ошибка авторизации через есиа поле адрес обязательно к заполнению для этого типа записи
Настройка доступа в ЛесЕГАИС через ЕСИА (Госуслуги)
С 1 апреля 2021 года всем пользователям системы ЛесЕГАИС потребуется авторизовываться именно через систему ЕСИА (она же Госуслуги).
Для того, чтобы успешно авторизоваться в ЛесЕГАИС потребуется выполнить несколько простых действий:
Теперь более подробно рассмотрим порядок настройки системы Единой системы идентификации и аутентификации (Госуслуги) для работы с ЛесЕГАИС.
Электронная подпись
Для работы в системе ЛесЕГАИС требуется электронная подпись.
Если в системе ЛесЕГАИС сам руководитель лично, то электронная подпись должна быть оформлена на его имя.
Для работы на портале ЛесЕГАИС необходимо произвести настройку электронной подписи. Для этого воспользуйтесь инструкциями на портале ЛесЕГАИС и сайта Госуслуг.
Регистрация на портале Госуслуг
Регистрация на портале Госуслуг простая. Переходим по ссылке на регистрацию и регистрируемся как физическое лицо.
Вводим все необходимые дынные, придумываем пароли.
Рекомендуем подтвердить контактные данные, в частности номер телефона и электронную почту.
Подтверждение учетной записи (личности)
Для подтверждения учетной записи (личности) на портале Госуслуг мы рекомендуем воспользоваться усиленной квалифицированной электронной подписью, полученной для системы ЛесЕГАИС.
Регистрация организации или ИП на Госуслугах
Для регистрации индивидуального предпринимателя на сайте Госуслуг необходимо на форме сайта заполнить данные и дождаться и проверки.
Организация и предприниматель регистрируются по результатам проверки данных в ЕГРЮЛ/ЕГРИП. Сама проверка может проходить от нескольких минут до нескольких дней.
После успешной регистрации в списке организаций появится ваша организация или ИП.
Нажав на карточку организации Вы войдете в ее настройки.
Добавляем сотрудников в профиль организации
При регистрации организации на сайте Госуслуг руководитель организации автоматически добавляется в список сотрудников.
Сотрудник должен принять приглашение. Оно придет ему на электронную почту, нужно перейти по ссылке и активировать приглашение.
После подтверждения приглашения сотрудник станет активным в списке сотрудников организации.
Настройка прав доступа на портале Госуслуг.
Для настройки прав доступа необходимо перейти на вкладку «Доверенности и доступы» и воспользоваться расширенным поиском.
В расширенном поиске необходимо нати и выбрать:
В окне приглашения нового сотрудника нажимаем в поле «ФИО участника» и выбираем подключенного сотрудника из выпадающего списка. После выбора нажимаем кнопку «Добавить». Обратите внимание! Руководителя организации и самого предпринимателя необходимо тоже добавить в эту группу!
Сотрудник, которому Вы назначили доступ будет отображаться в списке «Посмотреть сотрудников в группе»
Все сотрудники указанные в списке доступа к системе ЛесЕГАИС будут иметь возможность входа в эту систему.
После настройки прав доступа рекомендуем выйти из системы Госуслуг и перезапустить браузер перед первым входом в ЛесЕгаис с использованием ЕСИА.
Ошибка авторизации в ЕСИА [solved]
Ок, берем корректные сертификаты отсюда e-trust.gosuslugi.ru/MainCA и заменяем ручками. Ноль эффекта.
Местные казначеи сами в растерянности, в область не дозвониться.
Как думаете, уважаемые знатоки, это факап федерального масштаба, регионального или есть костыли и подорожник?
Ок, берем корректные сертификаты отсюда e-trust.gosuslugi.ru/MainCA и заменяем ручками. Ноль эффекта.
Местные казначеи сами в растерянности, в область не дозвониться.
Как думаете, уважаемые знатоки, это факап федерального масштаба, регионального или есть костыли и подорожник?
MotoArhangel пишет: который нежданно аннулировали 22.07.2017
P.S. Привет соседям-сибирякам!
MotoArhangel пишет: Проблема с корневым УЦ ФК. Т.е. все сертификаты выданные УЦ с использованием старого корневого сертификата (который нежданно аннулировали 22.07.2017) по факту являются не действительными.
