Единая система идентификации и аутентификации (ЕСИА)#
Предварительные шаги#
Для конфигурирования входа через ЕСИА / Цифровой профиль гражданина (ЦПГ) одним из указанных ниже способов выполните следующие предварительные шаги:
Получите в удостоверяющем центре ключ электронной подписи для взаимодействия с ЕСИА и выгрузите сертификат открытого ключа.
Примечание
Сертификат ключа понадобится зарегистрировать на Технологическом портале ЕСИА (см. следующий пункт).
Внимание
До регистрации ИС в ЕСИА необходимо зарегистрировать учетную запись организации в ЕСИА и дать одному из сотрудников доступ к Технологическому порталу ЕСИА.
Зарегистрируйте систему организации на Технологическом портале ЕСИА:
Нажмите на кнопку Добавить систему.
Укажите название системы, отображаемое название, мнемонику системы, список URL системы (URL развернутой системы Blitz Identity Provider с указанием
https), а также выберите ответственного сотрудника.
Сохраните данные и перейдите к настройке сертификатов информационной системы.
Загрузите сертификат системы.
Важно
Чтобы вход через ЕСИА заработал, необходимо получить официальное разрешение на проведение идентификации и аутентификации пользователей с помощью зарегистрированной системы и получить доступ к тестовой / промышленной среде ЕСИА. Подробнее об этом можно прочитать здесь.
В соответствии со своими бизнес-задачами выберите метод конфигурирования входа через ЕСИА:
через типовые решения TrustGate;
штатными средствами Blitz Identity Provider (интеграция с ЕСИА и Цифровым профиль ЕСИА).
Адаптер SDK ИС Клиента для ЕСИА (АНО НТЦ ЦК)#
Blitz Identity Provider позволяет использовать для взаимодействия с ЕСИА типовое сертифицированное решение Адаптер SDK ИС Клиента.
Примечание
Решение разработано АНО «Национальный технологический центр цифровой криптографии».
С использованием SDK ИС Клиента предусмотрена возможность конфигурирования входа:
через ЕСИА;
ЕСИА#
Для конфигурирования входа через ЕСИА с использованием SDK ИС Клиента выполните следующие шаги:
Установите и настройте ПО SDK ИС Клиента согласно документации на это ПО.
Перейдите в консоль управления Blitz Identity Provider и добавьте поставщика, имеющего тип
ЕСИА (Адаптер-Инфраструктура).Задайте базовые настройки ЕСИА:
Идентификатор поставщика;Название поставщика.
Заполните настройки поставщика идентификации ЕСИА:
URL для формирования запроса аутентификации: адрес сервиса SDK ИС Клиента, возвращающего запрос аутентификации, который Blitz Identity Provider отправит из браузера пользователя в ЕСИА для получения кода авторизации.URL для авторизации: адрес обработчика ЕСИА, возвращающего код авторизации в ответ на запрос аутентификации.Примечание
https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v2/ac(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/aas/oauth2/v2/ac(ПРОД ЕСИА)URL для формирования запроса маркера: адрес сервиса SDK ИС Клиента, возвращающего запрос маркера, который Blitz Identity Provider отправит в серверную часть ЕСИА для обмена кода авторизации на маркер доступа.URL для получения и обновления маркера: адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения маркера доступа.Примечание
https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v3/te(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/aas/oauth2/v3/te(ПРОД ЕСИА).URL для обработки ответа на запрос маркера: адрес сервиса SDK ИС Клиента, на который Blitz Identity Provider отправит токен доступа для подтверждения аутентификации ЕСИА. После получения подтверждения маркер доступа, маркер идентификации, маркер обновления, полученные от ЕСИА, будут являться валидными и корректными и могут быть использованы для взаимодействия с приложением, запросившим доступ.URL для получения данных– адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения данных учетной записи.Примечание
https://esia-portal1.test.gosuslugi.ru/rs/prns/${prn_oid}(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/rs/prns/${prn_oid}(ПРОД ЕСИА).
Примечание
Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок
Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:при входе пользователя;
при привязке внешнего поставщика в Личном кабинете;
при привязке внешнего поставщика через REST API;
при регистрации пользователя через внешнего поставщика.
Запрашиваемые разрешения: перечень запрашиваемых разрешений из ЕСИА. Имеется возможность получить данные об организации пользователя. Для этого необходимо указать разрешениеusr_org, а также выполнить настройки вblitz.conf. Для получения детальных настроек напишите нашим экспертам по адресу support@idblitz.ru.Запрашиваемые данные пользователя: необходимо отметить те данные, которые следует получать из ЕСИА; эти данные должны быть доступны по запрашиваемым разрешениям.
