Как настроить авторизацию через госуслуги

Как сделать авторизацию на моём сайте через сайт госуслуг?

«У сайта gosuslugi.ru есть API для прикручивания авторизации через себя — к любому сайту».

где про это по-подробнее прочитать?

оттуда послали туда -> http://smev.gosuslugi.ru/ и там я потерялся.

Есть ли тут кто делал такое? (кроме http://esia.pro/)

мил человек а что стоит позвонить написать в саппорт ?

там не то описано. Мне нужен просто форум с логином через госуслуги. Я ничего населению предоставлять не собираюсь.

ну там же написано что нужно уведомить оператора

Ну ты же посмотри на заявку на регистрацию, там требуется документ «основание для подключения». Где я такой возьму?

Ну значит и не подключишь, если оснований нет.

возможно основания есть, но я о них не знаю. Может кто-то уже интересовался и расскажет

на самом деле надо было другой тег ставить — ЕСИА (если такой есть):

или вот цитата:
https://partners.gosuslugi.ru/catalog/esia
«Необходимо отправить форму заявки на адрес sd@sc.minsvyaz.ru (Приложение М для государственных, Приложение H — для коммерческих организаций).»

а если я некоммерческая организация, то что?

Это не саппорт госуслуг, если ты ещё не понял 🙂

зачем тебе паспортные данные пользователей тогда?

а если я некоммерческая организация, то что?

Вообще это не так важно, если ты представляешь юридическое лицо, то должен выполнить требования которые тебе предъявят, в том числе и обоснование зачем тебе это надо. Если требования не хочешь выполнять — доступ не получишь.

Одним словом пиши письмо с просьбой и обоснованием в саппорт госуслуг с указанием реквизитов юр.лица и с подписью начальника и печатью.

Приложение H — для коммерческих организаций

Надо же, я думал, оно вообще исключительно для госорганизаций сделано.

Вообще, речь же идёт про авторизацию с использованием реальных данных человека. Т.е., если я правильно понял, даже если ты себя обзовёшь некоммерческой организацией и выполнишь все требования — ты окажешься оператором персональных данных, а значит, примешь на себя три вагона геморроя по федеральному законодательству. И программы тебе придётся ставить не абы какие, а сертифицированные под этот ФЗ. Тебе точно такое счастье надо?

Впрочем, не исключаю, что в этом случае оператором всё же является только сама ЕСИА. Тебе бы нужно с технически подкованным юристом проконсультироваться.

Вообще уже куча коммерческих организаций подключаются через портал госуслуг, но все равно требования минкомсвязи нужно выполнить

Источник

Интеграция ИС с ЕСИА посредством SAML

При выполнении очередного госзаказа наша команда столкнулась с проблемой интеграции сайта с ЕСИА. Инструкции по решению этой задачи в сети нет, кроме информации в официальных документах МинКомСвязи (примерно 300 страниц в трех регламентах). Также есть компании, которые оказывают платные услуги по интеграции ЕСИА. Мы реализовали, описали процесс интеграции и решили поделиться с сообществом habrahabr.

Что такое ЕСИА

Единая Система Идентификации и Аутентификации — российская информациия система, обеспечивающая доступ (регистрация, аутентификация) на сайты государтсвенных структур и некоторых коммерческих организаций. Подробнее на википедии

В процессе интеграции ЕСИА, система сможет отправлять запрос на ЕСИА и при успешной авторизации получать в качестве ответа данные пользователя

Сценарий авторизации выглядит примерно так:

• Пользователь на сайте, на котором внедряется ЕСИА, в личном кабинете нажимает на кнопку «Войти через ГосУслуги»
• Система переадресует на сайт ЕСИА
• Пользователь вводит свои логин и пароль на сайте ЕСИА
• При успешной авторизации ЕСИА возвращает пользователя обратно на сайт и по защищенному протоколу передает его личные данные

Содержание

Общие сведения

На сайте МинКомСвязи размещен документ, именуемый «Методические рекомендации по использованию Единой системы идентификации и аутентификации», последнюю актуальную версию всегда можно найти на сайте МинКомСвязи. Документ сам по себе немаленький — почти 200 страниц, и, конечно же мало кто захочет его подробно изучать, да и понятен он будет не всем желающим, поэтому опишу тут процесс в сухом остатке.

Подключить ИС к ЕСИА возможно двумя способами:

• Посредством стандарта SAML 2.0
• На базе подхода REST

Если сравнивать 2 подхода, то по факту разницы между ними большой нет, есть несколько плюсов у способа на базе подхода REST. Есть ребята, которые на мой взгляд за немалые деньги подключают ЕСИА и о преимуществах REST они написали тут.

