Отечественные поставщики

Яндекс

Для конфигурирования входа через Яндекс необходимо выполнить следующие шаги:

1. Перейти в приложение Яндекс.OAuth, в котором выполнить следующие операции:

   • нажать на кнопку Зарегистрировать новое приложение;

   • ввести данные приложения, в том числе в настройках Платформы отметить Веб-сервисы и ввести в поле Callback URI перечень URL, образцы которых Blitz Identity Provider показывает в настройках подключения Яндекс, например:

   https://login.company.com/blitz/login/externalIdps/callback/yandex/yandex_1/false
   https://login.company.com/blitz/profile/social/externalIdps/callbackPopup/yandex/yandex_1
   

   • в перечне доступов раскрыть API Яндекс.Паспорта и отметить Доступ к адресу электронной почты, Доступ к дате рождения и Доступ к логину, имени и фамилии, полу.

   • по результатам регистрации будет сгенерирован ClientID приложения и его Client secret, они потребуются для последующего ввода в Blitz Identity Provider.

2. Перейти в консоль управления Blitz Identity Provider и добавить поставщика, имеющего тип Яндекс.

3. Заполнить настройки поставщика идентификации:

   • Идентификатор поставщика;

   • Название поставщика;

   • Идентификатор клиента (Client ID), полученный в приложении Яндекс.OAuth;

   • Секрет клиента (Client secret), полученный в приложении Яндекс.OAuth;

   • URL для авторизации;

   • URL для получения и обновления маркера;

     Примечание

     Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

     • при входе пользователя;

     • при привязке внешнего поставщика в Личном кабинете;

     • при привязке внешнего поставщика через REST API;

     • при регистрации пользователя через внешнего поставщика.

   • URL для получения данных;

   • Запрашиваемые разрешения (scope), предусмотренные в Яндекс.OAuth – для указанных ранее доступов следует указать login:email, login:info и login:birthday.

4. Настроить правила связывания.

5. В разделе Аутентификация консоли управления включить использование метода аутентификации с использованием поставщика идентификации Яндекс.

ВКонтакте

Для конфигурирования входа через ВКонтакте необходимо выполнить следующие шаги:

1. Перейти в панель VK для разработчиков, в котором выполнить следующие операции:

   • перейти в раздел Мои приложения;

   • выбрать пункт Создать приложение;

   • выбрать тип создаваемого приложения – Веб-сайт, указать его название, адрес, и домен;

   • в появившемся окне настроек приложения прописать базовый домен приложения (должен совпадать с доменом, на котором установлен Blitz Identity Provider).

2. Перейти в консоль управления Blitz Identity Provider и добавить поставщика, имеющего тип ВКонтакте.

3. Заполнить настройки поставщика идентификации:

   • Идентификатор поставщика;

   • Название поставщика;

   • Версия – указать используемую версию API ВКонтакте (например, 5.53);

   • ID приложения, полученный в панели VK для разработчиков;

   • Защищенный ключ, полученный в панели VK для разработчиков;

   • URL для авторизации;

   • URL для получения и обновления маркера;

     Примечание

     Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

     • при входе пользователя;

     • при привязке внешнего поставщика в Личном кабинете;

     • при привязке внешнего поставщика через REST API;

     • при регистрации пользователя через внешнего поставщика.

   • URL для получения данных;

   • Запрашиваемые разрешения, предусмотренные в ВКонтакте.

4. Настроить правила связывания.

5. В разделе Аутентификация консоли управления включить использование метода аутентификации с использованием поставщика идентификации ВКонтакте.

Одноклассники

Для конфигурирования входа через Одноклассники необходимо выполнить следующие шаги:

1. Перейти на страницу OAuth авторизация, где выполнить следующие операции:

   • зарегистрироваться в сети Одноклассники и привязать к своему аккаунту email – на этот email будут приходить письма, содержащие регистрационные данные приложений;

   • получить права разработчика по ссылке https://ok.ru/devaccess;

   • зарегистрировать свое приложение и получить Application ID, публичный ключ приложения и секретный ключ приложения;

   • запросить следующие права для приложения: VALUABLE_ACCESS, LONG_ACCESS_TOKEN, GET_EMAIL;

   • прописать перечень разрешённых redirect_uri, образцы которых Blitz Identity Provider показывает в настройках подключения сети Одноклассники, например:

   https://login.company.com/blitz/login/externalIdps/callback/ok/ok_1/false
   https://login.company.com/blitz/profile/social/externalIdps/callbackPopup/ok/ok_1
   

2. Перейти в консоль управления Blitz Identity Provider и добавить поставщика, имеющего тип Одноклассники.

3. Заполнить настройки поставщика идентификации:

   • Идентификатор поставщика;

   • Название поставщика;

   • Название приложения (Application ID);

   • Секретный ключ приложения;

   • Публичный ключ приложения;

   • URL для авторизации;

   • URL для получения и обновления маркера;

     Примечание

     Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

     • при входе пользователя;

     • при привязке внешнего поставщика в Личном кабинете;

     • при привязке внешнего поставщика через REST API;

     • при регистрации пользователя через внешнего поставщика.

   • URL для получения данных;

   • Запрашиваемые разрешения.

4. Настроить правила связывания.

5. В разделе Аутентификация консоли управления включить использование метода аутентификации с использованием поставщика идентификации Одноклассники.