Настройте правила связывания.
В разделе Аутентификация консоли управления включите использование метода аутентификации с использованием поставщика идентификации
ЕСИА (Адаптер-Инфраструктура).
Цифровой профиль гражданина (ЦПГ)#
Для конфигурирования входа через Цифровой профиль гражданина (ЦПГ) с использованием SDK ИС Клиента выполните следующие шаги:
Установите и настройте ПО SDK ИС Клиента согласно документации на это ПО.
Перейдите в консоль управления Blitz Identity Provider и добавьте поставщика, имеющего тип
ЦП ЕСИА (Адаптер-Инфраструктура).Задайте базовые настройки ЦП ЕСИА:
Идентификатор поставщика;Название поставщика.
Заполните настройки поставщика идентификации ЕСИА:
URL для формирования запроса аутентификации: адрес сервиса SDK ИС Клиента, возвращающего запрос аутентификации, который Blitz Identity Provider отправит из браузера пользователя в ЕСИА для получения кода авторизации.URL для авторизации: адрес обработчика ЕСИА, возвращающего код авторизации в ответ на запрос аутентификации.Примечание
https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v2/ac(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/aas/oauth2/v2/ac(ПРОД ЕСИА)URL для формирования запроса маркера: адрес сервиса SDK ИС Клиента, возвращающего запрос маркера, который Blitz Identity Provider отправит в серверную часть ЕСИА для обмена кода авторизации на маркер доступа.URL для получения и обновления маркера: адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения маркера доступа.Примечание
https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v3/te(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/aas/oauth2/v3/te(ПРОД ЕСИА).URL для обработки ответа на запрос маркера: адрес сервиса SDK ИС Клиента, на который Blitz Identity Provider отправит токен доступа для подтверждения аутентификации ЕСИА. После получения подтверждения маркер доступа, маркер идентификации, маркер обновления, полученные от ЕСИА, будут являться валидными и корректными и могут быть использованы для взаимодействия с приложением, запросившим доступ.URL для получения данных– адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения данных учетной записи.Примечание
https://esia-portal1.test.gosuslugi.ru/rs/prns/${prn_oid}(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/rs/prns/${prn_oid}(ПРОД ЕСИА).
Примечание
Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок
Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:при входе пользователя;
при привязке внешнего поставщика в Личном кабинете;
при привязке внешнего поставщика через REST API;
при регистрации пользователя через внешнего поставщика.
Запрашиваемые разрешения: перечень запрашиваемых разрешений из ЕСИА. Имеется возможность получить данные об организации пользователя. Для этого необходимо указать разрешениеusr_org, а также выполнить настройки вblitz.conf. Для получения детальных настроек напишите нашим экспертам по адресу support@idblitz.ru.Тип согласия: запрашиваемый в цифровом профиле тип согласия.Срок действия согласия: количество минут, на которое запрашивается согласие.Ответственное лицо: сотрудник организации, ответственный за обработку данных, полученных из цифрового профиля.Запрашиваемые данные пользователя: необходимо отметить те данные, которые следует получать из ЕСИА; эти данные должны быть доступны по запрашиваемым разрешениям.
Настройте правила связывания.
В разделе Аутентификация консоли управления включите использование метода аутентификации с использованием поставщика идентификации
ЕСИА (Адаптер-Инфраструктура).
TrustGate для ЕСИА#
Blitz Identity Provider позволяет использовать для взаимодействия с ЕСИА типовое сертифицированное решение TrustGate (исполнение 1, версия 3).
Примечание
Решения разработаны АО «ИнфоТеКС Интернет Траст».
Для конфигурирования входа через ЕСИА с использованием любого решения TrustGate выполните следующие шаги:
Установите и настройте среду функционирования TrustGate согласно официальной документации.
Перейдите в консоль управления Blitz Identity Provider и добавьте поставщика, имеющего тип
ЕСИА (TrustGate).Задайте базовые настройки ЕСИА:
Идентификатор поставщика;Название поставщика.
Заполните настройки поставщика идентификации ЕСИА:
Мнемоника системы (client_id): введите значение, указанное ранее на Технологическом портале ЕСИА.Базовый URL: адрес TrustGate без указания пути к конкретному сервису.Логинипароль: логин и пароль, по которым будет получен токен TrustGate.
Примечание
Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок
Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:при входе пользователя;
при привязке внешнего поставщика в Личном кабинете;
при привязке внешнего поставщика через REST API;
при регистрации пользователя через внешнего поставщика.
Запрашиваемые разрешения: перечень запрашиваемых разрешений из ЕСИА. Имеется возможность получить данные об организации пользователя. Для этого необходимо указать разрешениеusr_org, а также выполнить настройки вblitz.conf. Для получения детальных настроек напишите нашим экспертам по адресу support@idblitz.ru.
Настройте правила связывания.
В разделе Аутентификация консоли управления включите использование метода аутентификации с использованием поставщика идентификации
ЕСИА (TrustGate).
VipNet EDI SOAP Gateway для ЕСИА#
Blitz Identity Provider позволяет использовать для взаимодействия с ЕСИА решение VipNet EDI SOAP Gateway.
Примечание
Решение разработано АО «ИнфоТеКС».
Для конфигурирования входа через ЕСИА с использованием решения VipNet EDI SOAP Gateway выполните следующие шаги:
Установите и настройте среду функционирования VipNet согласно официальной документации.
Перейдите в консоль управления Blitz Identity Provider и добавьте поставщика, имеющего тип
ЕСИА (VipNet EDI SOAP Gate).Задайте базовые настройки ЕСИА:
Идентификатор поставщика;Название поставщика.
Заполните настройки поставщика идентификации ЕСИА:
Мнемоника системы (client_id): введите значение, указанное ранее на Технологическом портале ЕСИА.Базовый URL: адрес VipNet без указания пути к конкретному сервису.Логинипароль: логин и пароль, по которым будет получен токен VipNet.
Примечание
Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок
Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:при входе пользователя;
при привязке внешнего поставщика в Личном кабинете;
при привязке внешнего поставщика через REST API;
при регистрации пользователя через внешнего поставщика.
Запрашиваемые разрешения: перечень запрашиваемых разрешений из ЕСИА.
Настройте правила связывания.
В разделе Аутентификация консоли управления включите использование метода аутентификации с использованием поставщика идентификации
ЕСИА (VipNet EDI SOAP Gate).
ЕСИА#
Имеется возможность сконфигурировать вход через ЕСИА напрямую, т.е. штатными средствами Blitz Identity Provider. В этом случае Blitz Identity Provider будет самостоятельно формировать подпись запросов к ЕСИА.
Внимание
Данный режим рекомендуется использовать исключительно в целях отладки взаимодействия в ЕСИА.
Для конфигурирования выполните следующие шаги:
Перейдите в консоль управления Blitz Identity Provider и добавьте поставщика, имеющего тип
ЕСИА.Задайте базовые настройки ЕСИА:
Идентификатор поставщика;Название поставщика.
Заполните настройки поставщика идентификации ЕСИА:
URL для авторизации
Адрес обработчика ЕСИА, вызываемого из браузера.
Версия протокола 1:
https://esia-portal1.test.gosuslugi.ru/aas/oauth2/ac(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/aas/oauth2/ac(ПРОД ЕСИА)
Версия протокола 2:
https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v2/ac(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/aas/oauth2/v2/ac(ПРОД ЕСИА)
URL для получения и обновления маркера
Адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения маркера доступа.
Версия протокола 1:
https://esia-portal1.test.gosuslugi.ru/aas/oauth2/te(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/aas/oauth2/te(ПРОД ЕСИА)
Версия протокола 2:
https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v3/te(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/aas/oauth2/v3/te(ПРОД ЕСИА)
URL для получения данных
Адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения данных учетной записи. Например:
https://esia-portal1.test.gosuslugi.ru/rs/prns/${prn_oid}(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/rs/prns/${prn_oid}(ПРОД ЕСИА)
Примечание
Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок
Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:при входе пользователя;
при привязке внешнего поставщика в Личном кабинете;
при привязке внешнего поставщика через REST API;
при регистрации пользователя через внешнего поставщика.
Мнемоника системы (client_id): введите значение, указанное ранее на Технологическом портале ЕСИА.Версия протокола: выберите требуемую версию протокола для взаимодействия с ЕСИА. В результате поляURL для авторизации,URL для получения и обновления маркераиURL для получения данныхбудут автоматически заполнены актуальными значениями для промышленной среды ЕСИА. При необходимости измените их на значения для тестовой среды.Сервис подписи: выберите сервис подписи. Для версии протокола 1 доступны сервисы подписи:По умолчанию(КриптоПро CSP),Внешний. Для версии протокола 2 доступны сервисы подписи:По умолчанию(КриптоПро CSP),КриптоПро(КриптоПро JCP),Внешний.Идентификатор ключа электронной подписи (alias),Пароль доступа к ключу электронной подписи: идентификатор ключа электронной подписи, загруженный в хранилище Blitz Identity Provider, и пароль к данному ключу.Примечание
Хранилище указывается в разделе
keystoreконфигурационного файла. Ключ должен быть конвертирован в формат, совместимый с Blitz Identity Provider.Важно
Сертификат соответствующего ключа электронной подписи должен быть загружен на Технологическом портале ЕСИА.
