системы только после того, как коннектор стабильно заработает в тестовом режиме.

Какой протокол использовать для подключения к ЕСИА и чем он отличается
от стандартов

Для интеграции сайта или IT-системы с ЕСИА используется сочетание авторизации по OAuth 2.0 и аутентификации при помощи OpenID Connect. Это распространенные решения с подробной
документацией и многочисленными примерами использования, но применить их для интеграции
с сервисом «как есть» не получится.

Хотя создатели сервиса в целом придерживались стандартных спецификаций, им пришлось разработать
собственный Application Programming Interface для приема электронных подписей. Чтобы подключение
к ЕСИА было успешным, стандартным библиотекам OpenID/OAuth необходима ручная доработка.

Какой сертификат нужен для регистрации системы в ЕСИА
и обязательно ли использовать ГОСТ-криптографию?

В октябре 2019 года Минкомсвязи обновило методические
рекомендации, исключив из них
упоминания стандарта шифрования RSA (Rivest, Shamir и Adleman) и самоподписанных сертификатов.
Их использование больше не допускается.

Теперь российские алгоритмы шифрования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 —
единственные стандарты, которые доступны для использования с ЕСИА.

Сертификаты обязательно должны быть выпущены сертифицированным удостоверяющим центром.

Какие готовые решения можно использовать для подключения

В отдельных отечественных системах управления сайтами предусмотрены инструменты для подключения
к ЕСИА, но переносить сайт на новую CMS ради интеграции с порталом госуслуг
нецелесообразно, и, зачастую, попросту невозможно.

Универсальное решение — библиотеки с открытым исходным кодом. С их помощью можно обеспечить
работу с сервисом для любой IT-системы, но для их настройки требуются технические навыки. Мы
предпочитаем использовать Open Source компоненты, однако дорабатываем и адаптируем их для каждого
проекта.

Можно ли подключить к ЕСИА мобильное приложение

Да, но в приложение должен быть интегрирован браузер. Он необходим только для авторизации,
так что все остальные операции с приложением можно реализовать через обычный интерфейс. Например,
так функционируют приложения «Госуслуги» и «Почта России».

Сколько времени уходит на подключение к ЕСИА

Формальная сторона процедуры, включающая регистрацию аккаунтов и ожидание мнемонического кода
от Минкомсвязи, обычно занимает около недели.

На работы по настройке коннектора для базового подключения требуется две — три недели.
В случаях, когда необходимо получение данных из аккаунта ЕСИА и дальнейшая их обработка,
срок увеличивается.

Сколько стоит подключение

Государство не взимает платы за использование системы авторизации и идентификации.
Подключение к ЕСИА бесплатно, однако на самостоятельную настройку коннектора для работы
с сервисом придется потратить силы и время.

Практика показывает, что интеграция силами штатных сотрудников IT-отдела компании удается
не всегда. Настройку интеграции сайта или иной IT-системы с ЕСИА лучше доверить опытной
команде, которая неоднократно выполняла эту процедуру. Стоимость работ специалистов варьируется
в зависимости от сложности системы и масштабов проекта.

Предупреждает ли Минкомсвязи о регламентных работах

Минкомсвязи не публикует график работ, но за несколько часов до начала технического
обслуживания предупреждает об отключениях сервиса при помощи сообщений на сайте
государственных услуг.

Отключения ЕСИА редки и, как правило, происходят в часы наименьшей нагрузки на сервис,
а восстановление работы авторизации происходит автоматически.

Где можно найти дополнительную информацию о ЕСИА

Инструкции по работе с сервисом периодически пересматриваются, обновляются и дополняются,
поэтому, изучив ответы на распространенные вопросы, стоит обратиться к первоисточникам.

Общую информацию о подключении к ЕСИА, а также контакты для связи с Ситуационным
центром Минкомсвязи, где можно получить консультацию по правовым аспектам подключения, приведены на информационной странице ЕСИА
на портале Госуслуг.

Актуальные документы, касающиеся сервиса, публикуются на официальном портале Минкомсвязи РФ. Перечень
документов, которые публикует министерство, включает в себя:

Госуслуги — это единый государственный портал, благодаря которому каждый житель РФ может получить доступ к государственным и муниципальным услугам.

С появлением госуслуг решилась проблема вечных очередей, кучи записей и разрозненной базы пользователей в госучреждениях. Теперь при помощи портала можно и подать заявление на выдачу паспорта, и проверить автомобильные штрафы, и заказать выписку из трудовой книжки. Авторизация на Госуслугах происходит при помощи ЕСИА.

ЕСИА — это система идентификации, которая обеспечивает доступ к государственным ресурсам. В учетной записи ЕСИА содержатся все важные сведения о пользователе — паспортные данные, СНИЛС и ИНН, информация о штрафах и налогах, банковские данные. ЕСИА работает для идентификации не только на Госуслугах, но и на других государственных или муниципальных порталах.

Сравнение вариантов подключения к ЕСИА

Сравнение вариантов подключения к ЕСИА

УниверсальностьИспользовать протоколы OpenID Connect / OAuth может система любой организации, которой разрешено подключение ЕСИА.

Поддержка ГОСТ-криптографииПри взаимодействии системы с ЕСИА можно использовать ГОСТ-криптографию и квалифицированные сертификаты электронной подписи, а не только зарубежный алгоритм RSA.

Актуальность получаемых сведенийСистема получает сведения о пользователе, актуальные на момент выполнения запроса к REST-сервисам ЕСИА.

Полнота получаемых сведенийСистема получает все сведения о пользователе, а не только те, что ассоциированы с ролью, выбранной пользователем в момент входа. Например, можно запросить список всех организаций, в которые включен пользователь ЕСИА.

Получение сведений оффлайнСистема может продолжать получать от ЕСИА данные о пользователе, даже когда пользователь завершает свою онлайн-сессию.

С использованием SAML

ОграниченностьСогласно регламенту Минкомсвязи использовать SAML для подключения к ЕСИА разрешено только системам органов власти и учреждениям, оказывающим государственные услуги.

Только зарубежная криптографияПри взаимодействии системы с ЕСИА можно использовать только RSA и только неквалифицированные сертификаты.

Неактуальные сведенияСистема получает сведения о пользователе, актуальные на момент самой первой аутентификации пользователя, а не на момент SSO-входа в приложение. В случае обновления пользователем сведений в ЕСИА в течение сессии эти изменения остаются невидимыми системам до момента перевхода пользователя.

Фрагментарность получаемых сведенийНе все сведения о пользователе можно получить по SAML. Получаемые сведения ограничены текущей ролью, выбранной пользователем при входе.

Получение сведений только онлайнСистема может получать от ЕСИА данные только в момент входа пользователя.

В 2017 году Минкомсвязь России внесла уточнение в регламент подключения к ЕСИА

С 01.01.2018 г. никакие системы больше не могут быть подключены к ЕСИА по протоколу SAML 2.0. Возможность использования этого протокола сохранится только для ранее подключенных систем. Для подключения к ЕСИА необходимо использовать протокол OAuth 2.0 / OpenID Connect.

Для подключения к ЕСИА с использованием протоколов OpenID Connect 1.0 / OAuth 2.0 рекомендуем воспользоваться ESIA-Bridge — нашим программным обеспечением, которое берет на себя все задачи по взаимодействию с ЕСИА в целях идентификации и аутентификации пользователей.