Mail ID

Для конфигурирования входа через Mail ID необходимо выполнить следующие шаги:

1. Перейти на страницу Создание приложения в OAuth@Mail.ru, где выполнить следующие операции:

   • нажать на кнопку Создать приложение;

   • аутентифицировать под учетной записью Mail.ru;

   • ввести данные приложения, название приложения;

   • в поле Все redirect_uri указать перечень URI перенаправления, образцы которых Blitz Identity Provider показывает в настройках подключения Mail ID, например:

   https://login.company.com/blitz/login/externalIdps/callback/mail/mail_1/false
   https://login.company.com/blitz/profile/social/externalIdps/callbackPopup/mail/mail_1
   

   • в блоке Платформы поставить галочку на Web;

   • по результатам регистрации будет сгенерирован ClientID приложения и его Client secret, они потребуются для последующего ввода в Blitz Identity Provider.

2. Перейти в консоль управления Blitz Identity Provider и добавить поставщика, имеющего тип Mail ID.

3. Заполнить настройки поставщика идентификации:

   • Идентификатор поставщика;

   • Название поставщика;

   • Идентификатор клиента (ID приложения), полученный ранее;

   • Секрет приложения, полученный ранее;

   • URL для авторизации;

   • URL для получения и обновления маркера;

     Примечание

     Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

     • при входе пользователя;

     • при привязке внешнего поставщика в Личном кабинете;

     • при привязке внешнего поставщика через REST API;

     • при регистрации пользователя через внешнего поставщика.

   • URL для получения данных;

   • Запрашиваемые разрешения (scope), например, userinfo.

4. Настроить правила связывания.

5. В разделе Аутентификация консоли управления включить использование метода аутентификации с использованием поставщика идентификации Mail ID.

VK ID

Для конфигурирования входа через учетную запись VK ID выполните следующие настройки:

1. Перейдите в консоли управления Blitz Identity Provider на вкладку Поставщики идентификации и добавьте поставщика, имеющего тип VK ID.

2. Задайте базовые настройки: идентификатор и название поставщика. Нажмите Далее. Отобразится вкладка Настройки поставщика идентификации VK ID, на которой потребуется ввести данные регистрации приложения Blitz Identity Provider в онлайн-сервисе VK ID для разработчиков.

3. Перейдите в онлайн-сервис VK ID для разработчиков. Если у вас нет аккаунта, создайте его. В разделе Приложения аккаунта зарегистрируйте приложение Blitz Identity Provider. Для этого выполните следующие действия:

   1. Нажмите Добавить приложение.

   2. Шаг 1: введите название приложения, выберите платформу Web, задайте логотип.

   3. Шаг 2: укажите базовый домен Blitz Identity Provider в своей системе и один за другим все доверенные Redirect URL, образцы которых Blitz Identity Provider показывает в настройках подключения VK ID, например:

      https://login.company.ru/blitz/login/externalIdps/callback/vkid/vkid_640/false
      https://login.company.ru/blitz/profile/social/externalIdps/callbackPopup/vkid/vkid_640
      

   4. Нажмите Готово. В результате регистрации будут сгенерированы значения параметров ID приложения и Сервисный ключ доступа.

   

4. Вернитесь в Blitz Identity Provider на вкладку Настройки поставщика идентификации VK ID и введите ID приложения и Сервисный ключ доступа, полученные при регистрации приложения. Нажмите Сохранить.

   

5. Настройте правила связывания.

6. В разделе Аутентификация консоли управления включите использование метода аутентификации с использованием поставщика идентификации VK ID.

Единая система идентификации и аутентификации (ЕСИА)

Для конфигурирования входа через ЕСИА выполните следующие шаги:

1. Получите в удостоверяющем центре ключ электронной подписи для взаимодействия с ЕСИА и выгрузите сертификат открытого ключа. Произведите конвертацию ключа в формат, совместимый с Blitz Identity Provider.

   Примечание

   Сертификат ключа понадобится зарегистрировать на Технологическом портале ЕСИА (см. следующий пункт).

   Внимание

   До регистрации ИС в ЕСИА необходимо зарегистрировать учетную запись организации в ЕСИА и дать одному из сотрудников доступ к Технологическому порталу ЕСИА.

2. Зарегистрируйте систему организации на Технологическом портале ЕСИА:

   1. Нажмите на кнопку Добавить систему.

   2. Укажите название системы, отображаемое название, мнемонику системы, список URL системы (URL развернутой системы Blitz Identity Provider с указанием https), алгоритм формирования электронной подписи (RS256), а также выберите ответственного сотрудника.

      

   3. Сохраните данные и перейдите к настройке сертификатов информационной системы.

   4. Загрузите сертификат системы на Технологическом портале.

      

3. Перейдите в консоль управления Blitz Identity Provider и добавьте поставщика, имеющего тип ЕСИА.

4. Задайте базовые настройки ЕСИА:

   • Идентификатор поставщика;

   • Название поставщика.

5. Заполните настройки поставщика идентификации ЕСИА:

   • Версия протокола: выберите требуемую версию протокола для взаимодействия с ЕСИА. В результате поля URL для авторизации, URL для получения и обновления маркера и URL для получения данных будут автоматически заполнены актуальными значениями для промышленной среды ЕСИА. При необходимости измените их на значения для тестовой среды.

     Примечание

     • URL для авторизации: адрес обработчика ЕСИА, вызываемого из браузера.

       Версия протокола 1:

       https://esia-portal1.test.gosuslugi.ru/aas/oauth2/ac (ТЕСТ ЕСИА)

       или

       https://esia.gosuslugi.ru/aas/oauth2/ac (ПРОД ЕСИА).