Но для подавляющего большинста случаев первый подход охватывает все необходимые функции. Поэтому расскажу о внедрении ЕСИА посредством SAML 2.0

Установка SimpleSAMLphp

Для интеграции будем использовать SimpleSAMLphp. Если система, которую вы настраиваете написана не на PHP, то все равно можно использовать этот модуль, просто на вашем сайте будет функция аутентификации реализована на php, данные от ЕСИА вы получите в xml формате.

Последняя официальная версия SimplSAMLphp доступна на официальном сайте SimpleSamlPHP. Скачиваете архив, распаковываете модуль в папку /var.В целях безопасности для папки с разархивированным модулем необходимо настроить права доступа только для root пользователя. В конфигурации сервера необходимо добавить алиас и следующие правила:

Суть в том, чтобы по запросу ServerName/simplesaml открывалась приветственная страница simplesaml. Если вы все сделали правильно, то по запросу ServerName/simplesaml вы увидите такую страничку

Настройка SimpleSAMLphp для подключения к тестовой среде ЕСИА

Для интеграции необходимы сертификат ( cert.crt ) и ключ ( key.key ). Важно(!) с ГОСТовским сертфикатом ничего не выйдет, можно получить бесплатный сертификат, погуглив как это делается, либо выпустить сертификат самому. Ключ и сертификат кладем в папку simplesamlphp/cert

Для конфигурации SimpleSAMLphp необходимо отредактировать следующие файлы:

• simplesamlphp/config/config.php
• simplesamlphp/config/authsources.php
• simplesamlphp/metadata/saml20-idp-remote.php

Важное замечание — время на сервере не должно отличаться от времени ЕСИА больше 1 минуты.

Важно знать, есть ли у системы entityID, если его нет, то в поле ‘entityID’ необходимо указать адрес системы

Теперь надо получить подпись для нашего сертификата (fingerprint). Это можно сделать в терминале одной из команд

• openssl x509 -noout -fingerprint -in «cert.crt» SHA1
• sha1sum cert.crt

Конфигурация файла метаданных

Теперь необходимо сгонфигурировать файл метаданных для того, чтобы его отправить вместе с заявкой в ЕСИА

Файл метаданных доступен по ссылке: ServerName/simplesaml/module.php/saml/sp/metadata.php/esia?output=xhtml

Пример файла метаданных:

Но, к сожалению, SimpleSaml формирует файл метаданных, который немного отличается от требования ЕСИА, поэтому необходимо его подкорретировать в соотвествии с рекомендациями пункт А.6 Шаблон файла метаданных

Пример файла метаданных, удовлетворяющий требованиям ЕСИА, может скачать по ссылке example.xml

Отправка заявки в адрес МинКомСвзяи на подключение ИС к тестовой среде ЕСИА

Теперь формируем заявку по форме «E» Регламента информационного взаимодействия Участников с Оператором ЕСИА. Форму заявки в формате docx можете скачать с нашего сайта по ссылке.

Теперь необходимо отправить заявку на почту esia@minsvyaz.ru с темой «Интеграция тестовой ЕСИА» и к письму необходимо приложить три файла:

• скан заявки в формате pdf,
• сертификат в формате crt
• файл метаданных xml

После получения ответа от поставщика услуг (ЕСИА) со статусом «Решен» и приложенными файлами для тестирования, переходим к следующему шагу.

Возможно Вам придет ответ с темой «Требуется дополнительная информация по запросу #», в этом случае в письме будет информация о том, что необходимо исправить.

Функциональная интеграция с ЕСИА и получение данных авторизированных пользователей через ЕСИА

Проверить подключения ИС к тестовой среде можно по ссылке
ServerName/simplesaml/module.php/core/authenticate.php?as=esia .

При корректном выполнении всех предыдущих пунктов по ссылке откроется страница с тестовой средой ЕСИА. Для аутентификации в тестовой среде используются данные, полученные от ЕСИА в письме со статусом «Решен». После аутентификации произойдет переход на страницу SimpleSAML с таблицей с полученными данными от ЕСИА.

Теперь напишем скрипт, который будет обрабатывать данные. Для начала добавим кнопку для авторизации на сайт.

Обработчик inc/esia.php . Тут мы получаем данные и можем записать их в базу, добавить в сессию и т.д. Вообще надо правильно парсить xml. Сейчас просто выведем данные на экран.

Отправка заявки на подключение ИС к продуктивной среде ЕСИА

Теперь формируем заявку по форме «М» Регламента информационного взаимодействия Участников с Оператором ЕСИА. Она не сильно отличается от формы Е, но внимательно изучите форму, необходимо в форме добавить запрашиваемые данные и уже не надо прикреплять файл сертификата.