MotoArhangel пишет: Проблема с корневым УЦ ФК. Т.е. все сертификаты выданные УЦ с использованием старого корневого сертификата (который нежданно аннулировали 22.07.2017) по факту являются не действительными.
О каком именно корневом серте УЦ ФК речь? На картинке, приведенной SibUrsus, не вижу ссылок на корневой серт старого УЦ ФК с датами действия с 28.06.2013 по 28.06.2018, под которым и создавались все казначейские серты пользователей, в т.ч. и для госуслуг. Вероятно для ЕСИА и ГУ дополнительно используются еще и другие корневые УЦ ФК. Тогда кому и главное ЗАЧЕМ взбрело в голову досрочно прихлопывать? (проблемы с ЭП возникли и в ЭБ судя по форуму).
А кому и зачем, это уже вопрос к Москве.
Перед отправкой документа выполняется проверка подписей на доведение до УЭП, а также проверка на полноту набора подписей. Если подписи документа не удовлетворяют требованиям, то документ не будет отправлен (статус передачи при этом не изменяется). Пользователю выводится сообщение о том, что «Подпись не доведена до УЭП»
Основная структура реализации:
Передается XML-документ, подписанный ЭП, возвращается XML-документ с УЭП или сообщение об ошибке. Для организации данной идеи используется так называемый ПКВС(Криптографический веб-сервис доведения ЭП до УЭП )
Вот на этом то этапе и возникает проблема, т.к. старый сертификат проверить нет возможности по причине наличию у ФК головного УЦ в виде Минкомсвязи. Еще раз изменена цепочка сертификатов(Цепочка доверия ). Из вышеизложенного не сложно догадаться как решился вопрос с подписью в ЭБ.
Если локально установить самоподписанный вариант, то локальная цепочка доверия восстановится. Проблема в том, что ГАС/ГИС/ЕИС проверяют цепочку от ГУЦ в рамках единого пространства доверия, а нет от самоподписанного сертификата УЦ ФК. У меня установлен самоподписанный вариант, но ГАС «Управление» отклоняет сертификат. Однако ЕСИА принимает.
В целом, ситуацию можно оценить так: когда сертификат УЦ ФК перевыпускался на УЦ2, срок действия ограничили по сроку действия сертификата УЦ2, но об этом факте все как-то забыли. Сейчас получается ничего не аннулировали, просто штатно закончился срок действия УЦ2 и с ним кросс УЦ ФК. Соответственно, сертификат УЦФК 2013 года выпал из единого пространства доверия. Вопрос «кому и зачем» отпадает.
Как работает идентификация пользователей через «Госуслуги»
Единая система идентификации и авторизации (ЕСИА) – это единственный способ верифицировать личность пользователя. Если продукт работает с деньгами, решает юридические задачи или работает с медицинскими данными, без интеграции с ЕСИА не обойтись. Рассказываем, что нужно знать, чтобы работать с этой инфраструктурой.
ЕСИА появилась в 2010 году и изначально использовалась для авторизации на Портале госуслуг. За прошедшее время возможности системы постоянно развивались, и сегодня коммерческие организации используют её, чтобы связывать учётные записи пользователя с их оффлайн-личностью.
То есть если компании нужно удостовериться, что по ту сторону экрана действительно тот человек, которым представился пользователь, ЕСИА предоставляет такую возможность. И самое главное – эта идентификация имеет юридическую значимость.
1. Клиент может подписывать юридически значимые электронные документы, получать защищённый доступ к конфиденциальной информации, медицинским данным и т.д.
2. Появляется возможность автоматически заполнять в анкетах и заявках персональные данные клиента: ФИО, данные паспорта, ИНН, информация о детях и др. При этом компания может быть уверена, что эти данные абсолютно верны и правдивы.
3. Страховые компании и банки могут продавать через приложение свои продукты. И никаких расходов, которые связаны с традиционными, оффлайновыми каналами продаж – не нужно собирать документы, приглашать человека в офис, достаточно разработать скрипт для колл-центра.
4. Для пользователя верификация с ЕСИА повышает доверие к сервису и делает саму процедуру удобнее – не нужно помнить дополнительные пароли, просто нажимаешь знакомую кнопку и всё.