       Версия протокола 2:

       https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v2/ac (ТЕСТ ЕСИА)

       или

       https://esia.gosuslugi.ru/aas/oauth2/v2/ac (ПРОД ЕСИА)

     • URL для получения и обновления маркера: адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения маркера доступа.

       Версия протокола 1:

       https://esia-portal1.test.gosuslugi.ru/aas/oauth2/te (ТЕСТ ЕСИА)

       или

       https://esia.gosuslugi.ru/aas/oauth2/te (ПРОД ЕСИА).

       Версия протокола 2:

       https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v3/te (ТЕСТ ЕСИА)

       или

       https://esia.gosuslugi.ru/aas/oauth2/v3/te (ПРОД ЕСИА).

     • URL для получения данных – адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения данных учетной записи, например, https://esia-portal1.test.gosuslugi.ru/rs/prns/${prn_oid} (ТЕСТ ЕСИА) или https://esia.gosuslugi.ru/rs/prns/${prn_oid} (ПРОД ЕСИА).

     Примечание

     Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

     • при входе пользователя;

     • при привязке внешнего поставщика в Личном кабинете;

     • при привязке внешнего поставщика через REST API;

     • при регистрации пользователя через внешнего поставщика.

   • Мнемоника системы (client_id): введите значение, указанное ранее на Технологическом портале ЕСИА.

   • Сервис подписи: выберите сервис подписи. Для версии протокола 1 доступны сервисы подписи: По умолчанию (КриптоПро CSP), Внешний. Для версии протокола 2 доступны сервисы подписи: По умолчанию (КриптоПро CSP), КриптоПро (КриптоПро JCP), Внешний.

   • Идентификатор ключа электронной подписи (alias), Пароль доступа к ключу электронной подписи: идентификатор ключа электронной подписи, загруженный в хранилище Blitz Identity Provider, и пароль к данному ключу.

     Примечание

     Хранилище указывается в разделе keystore конфигурационного файла.

     Важно

     Сертификат соответствующего ключа электронной подписи должен быть загружен на Технологическом портале ЕСИА.

     

   • Запрашиваемые разрешения: перечень запрашиваемых разрешений из ЕСИА.

   • Запрашиваемые данные пользователя: необходимо отметить те данные, которые следует получать из ЕСИА; эти данные должны быть доступны по запрашиваемым разрешениям.

     

   Важно

   Чтобы вход через ЕСИА заработал, необходимо получить официальное разрешение на проведение идентификации и аутентификации пользователей с помощью зарегистрированной системы и получить доступ к тестовой / промышленной среде ЕСИА. Подробнее об этом можно прочитать здесь.

6. При необходимости настройте вход через ЕСИА в режиме выбора сотрудника организации.

7. Настройте правила связывания.

8. В разделе Аутентификация консоли управления включите использование метода аутентификации с использованием поставщика идентификации ЕСИА.

Цифровой профиль ЕСИА

Для конфигурирования входа через Цифровой профиль ЕСИА выполните следующие действия:

1. Получите в удостоверяющем центре ключ электронной подписи для взаимодействия с ЕСИА и выгрузите сертификат открытого ключа. Произведите конвертацию ключа в формат, совместимый с Blitz Identity Provider.

   Примечание

   Сертификат ключа понадобится зарегистрировать на Технологическом портале ЕСИА (см. следующий пункт).

   Внимание

   До регистрации ИС в ЕСИА необходимо зарегистрировать учетную запись организации в ЕСИА и дать одному из сотрудников доступ к Технологическому порталу ЕСИА.

2. Зарегистрируйте систему организации на Технологическом портале ЕСИА:

   1. Нажмите на кнопку Добавить систему.

   2. Укажите название системы, отображаемое название, мнемонику системы, список URL системы (URL развернутой системы Blitz Identity Provider с указанием https), алгоритм формирования электронной подписи, а также выберите ответственного сотрудника.

      

   3. Сохраните данные и перейдите к настройке сертификатов информационной системы.

   4. Загрузите сертификат системы на Технологическом портале.

      

3. Перейдите в консоль управления Blitz Identity Provider и добавьте поставщика, имеющего тип ЦП ЕСИА.

4. Задайте базовые настройки ЦП ЕСИА:

   • Идентификатор поставщика;

   • Название поставщика.

5. Заполните настройки поставщика идентификации Цифровой профиль ЕСИА:

   • Версия протокола: выберите требуемую версию протокола для взаимодействия с ЕСИА. В результате поля URL для авторизации, URL для получения и обновления маркера и URL для получения данных будут автоматически заполнены актуальными значениями для промышленной среды ЕСИА. При необходимости измените их на значения для тестовой среды.

     Примечание

     • URL для авторизации: адрес обработчика ЕСИА, вызываемого из браузера.

       Версия протокола 1:

       https://esia-portal1.test.gosuslugi.ru/aas/oauth2/ac (ТЕСТ ЕСИА)

       или

       https://esia.gosuslugi.ru/aas/oauth2/ac (ПРОД ЕСИА).

       Версия протокола 2:

       https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v2/ac (ТЕСТ ЕСИА)

       или

       https://esia.gosuslugi.ru/aas/oauth2/v2/ac (ПРОД ЕСИА)

     • URL для получения и обновления маркера: адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения маркера доступа.

       Версия протокола 1: https://esia-portal1.test.gosuslugi.ru/aas/oauth2/te (ТЕСТ ЕСИА) или https://esia.gosuslugi.ru/aas/oauth2/te (ПРОД ЕСИА).