В файлах simplesamlphp/config/authsources.php , simplesamlphp/metadata/saml20-idp-remote.php необходимо заменить idp поставщика услуг с Тестовой среды на продуктивную:

Теперь формируем новый файл метаданных, по факту меняются только ссылки в полях Service

По адресу esia@minsvyaz.ru отправляем письмо и прикрепляем 2 файла:

• Новый файл метаданных
• Заявку по форме М

Теперь вы должны получить ответ со статусом «Решен», после этого можете вводить функцию входа через ЕСИА в эксплуатацию.

На момент написания статьи актуальная версии Регламента — 2.7. При обновлении регламента возможны некоторые изменения во взаимодействии ИС с ЕСИА.

Источник

Как работает идентификация пользователей через «Госуслуги»

Единая система идентификации и авторизации (ЕСИА) – это единственный способ верифицировать личность пользователя. Если продукт работает с деньгами, решает юридические задачи или работает с медицинскими данными, без интеграции с ЕСИА не обойтись. Рассказываем, что нужно знать, чтобы работать с этой инфраструктурой.

ЕСИА появилась в 2010 году и изначально использовалась для авторизации на Портале госуслуг. За прошедшее время возможности системы постоянно развивались, и сегодня коммерческие организации используют её, чтобы связывать учётные записи пользователя с их оффлайн-личностью.

То есть если компании нужно удостовериться, что по ту сторону экрана действительно тот человек, которым представился пользователь, ЕСИА предоставляет такую возможность. И самое главное – эта идентификация имеет юридическую значимость.

1. Клиент может подписывать юридически значимые электронные документы, получать защищённый доступ к конфиденциальной информации, медицинским данным и т.д.

2. Появляется возможность автоматически заполнять в анкетах и заявках персональные данные клиента: ФИО, данные паспорта, ИНН, информация о детях и др. При этом компания может быть уверена, что эти данные абсолютно верны и правдивы.

3. Страховые компании и банки могут продавать через приложение свои продукты. И никаких расходов, которые связаны с традиционными, оффлайновыми каналами продаж – не нужно собирать документы, приглашать человека в офис, достаточно разработать скрипт для колл-центра.

4. Для пользователя верификация с ЕСИА повышает доверие к сервису и делает саму процедуру удобнее – не нужно помнить дополнительные пароли, просто нажимаешь знакомую кнопку и всё.

В наших проектах интеграция ЕСИА активно используется в продуктах страховых компаний. Это позволяет клиентам покупать полисы ОСАГО, отправлять извещения о ДТП при оформлении заявок на урегулирование убытков. Это критически важная функция для сценариев заявления о страховых случаях по ОСАГО, когда пользователь не является клиентом данной страховой компании.

Хотя сейчас к ЕСИА могут подключиться не все организации, можно ожидать, что такая авторизация скоро станет де-факто стандартом для пользовательских сервисов. Просто потому, что это надёжно и удобно для клиентов – вместо отдельной учётной записи для каждого ресурса можно использовать единый аккаунт «Госуслуг» и бесшовно пользоваться любыми нужными услугами. Поэтому задумываться об интеграции стоит всем компаниям.

ЕСИА является прослойкой между стандартным содержанием приложения и его защищёнными данными. Если пользователю не требуются услуги, которые требуют верификации личности, он может не проходить дополнительную авторизацию. Когда же он захочет попасть в этот раздел, приложение переадресует его на Портал госуслуг, а после успешной авторизации – вернёт обратно.

Источник

Как защитить свой аккаунт на «Госуслугах»

Наши персональные данные на портале «Госуслуги» находятся под надежной защитой: их никому не передают без нашего согласия. Но к их безопасности стоит подходить серьезно, даже если вы пользуетесь ими не очень часто. Ведь иногда злоумышленники могут получить доступ к вашему почтовому ящику или даже взломать личный аккаунт. Чаще всего это происходит из-за низкого уровня защиты и неосторожных действий самого владельца учетной записи.

Персональные данные пользователей портала gosuslugi.ru хранятся в Единой системе идентификации и аутентификации (ЕСИА). Это федеральная государственная информационная система, созданная для обеспечения санкционированного доступа участников информационного взаимодействия к информации, содержащейся в государственных информационных системах, муниципальных информационных системах и иных информационных системах. Данная система так же, как и портал госуслуг, аттестована по требованиям ФСТЭК на обработку конфиденциальной информации и персональных данных и реализована с помощью решений, прошедших сертификацию в ФСБ, что гарантирует полное соответствие требованиям законодательства РФ о защите персональных данных, в частности требованиям Федерального закона №152 ФЗ о защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Однако необходимо помнить, что безопасность определяется не только уровнем защиты портала, но и уровнем защиты вашего рабочего места, с которого осуществляется доступ. И если злоумышленник получит доступ к вашему аккаунту на «Госуслугах», он сможет действовать от вашего имени не только на самом портале, но и за его пределами. Речь идет не о мелких пакостях, а об очень серьезных вещах. Например, на вас могут оформить кредит. Или зарегистрировать на ваше имя фирму, проводящую сомнительные операции. Или распорядиться вашей собственностью на свое усмотрение.