В наших проектах интеграция ЕСИА активно используется в продуктах страховых компаний. Это позволяет клиентам покупать полисы ОСАГО, отправлять извещения о ДТП при оформлении заявок на урегулирование убытков. Это критически важная функция для сценариев заявления о страховых случаях по ОСАГО, когда пользователь не является клиентом данной страховой компании.
Хотя сейчас к ЕСИА могут подключиться не все организации, можно ожидать, что такая авторизация скоро станет де-факто стандартом для пользовательских сервисов. Просто потому, что это надёжно и удобно для клиентов – вместо отдельной учётной записи для каждого ресурса можно использовать единый аккаунт «Госуслуг» и бесшовно пользоваться любыми нужными услугами. Поэтому задумываться об интеграции стоит всем компаниям.
ЕСИА является прослойкой между стандартным содержанием приложения и его защищёнными данными. Если пользователю не требуются услуги, которые требуют верификации личности, он может не проходить дополнительную авторизацию. Когда же он захочет попасть в этот раздел, приложение переадресует его на Портал госуслуг, а после успешной авторизации – вернёт обратно.
Интеграция ИС с ЕСИА посредством SAML
При выполнении очередного госзаказа наша команда столкнулась с проблемой интеграции сайта с ЕСИА. Инструкции по решению этой задачи в сети нет, кроме информации в официальных документах МинКомСвязи (примерно 300 страниц в трех регламентах). Также есть компании, которые оказывают платные услуги по интеграции ЕСИА. Мы реализовали, описали процесс интеграции и решили поделиться с сообществом habrahabr.
Что такое ЕСИА
Единая Система Идентификации и Аутентификации — российская информациия система, обеспечивающая доступ (регистрация, аутентификация) на сайты государтсвенных структур и некоторых коммерческих организаций. Подробнее на википедии
В процессе интеграции ЕСИА, система сможет отправлять запрос на ЕСИА и при успешной авторизации получать в качестве ответа данные пользователя
Сценарий авторизации выглядит примерно так:
Содержание
Общие сведения
На сайте МинКомСвязи размещен документ, именуемый «Методические рекомендации по использованию Единой системы идентификации и аутентификации», последнюю актуальную версию всегда можно найти на сайте МинКомСвязи. Документ сам по себе немаленький — почти 200 страниц, и, конечно же мало кто захочет его подробно изучать, да и понятен он будет не всем желающим, поэтому опишу тут процесс в сухом остатке.
Подключить ИС к ЕСИА возможно двумя способами:
Если сравнивать 2 подхода, то по факту разницы между ними большой нет, есть несколько плюсов у способа на базе подхода REST. Есть ребята, которые на мой взгляд за немалые деньги подключают ЕСИА и о преимуществах REST они написали тут.
Но для подавляющего большинста случаев первый подход охватывает все необходимые функции. Поэтому расскажу о внедрении ЕСИА посредством SAML 2.0
Установка SimpleSAMLphp
Для интеграции будем использовать SimpleSAMLphp. Если система, которую вы настраиваете написана не на PHP, то все равно можно использовать этот модуль, просто на вашем сайте будет функция аутентификации реализована на php, данные от ЕСИА вы получите в xml формате.
Последняя официальная версия SimplSAMLphp доступна на официальном сайте SimpleSamlPHP. Скачиваете архив, распаковываете модуль в папку /var.В целях безопасности для папки с разархивированным модулем необходимо настроить права доступа только для root пользователя. В конфигурации сервера необходимо добавить алиас и следующие правила:
Суть в том, чтобы по запросу ServerName/simplesaml открывалась приветственная страница simplesaml. Если вы все сделали правильно, то по запросу ServerName/simplesaml вы увидите такую страничку
Настройка SimpleSAMLphp для подключения к тестовой среде ЕСИА
Для интеграции необходимы сертификат ( cert.crt ) и ключ ( key.key ). Важно(!) с ГОСТовским сертфикатом ничего не выйдет, можно получить бесплатный сертификат, погуглив как это делается, либо выпустить сертификат самому. Ключ и сертификат кладем в папку simplesamlphp/cert
Для конфигурации SimpleSAMLphp необходимо отредактировать следующие файлы:
Важное замечание — время на сервере не должно отличаться от времени ЕСИА больше 1 минуты.