Запрашиваемые разрешения: перечень запрашиваемых разрешений из ЕСИА.Запрашиваемые данные пользователя: необходимо отметить те данные, которые следует получать из ЕСИА; эти данные должны быть доступны по запрашиваемым разрешениям.
При необходимости настройте вход через ЕСИА в режиме выбора сотрудника организации (см. инструкцию).
Настройте правила связывания.
В разделе Аутентификация консоли управления включите использование метода аутентификации с использованием поставщика идентификации ЕСИА.
Цифровой профиль ЕСИА#
Имеется возможность сконфигурировать вход через Цифровой профиль ЕСИА, т.е. штатными средствами Blitz Identity Provider.
Внимание
Данный режим рекомендуется использовать исключительно в целях отладки взаимодействия в ЕСИА.
Для конфигурировния выполните следующие шаги:
Перейдите в консоль управления Blitz Identity Provider и добавьте поставщика, имеющего тип
ЦП ЕСИА.Задайте базовые настройки ЦП ЕСИА:
Идентификатор поставщика;Название поставщика.
Заполните настройки поставщика идентификации Цифровой профиль ЕСИА:
URL для авторизации
Адрес обработчика ЕСИА, вызываемого из браузера.
Версия протокола 1:
https://esia-portal1.test.gosuslugi.ru/aas/oauth2/ac(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/aas/oauth2/ac(ПРОД ЕСИА)
Версия протокола 2:
https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v2/ac(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/aas/oauth2/v2/ac(ПРОД ЕСИА)
URL для получения и обновления маркера
Адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения маркера доступа.
Версия протокола 1:
https://esia-portal1.test.gosuslugi.ru/aas/oauth2/te(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/aas/oauth2/te(ПРОД ЕСИА)
Версия протокола 2:
https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v3/te(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/aas/oauth2/v3/te(ПРОД ЕСИА)
URL для получения данных
Адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения данных учетной записи. Например:
https://esia-portal1.test.gosuslugi.ru/digital/api/public/v1(ТЕСТ ЕСИА)https://esia.gosuslugi.ru/digital/api/public/v1(ПРОД ЕСИА)
Примечание
Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок
Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:при входе пользователя;
при привязке внешнего поставщика в Личном кабинете;
при привязке внешнего поставщика через REST API;
при регистрации пользователя через внешнего поставщика.
Мнемоника системы (client_id): введите значение, указанное ранее на Технологическом портале ЕСИА.Версия протокола: выберите требуемую версию протокола для взаимодействия с ЕСИА. В результате поляURL для авторизации,URL для получения и обновления маркераиURL для получения данныхбудут автоматически заполнены актуальными значениями для промышленной среды ЕСИА. При необходимости измените их на значения для тестовой среды.Сервис подписи: выберите сервис подписи. Для версии протокола 1 доступны сервисы подписи:По умолчанию(КриптоПро CSP),Внешний. Для версии протокола 2 доступны сервисы подписи:По умолчанию(КриптоПро CSP),КриптоПро(КриптоПро JCP).Идентификатор ключа электронной подписи (alias),Пароль доступа к ключу электронной подписи: идентификатор ключа электронной подписи, загруженный в хранилище Blitz Identity Provider, и пароль к данному ключу.Примечание
Хранилище указывается в разделе
keystoreконфигурационного файла. Ключ должен быть конвертирован в формат, совместимый с Blitz Identity Provider.Важно
Сертификат соответствующего ключа электронной подписи должен быть загружен на Технологическом портале ЕСИА.
Запрашиваемые разрешения: перечень запрашиваемых разрешений из ЕСИА.Тип согласия– запрашиваемый в цифровом профиле тип согласия.Срок действия согласия– количество минут, на которое запрашивается согласие.Ответственное лицо– сотрудник организации, ответственный за обработку данных, полученных из цифрового профиля.Запрашиваемые данные пользователя– необходимо отметить те данные, которые следует получать из цифрового профиля ЕСИА; эти данные должны быть доступны по запрашиваемым разрешениям.
Важно
Чтобы вход через Цифровой профиль ЕСИА заработал, необходимо получить официальное разрешение на проведение идентификации и аутентификации пользователей с помощью зарегистрированной системы и получить доступ к тестовой / промышленной среде ЕСИА с доступом к цифровому профилю. Подробнее об этом можно прочитать здесь.
Настройте правила связывания.
В разделе Аутентификация консоли управления включите использование метода аутентификации с использованием поставщика идентификации ЦП ЕСИА.