Как защитить свой аккаунт

Портал «Госуслуги» предлагает несколько инструментов для защиты вашего аккаунта. Они также позволяют вам вовремя узнать о попытке взлома.

1. Используйте уникальный пароль

«Госуслуги» требуют от вас придумать длинный и сложный пароль, чтобы его было труднее подобрать. Однако сервис никак не может проверить его уникальность. Если вы воспользуетесь тем же самым паролем, которым защитили электронную почту и еще десяток аккаунтов на других сервисах, то утечка данных с любого из них поставит ваши документы под угрозу.

Поэтому для такого важного аккаунта, как на «Госуслугах», не только рекомендуется, но и жизненно необходимо придумать уникальный пароль. А чтобы вы не боялись его забыть, есть несколько советов по составлению и запоминанию паролей. Больше идей можно найти в статье про надежные пароли. И, конечно, всегда можно подстраховаться и сохранить его в менеджере паролей.

2. Включите оповещения о входе в ваш аккаунт Госуслуг

Если вы включите оповещения, то после каждого успешного входа вам придет письмо на электронную почту. Так вы узнаете, если кто-либо, кроме вас, получит доступ к аккаунту, и сможете своевременно поменять пароль. Чтобы включить уведомления о входе:

• Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
• На главной странице личного кабинета откройте вкладку Настройки.
• Нажмите Настройки безопасности.
• В блоке Оповещения о входе поставьте флажок Присылать уведомление на электронную почту.

3. Задайте контрольный вопрос

Контрольный вопрос — это дополнительная мера защиты от попыток посторонних сменить пароль от вашего аккаунта. Но стоит помнить, что контрольный вопрос не защитит вас, если ответ на него легко угадать или найти в Интернете. Важно, чтобы его знали только вы, причем могли в любой момент его вспомнить.

Чтобы задать контрольный вопрос:

• Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
• На главной странице личного кабинета откройте вкладку Настройки.
• Нажмите Настройки безопасности.
• Выберите Задать контрольный вопрос.
• Введите вопрос, ответ на него и пароль.
• Нажмите Сохранить вопрос.

4. Включите двухэтапную проверку входа

После включения двухэтапной проверки, чтобы войти в вашу учетную запись, злоумышленнику потребуется ввести не только пароль, но и одноразовый SMS-код, который придет на ваш телефон. Таким образом, вы будете в относительной безопасности, даже если ваш пароль украдут. Заодно вы вовремя узнаете о том, что пароль попал не в те руки, и сможете оперативно сменить его.

Чтобы включить двухэтапную проверку:

• Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
• На главной странице личного кабинета откройте вкладку Настройки.
• Нажмите Настройка безопасности.
• Выберите Включить двухэтапную проверку входа.
• Введите пароль от аккаунта и нажмите Включить.

5. Включите вход с помощью электронной подписи

Если вы пользуетесь квалифицированной электронной подписью, можно применять ее и для входа в аккаунт. Этот метод надежнее SMS-кодов: перехватить сообщение с одноразовым кодом проще, чем подделать подпись.

• Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
• На главной странице личного кабинета откройте вкладку Настройки.
• Нажмите Настройки безопасности.
• Выберите Включить вход с помощью электронной подписи.
• Введите пароль от аккаунта и нажмите Включить.

Если электронной подписи у вас нет, безопаснее отказаться от этой опции: без ЭЦП она бесполезна, а включая ее, вы теряете возможность получать коды через SMS.

Что еще важно знать

Как видите, настроек безопасности на «Госуслугах» не так много, и разобраться в них совсем не сложно. Кроме этого, чтобы защитить свои данные следуйте простым рекомендациям:

• Используйте на рабочем месте исключительно лицензионное программное обеспечение;
• Устанавливайте все необходимые обновления безопасности, рекомендуемые производителем программного обеспечения;
• Устанавливайте и регулярно обновляйте лицензионное антивирусное программное обеспечение, регулярно проводите проверку на отсутствие вирусов;
• Не загружайте программы и файлы из непроверенных источников, не посещайте сайты сомнительного содержания;
• Не заходите в личный кабинет портала госуслуг со случайных компьютеров, из интернет-кафе, либо иных непроверенных рабочих мест;
• Не сообщайте кому-либо ваш логин и пароль для авторизации на портале.

Источник