Важно знать, есть ли у системы entityID, если его нет, то в поле ‘entityID’ необходимо указать адрес системы
Теперь надо получить подпись для нашего сертификата (fingerprint). Это можно сделать в терминале одной из команд
Конфигурация файла метаданных
Теперь необходимо сгонфигурировать файл метаданных для того, чтобы его отправить вместе с заявкой в ЕСИА
Файл метаданных доступен по ссылке: ServerName/simplesaml/module.php/saml/sp/metadata.php/esia?output=xhtml
Пример файла метаданных:
Но, к сожалению, SimpleSaml формирует файл метаданных, который немного отличается от требования ЕСИА, поэтому необходимо его подкорретировать в соотвествии с рекомендациями пункт А.6 Шаблон файла метаданных
Пример файла метаданных, удовлетворяющий требованиям ЕСИА, может скачать по ссылке example.xml
Отправка заявки в адрес МинКомСвзяи на подключение ИС к тестовой среде ЕСИА
Теперь формируем заявку по форме «E» Регламента информационного взаимодействия Участников с Оператором ЕСИА. Форму заявки в формате docx можете скачать с нашего сайта по ссылке.
Теперь необходимо отправить заявку на почту esia@minsvyaz.ru с темой «Интеграция тестовой ЕСИА» и к письму необходимо приложить три файла:
После получения ответа от поставщика услуг (ЕСИА) со статусом «Решен» и приложенными файлами для тестирования, переходим к следующему шагу.
Возможно Вам придет ответ с темой «Требуется дополнительная информация по запросу #», в этом случае в письме будет информация о том, что необходимо исправить.
Функциональная интеграция с ЕСИА и получение данных авторизированных пользователей через ЕСИА
При корректном выполнении всех предыдущих пунктов по ссылке откроется страница с тестовой средой ЕСИА. Для аутентификации в тестовой среде используются данные, полученные от ЕСИА в письме со статусом «Решен». После аутентификации произойдет переход на страницу SimpleSAML с таблицей с полученными данными от ЕСИА.
Теперь напишем скрипт, который будет обрабатывать данные. Для начала добавим кнопку для авторизации на сайт.
Отправка заявки на подключение ИС к продуктивной среде ЕСИА
Теперь формируем заявку по форме «М» Регламента информационного взаимодействия Участников с Оператором ЕСИА. Она не сильно отличается от формы Е, но внимательно изучите форму, необходимо в форме добавить запрашиваемые данные и уже не надо прикреплять файл сертификата.
Теперь формируем новый файл метаданных, по факту меняются только ссылки в полях Service
По адресу esia@minsvyaz.ru отправляем письмо и прикрепляем 2 файла:
Теперь вы должны получить ответ со статусом «Решен», после этого можете вводить функцию входа через ЕСИА в эксплуатацию.
На момент написания статьи актуальная версии Регламента — 2.7. При обновлении регламента возможны некоторые изменения во взаимодействии ИС с ЕСИА.
Интеграция с ЕСИА: ответы на частые вопросы о подключении организации к ЕСИА
Официальные инструкции запутанны и сложны для восприятия, так что мы подготовили FAQ по теме интеграции с ЕСИА на основе вопросов, которые чаще всего задают наши клиенты.
Что такое ЕСИА
Министерство цифрового развития, связи и массовых коммуникаций уже больше десяти лет разрабатывает и совершенствует безопасный сервис авторизации для различных государственных сервисов и сайтов. Он получил название «Единая система идентификации и аутентификации» — ЕСИА. Это универсальный ключ доступа к ресурсам электронного правительства РФ.
Если вначале ЕСИА применялась для авторизации на портале Госуслуг, то по мере выполнения Федерального проекта «Цифровое государственное управление» и появления новых суперсервисов, ее сфера применения расширилась.
ЕСИА применяется для взаимодействия с органами власти и за пределами государственного сектора. К сервису подключаются порталы и IT-системы частных компаний из числа тех, для которых точная и безошибочная идентификация пользователей — приоритет.