       Версия протокола 2: https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v3/te (ТЕСТ ЕСИА) или https://esia.gosuslugi.ru/aas/oauth2/v3/te (ПРОД ЕСИА).

     • URL для получения данных – адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения данных учетной записи, например, https://esia-portal1.test.gosuslugi.ru/digital/api/public/v1 (ТЕСТ ЕСИА) или https://esia.gosuslugi.ru/digital/api/public/v1 (ПРОД ЕСИА).

     Примечание

     Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

     • при входе пользователя;

     • при привязке внешнего поставщика в Личном кабинете;

     • при привязке внешнего поставщика через REST API;

     • при регистрации пользователя через внешнего поставщика.

   • Мнемоника системы (client_id): введите значение, указанное ранее на Технологическом портале ЕСИА.

   • Сервис подписи: выберите сервис подписи. Для версии протокола 1 доступны сервисы подписи: По умолчанию (КриптоПро CSP), Внешний. Для версии протокола 2 доступны сервисы подписи: По умолчанию (КриптоПро CSP), КриптоПро (КриптоПро JCP).

   • Идентификатор ключа электронной подписи (alias), Пароль доступа к ключу электронной подписи: идентификатор ключа электронной подписи, загруженный в хранилище Blitz Identity Provider, и пароль к данному ключу.

     Примечание

     Хранилище указывается в разделе keystore конфигурационного файла.

     Важно

     Сертификат соответствующего ключа электронной подписи должен быть загружен на Технологическом портале ЕСИА.

     

   • Запрашиваемые разрешения: перечень запрашиваемых разрешений из ЕСИА.

   • Тип согласия – запрашиваемый в цифровом профиле тип согласия.

   • Срок действия согласия – количество минут, на которое запрашивается согласие.

   • Ответственное лицо – сотрудник организации, ответственный за обработку данных, полученных из цифрового профиля.

   • Запрашиваемые данные пользователя – необходимо отметить те данные, которые следует получать из цифрового профиля ЕСИА; эти данные должны быть доступны по запрашиваемым разрешениям.

     

   Важно

   Чтобы вход через Цифровой профиль ЕСИА заработал, необходимо получить официальное разрешение на проведение идентификации и аутентификации пользователей с помощью зарегистрированной системы и получить доступ к тестовой / промышленной среде ЕСИА с доступом к цифровому профилю. Подробнее об этом можно прочитать здесь.

6. Настройте правила связывания.

7. В разделе Аутентификация консоли управления включите использование метода аутентификации с использованием поставщика идентификации ЦП ЕСИА.

Адаптер SDK ИС Клиента для ЕСИА (АНО НТЦ ЦК)

Blitz Identity Provider позволяет использовать для взаимодействия с ЕСИА типовое сертифицированное решение Адаптер SDK ИС Клиента.

Примечание

Решение разработано АНО «Национальный технологический центр цифровой криптографии».

Для конфигурирования входа через ЕСИА с использованием SDK ИС Клиента выполните следующие шаги:

1. Получите в удостоверяющем центре ключ электронной подписи для взаимодействия с ЕСИА и выгрузите сертификат открытого ключа.

   Примечание

   Сертификат ключа понадобится зарегистрировать на Технологическом портале ЕСИА (см. следующий пункт).

   Внимание

   До регистрации ИС в ЕСИА необходимо зарегистрировать учетную запись организации в ЕСИА и дать одному из сотрудников доступ к Технологическому порталу ЕСИА.

2. Зарегистрируйте систему организации на Технологическом портале ЕСИА:

   Важно

   Чтобы вход через ЕСИА заработал, необходимо получить официальное разрешение на проведение идентификации и аутентификации пользователей с помощью зарегистрированной системы и получить доступ к тестовой / промышленной среде ЕСИА. Подробнее об этом можно прочитать здесь.

   1. Нажмите на кнопку Добавить систему.

   2. Укажите название системы, отображаемое название, мнемонику системы, список URL системы (URL развернутой системы Blitz Identity Provider с указанием https), алгоритм формирования электронной подписи (RS256), а также выберите ответственного сотрудника.

      

   3. Сохраните данные и перейдите к настройке сертификатов информационной системы.

   4. Загрузите сертификат системы на Технологическом портале.

      

3. Установите и настройте среду функционирования SDK ИС Клиента, в том числе выполните установку и настройку средства криптографической защиты информации, внесение необходимых данных и сертификатов, полученных в удостоверяющих центрах и на технологическом портале ЕСИА. Подробная информация по установке и настройке приведена в официальной документации на SDK ИС Клиента.

4. Перейдите в консоль управления Blitz Identity Provider и добавьте поставщика, имеющего тип ЕСИА (Адаптер-Инфраструктура).

5. Задайте базовые настройки ЕСИА:

   • Идентификатор поставщика;

   • Название поставщика.

6. Заполните настройки поставщика идентификации ЕСИА:

   • URL для формирования запроса аутентификации: адрес сервиса SDK ИС Клиента, возвращающего запрос аутентификации, который Blitz Identity Provider отправит из браузера пользователя в ЕСИА для получения кода авторизации.

   • URL для авторизации: адрес обработчика ЕСИА, возвращающего код авторизации в ответ на запрос аутентификации.

     Примечание

     https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v2/ac (ТЕСТ ЕСИА)

     или

     https://esia.gosuslugi.ru/aas/oauth2/v2/ac (ПРОД ЕСИА)

   • URL для формирования запроса маркера: адрес сервиса SDK ИС Клиента, возвращающего запрос маркера, который Blitz Identity Provider отправит back-to-back в ЕСИА для обмена кода авторизации на маркер доступа.

   • URL для получения и обновления маркера: адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения маркера доступа.

     Примечание

     https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v3/te (ТЕСТ ЕСИА)

     или

     https://esia.gosuslugi.ru/aas/oauth2/v3/te (ПРОД ЕСИА).

   • URL для обработки ответа на запрос маркера: адрес сервиса SDK ИС Клиента, на который Blitz Identity Provider отправит токен доступа для подтверждения аутентификации ЕСИА. После получения подтверждения маркер доступа, маркер идентификации, маркер обновления, полученные от ЕСИА, будут являться валидными и корректными и могут быть использованы для взаимодействия с приложением, запросившим доступ.

   • URL для получения данных – адрес обработчика ЕСИА, вызываемого с сервера Blitz Identity Provider для получения данных учетной записи.

     Примечание

     https://esia-portal1.test.gosuslugi.ru/rs/prns/${prn_oid} (ТЕСТ ЕСИА)

     или

     https://esia.gosuslugi.ru/rs/prns/${prn_oid} (ПРОД ЕСИА).

   Примечание

   Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

   • при входе пользователя;

   • при привязке внешнего поставщика в Личном кабинете;

   • при привязке внешнего поставщика через REST API;

   • при регистрации пользователя через внешнего поставщика.

   

   • Запрашиваемые разрешения: перечень запрашиваемых разрешений из ЕСИА.

   • Запрашиваемые данные пользователя: необходимо отметить те данные, которые следует получать из ЕСИА; эти данные должны быть доступны по запрашиваемым разрешениям.

   

7. Настройте правила связывания.

8. В разделе Аутентификация консоли управления включите использование метода аутентификации с использованием поставщика идентификации ЕСИА (Адаптер-Инфраструктура).

Адаптер TrustGate для ЕСИА

Blitz Identity Provider позволяет использовать для взаимодействия с ЕСИА типовые сертифицированные решения TrustGate:

• исполнение 2, версия 3.4.1;

• исполнение 1, версия 3.

Примечание

Решения разработаны АО «ИнфоТеКС Интернет Траст».

Для конфигурирования входа через ЕСИА с использованием любого решения TrustGate выполните следующие шаги:

1. Получите в удостоверяющем центре ключ электронной подписи для взаимодействия с ЕСИА и выгрузите сертификат открытого ключа.

   Примечание

   Сертификат ключа понадобится зарегистрировать на Технологическом портале ЕСИА (см. следующий пункт).

   Внимание

   До регистрации ИС в ЕСИА необходимо зарегистрировать учетную запись организации в ЕСИА и дать одному из сотрудников доступ к Технологическому порталу ЕСИА.

2. Зарегистрируйте систему организации на Технологическом портале ЕСИА:

   Важно

   Чтобы вход через ЕСИА заработал, необходимо получить официальное разрешение на проведение идентификации и аутентификации пользователей с помощью зарегистрированной системы и получить доступ к тестовой / промышленной среде ЕСИА. Подробнее об этом можно прочитать здесь.

   1. Нажмите на кнопку Добавить систему.

   2. Укажите название системы, отображаемое название, мнемонику системы, список URL системы (URL развернутой системы Blitz Identity Provider с указанием https), алгоритм формирования электронной подписи (RS256), а также выберите ответственного сотрудника.

      

   3. Сохраните данные и перейдите к настройке сертификатов информационной системы.

   4. Загрузите сертификат системы на Технологическом портале.

      

3. Установите и настройте среду функционирования TrustGate согласно официальной документации.

4. Перейдите в консоль управления Blitz Identity Provider и добавьте поставщика, имеющего тип ЕСИА (TrustGate).

5. Задайте базовые настройки ЕСИА:

   • Идентификатор поставщика;

   • Название поставщика.

6. Заполните настройки поставщика идентификации ЕСИА:

   • Мнемоника системы (client_id): введите значение, указанное ранее на Технологическом портале ЕСИА.

   • URL для получения токена: адрес сервиса для получения токена TrustGate.

   • Логин и пароль: логин и пароль, по которым будет получен токен TrustGate.

   • URL для создания потока: адрес сервиса для создания потока и получения state.

   • URL финального редиректа: URL финального редиректа после логаута из ЕСИА (передается в сервис создания потока).

   • URL для получения запроса для входа: адрес сервиса TrustGate, возвращающего запрос аутентификации, который Blitz Identity Provider отправит из браузера пользователя в ЕСИА для получения кода авторизации.

   • URL для получения статуса аутентификации: адрес сервиса TrustGate, на который Blitz Identity Provider отправит код авторизации для завершения аутентификации ЕСИА.

   • URL для получения данных пользователя: адрес сервиса TrustGate, вызываемого с сервера Blitz Identity Provider для получения маркера доступа и данных пользователя.

   Примечание

   Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

   • при входе пользователя;

   • при привязке внешнего поставщика в Личном кабинете;

   • при привязке внешнего поставщика через REST API;

   • при регистрации пользователя через внешнего поставщика.

   

   • Запрашиваемые разрешения: перечень запрашиваемых разрешений из ЕСИА.

   

7. Настройте правила связывания.

8. В разделе Аутентификация консоли управления включите использование метода аутентификации с использованием поставщика идентификации ЕСИА (TrustGate).

Адаптер VipNet EDI SOAP Gateway для ЕСИА

Blitz Identity Provider позволяет использовать для взаимодействия с ЕСИА решение VipNet EDI SOAP Gateway.

Примечание

Решение разработано АО «ИнфоТеКС Интернет Траст».

Для конфигурирования входа через ЕСИА с использованием решения VipNet EDI SOAP Gateway выполните следующие шаги:

1. Получите в удостоверяющем центре ключ электронной подписи для взаимодействия с ЕСИА и выгрузите сертификат открытого ключа.

   Примечание

   Сертификат ключа понадобится зарегистрировать на Технологическом портале ЕСИА (см. следующий пункт).

   Внимание

   До регистрации ИС в ЕСИА необходимо зарегистрировать учетную запись организации в ЕСИА и дать одному из сотрудников доступ к Технологическому порталу ЕСИА.

2. Зарегистрируйте систему организации на Технологическом портале ЕСИА:

   Важно

   Чтобы вход через ЕСИА заработал, необходимо получить официальное разрешение на проведение идентификации и аутентификации пользователей с помощью зарегистрированной системы и получить доступ к тестовой / промышленной среде ЕСИА. Подробнее об этом можно прочитать здесь.

   1. Нажмите на кнопку Добавить систему.

   2. Укажите название системы, отображаемое название, мнемонику системы, список URL системы (URL развернутой системы Blitz Identity Provider с указанием https), алгоритм формирования электронной подписи (RS256), а также выберите ответственного сотрудника.

      

   3. Сохраните данные и перейдите к настройке сертификатов информационной системы.

   4. Загрузите сертификат системы на Технологическом портале.

      

3. Установите и настройте среду функционирования VipNet согласно официальной документации.

4. Перейдите в консоль управления Blitz Identity Provider и добавьте поставщика, имеющего тип ЕСИА (VipNet EDI SOAP Gate).

5. Задайте базовые настройки ЕСИА:

   • Идентификатор поставщика;

   • Название поставщика.

6. Заполните настройки поставщика идентификации ЕСИА:

   • Мнемоника системы (client_id): введите значение, указанное ранее на Технологическом портале ЕСИА.

   • URL для получения токена: адрес сервиса для получения токена VipNet.

   • Логин и пароль: логин и пароль, по которым будет получен токен VipNet.

   • URL для получения запроса для входа: адрес сервиса VipNet, возвращающего запрос аутентификации, который Blitz Identity Provider отправит из браузера пользователя в ЕСИА для получения кода авторизации.

   • URL для получения маркера доступа: адрес сервиса VipNet, на который Blitz Identity Provider отправит код авторизации для получения маркера доступа.

   • URL для получения данных пользователя: адрес сервиса VipNet, вызываемого с сервера Blitz Identity Provider для получения данных пользователя.

   Примечание

   Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

   • при входе пользователя;

   • при привязке внешнего поставщика в Личном кабинете;

   • при привязке внешнего поставщика через REST API;

   • при регистрации пользователя через внешнего поставщика.

   

   • Запрашиваемые разрешения: перечень запрашиваемых разрешений из ЕСИА.

   

7. Настройте правила связывания.

8. В разделе Аутентификация консоли управления включите использование метода аутентификации с использованием поставщика идентификации ЕСИА (VipNet EDI SOAP Gate).

Сбер ID

Для конфигурирования входа через Сбер ID необходимо выполнить следующие шаги:

1. Зарегистрировать приложение в системе Сбер ID. Для этого воспользоваться инструкцией, размещенной на официальном сайте этого поставщика идентификации. По результатам регистрации необходимо получить:

   • идентификатор клиента (Client ID);

   • секрет клиента (Client Secret);

   • сертификат системы, подключенной к Сбер ID;

   • сертификат Сбер ID.

2. Настроить защищенный канал связи между организацией и банком с использованием сертификата, полученного от ПАО «Сбербанк» в процессе регистрации.

3. Перейти в консоль управления Blitz Identity Provider и добавить поставщика, имеющего тип Сбер ID.

4. Заполнить настройки поставщика идентификации:

   • Идентификатор поставщика;

   • Название поставщика;

   • URL для авторизации – адрес, по которому должна инициироваться аутентификация, например: https://online.sberbank.ru/CSAFront/oidc/authorize.do;

   • URL для получения и обновления маркера – адрес, по которому происходит получение и обновление маркера доступа. Должен быть указан внутренний адрес сети, обращение через который обеспечит работу по защищенному каналу связи между организацией и банком;

     Примечание

     Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

     • при входе пользователя;

     • при привязке внешнего поставщика в Личном кабинете;

     • при привязке внешнего поставщика через REST API;

     • при регистрации пользователя через внешнего поставщика.

   • URL для получения данных – адрес, по которому происходит получение данных пользователя. Должен быть указан внутренний адрес сети, обращение через который обеспечит работу по защищенному каналу связи между организацией и банком;

   • Идентификатор клиента (Client ID);

   • Секрет клиента (Client Secret);

   • Запрашиваемые группы данных – какие группы данных запрашивать из Сбер ID;

5. Настроить правила связывания.

6. В разделе Аутентификация консоли управления включить использование метода аутентификации с использованием поставщика идентификации Сбер ID.

T-ID

Для конфигурирования входа через T-ID необходимо выполнить следующие шаги:

1. Зарегистрировать приложение в системе T-ID. Для этого подать заявку на официальном сайте этого поставщика идентификации. По результатам регистрации необходимо получить:

   • идентификатор клиента (Client ID);

   • секрет клиента (Client Secret).

2. Перейти в консоль управления Blitz Identity Provider и добавить поставщика, имеющего тип T-ID.

3. Заполнить настройки поставщика идентификации:

   • Идентификатор поставщика;

   • Название поставщика;

   • URL для авторизации – адрес, по которому должна инициироваться аутентификация;

   • URL для получения и обновления маркера – адрес, по которому происходит получение и обновление маркера доступа;

     Примечание

     Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

     • при входе пользователя;

     • при привязке внешнего поставщика в Личном кабинете;

     • при привязке внешнего поставщика через REST API;

     • при регистрации пользователя через внешнего поставщика.

   • URL для получения данных – адрес, по которому происходит получение данных пользователя;

   • URL для получения паспортных данных – адрес, по которому происходит получение паспортных данных пользователя;

   • URL для получения данных о СНИЛС – адрес, по которому происходит получение СНИЛС пользователя;

   • URL для получения данных о подтвержденности пользователя – адрес, по которому происходит получение признака идентификации пользователя. Признак получают пользователи, которых идентифицировали лично по предоставленному паспорту.

   • Client ID – идентификатор клиента;

   • Client Secret – секрет клиента;

   • Запрашиваемые данные пользователя – перечень запрашиваемых групп данных из T-ID.

     

4. Настроить правила связывания.

5. В разделе Аутентификация консоли управления включить использование метода аутентификации с использованием поставщика идентификации T-ID.

ВТБ ID

Для конфигурирования входа через ВТБ ID необходимо выполнить следующие шаги:

1. Зарегистрировать приложение в системе ВТБ ID. Для этого подать заявку на официальном сайте этого поставщика идентификации. По результатам регистрации необходимо получить:

   • идентификатор клиента (Client ID);

   • секрет клиента (Client Secret).

2. Перейти в консоль управления Blitz Identity Provider и добавить поставщика, имеющего тип ВТБ ID.

3. Заполнить настройки поставщика идентификации:

   • Идентификатор поставщика;

   • Название поставщика;

   • URL для авторизации – адрес, по которому должна инициироваться аутентификация, например: https://id.vtb.ru;

   • URL для получения и обновления маркера – адрес, по которому происходит получение и обновление маркера доступа, например: https://id.vtb.ru/oauth2/token;

     Примечание

     Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

     • при входе пользователя;

     • при привязке внешнего поставщика в Личном кабинете;

     • при привязке внешнего поставщика через REST API;

     • при регистрации пользователя через внешнего поставщика.

   • URL для получения данных – адрес, по которому происходит получение данных пользователя, например: http://proxy_server:port/oauth2/me. Подключение к сервису получения данных должно осуществляться через прокси-сервер, на котором должны быть настроены TLS-сертификаты для защищенного взаимодействия с сервисом ВТБ ID;

   • Идентификатор клиента (Client ID);

   • Секрет клиента (Client Secret);

   • Запрашиваемые группы данных – перечень запрашиваемых групп данных из ВТБ ID;

4. Настроить правила связывания.

5. В разделе Аутентификация консоли управления включить использование метода аутентификации с использованием поставщика идентификации ВТБ ID.

СберБизнес ID

Для конфигурирования входа через СберБизнес ID необходимо выполнить следующие шаги:

1. Зарегистрировать приложение в системе СберБизнес ID. Для этого подать заявку на официальном сайте этого поставщика идентификации. По результатам регистрации необходимо получить:

   • идентификатор клиента (Client ID);

   • секрет клиента (Client Secret).

2. Перейти в консоль управления Blitz Identity Provider и добавить поставщика, имеющего тип СберБизнес ID.

3. Заполнить настройки поставщика идентификации:

   • Идентификатор поставщика;

   • Название поставщика;

   • URL для авторизации – адрес, по которому должна инициироваться аутентификация, например: https://sbi.sberbank.ru:9443/ic/sso/#/login;

   • URL для получения и обновления маркера – адрес, по которому происходит получение и обновление маркера доступа, например: http://proxy_server:port/ic/sso/api/oauth/token. Подключение к сервису получения данных должно осуществляться через прокси-сервер, на котором должны быть настроены TLS-сертификаты для защищенного взаимодействия с сервисом СберБизнес ID;

     Примечание

     Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

     • при входе пользователя;

     • при привязке внешнего поставщика в Личном кабинете;

     • при привязке внешнего поставщика через REST API;

     • при регистрации пользователя через внешнего поставщика.

   • URL для получения данных – адрес, по которому происходит получение данных пользователя, например: http://proxy_server:port/ic/sso/api/oauth/user-info. Подключение к сервису получения данных должно осуществляться через прокси-сервер, на котором должны быть настроены TLS-сертификаты для защищенного взаимодействия с сервисом СберБизнес ID;

   • Идентификатор клиента (Client ID);

   • Секрет клиента (Client Secret);

   • Запрашиваемые группы данных – перечень запрашиваемых групп данных из СберБизнес ID;

4. Настроить правила связывания.

5. В разделе Аутентификация консоли управления включить использование метода аутентификации с использованием поставщика идентификации СберБизнес ID.

Альфа ID

Для конфигурирования входа через Альфа ID необходимо выполнить следующие настройки:

1. Зарегистрировать приложение в системе Альфа ID. Для этого подать заявку на официальном сайте этого поставщика идентификации. По результатам регистрации необходимо получить:

   • идентификатор клиента (Client ID);

   • секрет клиента (Client Secret).

2. Перейти в консоль управления Blitz Identity Provider и добавить поставщика, имеющего тип Альфа ID.

3. Заполнить настройки поставщика идентификации:

   • Идентификатор поставщика;

   • Название поставщика;

   • URL для авторизации – адрес, по которому должна инициироваться аутентификация, например: https://id-sandbox.alfabank.ru/oidc/authorize;

   • URL для получения и обновления маркера – адрес, по которому происходит получение и обновление маркера доступа, например: http://proxy_server:port/api/token. Подключение к сервису получения данных должно осуществляться через прокси-сервер, на котором должны быть настроены TLS-сертификаты для защищенного взаимодействия с сервисом Альфа ID;

     Примечание

     Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

     • при входе пользователя;

     • при привязке внешнего поставщика в Личном кабинете;

     • при привязке внешнего поставщика через REST API;

     • при регистрации пользователя через внешнего поставщика.

   • URL для получения данных – адрес, по которому происходит получение данных пользователя, например: http://proxy_server:port/oidc/userinfo. Подключение к сервису получения данных должно осуществляться через прокси-сервер, на котором должны быть настроены TLS-сертификаты для защищенного взаимодействия с сервисом Альфа ID;

   • Идентификатор клиента (Client ID);

   • Секрет клиента (Client Secret);

   • Запрашиваемые группы данных – перечень запрашиваемых групп данных из Альфа ID.

4. Настроить правила связывания.

5. В разделе Аутентификация консоли управления включить использование метода аутентификации с использованием поставщика идентификации Альфа ID.

Mos ID (СУДИР)

Для конфигурирования входа через Mos ID (СУДИР) необходимо выполнить следующие шаги:

1. Зарегистрировать приложение в системе СУДИР. Для этого подать заявку согласно инструкции, размещенной на официальном сайте этого поставщика идентификации - https://login.mos.ru/support (внешний СУДИР) и https://sudir.mos.ru/support (внутренний СУДИР). По результатам регистрации необходимо получить:

   • идентификатор (client_id);

   • секрет клиента (client_secret).

2. Перейти в консоль управления Blitz Identity Provider и добавить поставщика, имеющего тип СУДИР.

3. Заполнить настройки поставщика идентификации:

   • Идентификатор поставщика;

   • Название поставщика;

   • URL для авторизации – адрес, по которому должна инициироваться аутентификация, например: https://login.mos.ru/sps/oauth/ae для внешнего контура СУДИР и https://sudir.mos.ru/blitz/oauth/ae для внутреннего;

   • URL для получения и обновления маркера – адрес, по которому происходит получение и обновление маркера доступа, например: https://login.mos.ru/sps/oauth/te для внешнего контура СУДИР и https://sudir.mos.ru/blitz/oauth/te для внутреннего;

     Примечание

     Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

     • при входе пользователя;

     • при привязке внешнего поставщика в Личном кабинете;

     • при привязке внешнего поставщика через REST API;

     • при регистрации пользователя через внешнего поставщика.

   • URL для получения данных – адрес, по которому происходит получение данных пользователя, например: https://login.mos.ru/sps/oauth/me для внешнего контура СУДИР и https://sudir.mos.ru/blitz/oauth/me для внутреннего;

   • Идентификатор (client_id);

   • Секрет клиента (client_secret).

   • Запрашиваемые группы данных – перечень запрашиваемых разрешений, например, openid и profile;

4. Настроить правила связывания.

5. В разделе Аутентификация консоли управления включить использование метода аутентификации с использованием поставщика идентификации СУДИР.

МТС ID

Для конфигурирования входа через МТС ID выполните следующие шаги:

1. Напишите на почту mts_id_support@mts.ru. В письме предоставьте информацию согласно таблице:

Наименование	Значение
Название сервиса	Blitz Identity Provider
Контактное лицо от сервиса	ФИО и электронная почта
Идентификатор ресурса (redirect_uri)	Адрес страницы, на которую будет перенаправлен ответ после успешной аутентификации в системе МТС
IP-адрес (адреса) сервера	IP-адрес (адреса) сервера Blitz Identity Provider
Контакты ответственных за сервер	ФИО и электронная почта
Домен, с которого будет идти вызов МТС ID	Доменное имя Blitz Identity Provider

В течение рабочего дня поступит ответ с данными для подключения (client_id и client_secret).

2. Перейдите в консоль управления Blitz Identity Provider и добавьте поставщика, имеющего тип МТС ID.

3. Заполните настройки поставщика идентификации:

   • Идентификатор поставщика;

   • Название поставщика;

   • Идентификатор клиента (Client ID), полученный в ответном письме от МТС ID;

   • Секрет клиента (Client secret), полученный в ответном письме от МТС ID;

   • URL для авторизации;

   • URL для получения и обновления маркера;

     Примечание

     Если маркеры доступа пользователей необходимо сохранять в базу данных, установите флажок Запоминать маркеры. В результате маркеры будут сохраняться в следующих случаях:

     • при входе пользователя;

     • при привязке внешнего поставщика в Личном кабинете;

     • при привязке внешнего поставщика через REST API v2;

     • при регистрации пользователя через внешнего поставщика.

   • URL для получения данных;

   • Запрашиваемые группы данных.

   

4. Настройте правила связывания.

5. В разделе Аутентификация консоли управления включите использование метода аутентификации с использованием поставщика идентификации МТС ID.