Доверие к ЕСИА обеспечено продуманной криптографической защитой и тем фактом, что учетная запись пользователя этой системы содержит подтвержденную государством информацию, начиная с фамилии и заканчивая номером пенсионного свидетельства.
Как работает ЕСИА
С точки зрения пользователя вход на сайт или в мобильное приложение при помощи ЕСИА не отличается от использования аккаунта Google, Яндекс или одной из популярных социальных сетей.
Пользователь кликает по кнопке «Госуслуги». Открывается окно для ввода логина и пароля, и, после их ввода, авторизованный пользователь перенаправляется на исходную страницу.
В момент ввода данных сайт обращается к отдельному программному модулю — коннектору, отвечающему за связь с ЕСИА. Коннектор формирует зашифрованный запрос к серверам сервиса и получает в ответ пакет с личными данными пользователя. Они расшифровываются при помощи криптографического ключа, выданного организации заранее, еще на этапе настройки коннектора. Затем, личные данные передаются на сайт.
Такая схема подключения позволяет реализовать разнообразные сценарии взаимодействия пользователя и сайта. В случае с банковскими продуктами использование сервиса может выглядеть так:
Кто может подключиться к ЕСИА
ЕСИА создавалась, чтобы облегчить предоставление государственных услуг, так что интеграция с этим сервисом доступна всем государственным учреждениям. Помимо них, такая привилегия выдана нескольким разновидностям юридических лиц, занимающихся коммерческой деятельностью.
Интегрироваться с ЕСИА могут:
Какие данные можно получать из ЕСИА
Для организаций, зарегистрированных в ЕСИА, этот список составляют типовые реквизиты: наименование, юридический адрес, ОГРН, код ОКПО и т.д. Кроме того, при создании учетной записи присваивается один из трех статусов, отражающих ее надежность.
Государственные органы, с разрешения владельца учетной записи, могут получить всю информацию из аккаунта, но для коммерческих организаций доступ ограничен. Им доступны данные о подтвержденности аккаунта, ФИО пользователей и часть паспортных данных.
Какие бывают учетные записи в ЕСИА
Каждый новый пользователь сервиса первоначально получает «упрощенную» учетную запись с ограниченными возможностями. Когда пользователь указывает правильные паспортные данные или СНИЛС, аккаунт проходит проверку со стороны государственных органов, и учетной записи присваивается статус — «стандартная». Для получения «подтвержденного» аккаунта его владелец должен пройти идентификацию при помощи авторизованного интернет-банка или лично посетив МФЦ.
Сколько пользователей в ЕСИА
Министерство цифрового развития, связи и массовых коммуникаций открыто не отчитывается о числе пользователей ЕСИА, так что судить об их количестве можно лишь приблизительно, по устаревшим данным.
Согласно отчету Ростелеком, сервисом пользуется больше 80 миллионов человек — каждый второй житель России.
Для чего ЕСИА коммерческим компаниям
Для негосударственных организаций сервис открывает новые возможности, не связанные с получением персональных данных.
Как зарегистрировать организацию в ЕСИА
Процедура начинается с юридических формальностей. Прежде всего, необходимо выбрать ответственное лицо — администратора IT-системы, которая будет работать с ЕСИА. В этой роли может выступать руководитель организации или его доверенное лицо. Администратор подтверждает личность через портал госуслуг и регистрирует там организацию.
Затем администратор оформляет квалифицированную электронную подпись и вносит новую IT-систему в особый регистр. Эта процедура подробно изложена в детальном руководстве.
После регистрации IT-системе присваивается мнемоника — индивидуальный код-идентификатор. Он потребуется техническим специалистам для дальнейшей настройки системы.
Как подключить сайт организации или другую IT-систему к ЕСИА
Следующий шаг на пути интеграции с сервисом требует привлечения специалистов с технической квалификацией в области информационной безопасности. Чтобы подключить сайт или другую IT-систему к сервису, необходимо сгенерировать криптографический ключ и соответствующий ему сертификат.
Сертификат передается государству. В ответ Минкомсвязи высылает разрешение на тестовый доступ к сервису и данные для пробного подключения.
Далее следуют работы по разработке и настройке коннектора между IT-системой организации инфраструктурой сервиса. Разработчикам предстоит научить их взаимодействовать между собой — принимать и отправлять запросы в автоматическом режиме. Минкомсвязи даст разрешение на полноценный запуск IT-системы только после того, как коннектор стабильно заработает в тестовом режиме.
Какой протокол использовать для подключения к ЕСИА и чем он отличается от стандартов
Для интеграции сайта или IT-системы с ЕСИА используется сочетание авторизации по OAuth 2.0 и аутентификации при помощи OpenID Connect. Это распространенные решения с подробной документацией и многочисленными примерами использования, но применить их для интеграции с сервисом «как есть» не получится.
Хотя создатели сервиса в целом придерживались стандартных спецификаций, им пришлось разработать собственный Application Programming Interface для приема электронных подписей. Чтобы подключение к ЕСИА было успешным, стандартным библиотекам OpenID/OAuth необходима ручная доработка.
Какой сертификат нужен для регистрации системы в ЕСИА и обязательно ли использовать ГОСТ-криптографию?
В октябре 2019 года Минкомсвязи обновило методические рекомендации, исключив из них упоминания стандарта шифрования RSA (Rivest, Shamir и Adleman) и самоподписанных сертификатов. Их использование больше не допускается.
Теперь российские алгоритмы шифрования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 — единственные стандарты, которые доступны для использования с ЕСИА.
Сертификаты обязательно должны быть выпущены сертифицированным удостоверяющим центром.
Какие готовые решения можно использовать для подключения
В отдельных отечественных системах управления сайтами предусмотрены инструменты для подключения к ЕСИА, но переносить сайт на новую CMS ради интеграции с порталом госуслуг нецелесообразно, и, зачастую, попросту невозможно.
Универсальное решение — библиотеки с открытым исходным кодом. С их помощью можно обеспечить работу с сервисом для любой IT-системы, но для их настройки требуются технические навыки. Мы предпочитаем использовать Open Source компоненты, однако дорабатываем и адаптируем их для каждого проекта.
Можно ли подключить к ЕСИА мобильное приложение
Да, но в приложение должен быть интегрирован браузер. Он необходим только для авторизации, так что все остальные операции с приложением можно реализовать через обычный интерфейс. Например, так функционируют приложения «Госуслуги» и «Почта России».
Сколько времени уходит на подключение к ЕСИА
Формальная сторона процедуры, включающая регистрацию аккаунтов и ожидание мнемонического кода от Минкомсвязи, обычно занимает около недели.
На работы по настройке коннектора для базового подключения требуется две — три недели. В случаях, когда необходимо получение данных из аккаунта ЕСИА и дальнейшая их обработка, срок увеличивается.
Сколько стоит подключение
Государство не взимает платы за использование системы авторизации и идентификации. Подключение к ЕСИА бесплатно, однако на самостоятельную настройку коннектора для работы с сервисом придется потратить силы и время.
Практика показывает, что интеграция силами штатных сотрудников IT-отдела компании удается не всегда. Настройку интеграции сайта или иной IT-системы с ЕСИА лучше доверить опытной команде, которая неоднократно выполняла эту процедуру. Стоимость работ специалистов варьируется в зависимости от сложности системы и масштабов проекта.
Предупреждает ли Минкомсвязи о регламентных работах
Минкомсвязи не публикует график работ, но за несколько часов до начала технического обслуживания предупреждает об отключениях сервиса при помощи сообщений на сайте государственных услуг.
Отключения ЕСИА редки и, как правило, происходят в часы наименьшей нагрузки на сервис, а восстановление работы авторизации происходит автоматически.
Где можно найти дополнительную информацию о ЕСИА
Инструкции по работе с сервисом периодически пересматриваются, обновляются и дополняются, поэтому, изучив ответы на распространенные вопросы, стоит обратиться к первоисточникам.
Общую информацию о подключении к ЕСИА, а также контакты для связи с Ситуационным центром Минкомсвязи, где можно получить консультацию по правовым аспектам подключения, приведены на информационной странице ЕСИА на портале Госуслуг.
Актуальные документы, касающиеся сервиса, публикуются на официальном портале Минкомсвязи РФ. Перечень документов, которые публикует министерство, включает в себя: