В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

Время на прочтение

В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

Изменения в законодательстве, начинающие действовать с начала 2018 года и включающие в себя самые разнообразные области нашей с вами жизнедеятельности (закон о мессенджерах, о телемедицине и т.д.) объединяет одно – все большее проникновение информационных сервисов в нашу жизнь. Естественным является факт, что как и в реальной жизни, для получения человеком какой-либо услуги ему требуется пройти идентификацию. В офф-лайновой жизни средством авторизации является паспорт гражданина, а в он-лайн сфере таковым средством правительство решило признать ЕСИА — единая система идентификации и аутентификации.

Вот о ней и хотелось бы поговорить. Это ознакомительная статья, можно сказать ликбез. Для знакомства людей, которые еще не знают, что при необходимости можно использовать ЕСИА у себя в проектах и идти в ногу со временем вместе с государством. И так, что же это за зверь и как его рассматривает правительство.

Минкомсвязь России в рамках инфраструктуры электронного правительства создала и развивает Единую систему идентификации и аутентификации (ФГИС ЕСИА), цель которой — упорядочить и централизовать процессы регистрации, идентификации, аутентификации и авторизации пользователей.

1. Предоставляет информационным системам решение по достоверной идентификации пользователей (физических и юридических лиц, органов государственной власти).

Достоверность достигается за счет того, что:

  • регистрация лица в ЕСИА сопряжена с проверкой значимых для удостоверения личности критериев;
  • ЕСИА обеспечивает защиту размещённой в ней информации в соответствии с законодательством Российской Федерации.

2. Является ориентированной на пользователя и предоставляет возможности:

  • идентификации и аутентификации с использованием единой учетной записи и широкого спектра поддерживаемых методов аутентификации при доступе к различным информационным системам органов государственной власти;
  • управления своими персональными данными, размещенными в ЕСИА, и контроля над их предоставлением в информационные системы органов государственной власти.

Основные функциональные возможности ЕСИА:

  • идентификация и аутентификация пользователей, в том числе:
    • однократная аутентификация, которая дает пользователям ЕСИА следующее преимущество: пройдя процедуру идентификации и аутентификации в ЕСИА, пользователь может в течение одного сеанса работы обращаться к любым информационным системам, использующим ЕСИА, при этом повторная идентификация и аутентификация не требуется;
    • поддержка различных методов аутентификации: по паролю, по электронной подписи, а также двухфакторная аутентификация (по постоянному паролю и одноразовому паролю, высылаемому в виде sms-сообщения);
    • поддержка уровней достоверности идентификации пользователя (упрощённая учетная запись, стандартная учетная запись, подтвержденная учетная запись).
  • ведение идентификационных данных, а именно – ведение регистров физических, юридических лиц, органов и организаций, должностных лиц органов и организаций и информационных систем;
  • авторизация уполномоченных лиц органов государственной власти при доступе к следующим функциям ЕСИА:
    • ведение регистра должностных лиц органов власти в ЕСИА;
    • ведение справочника полномочий в отношении информационной системы и предоставление пользователям ЕСИА (зарегистрированным в ЕСИА как должностные лица) полномочий по доступу к ресурсам систем, зарегистрированным в ЕСИА;
    • делегирование вышеуказанных полномочий уполномоченным лицам нижестоящих органов государственной власти.
  • ведение и предоставление информации о полномочиях пользователей в отношении информационных систем, зарегистрированных в ЕСИА.

В данный момент подключить систему к ЕСИА может любая государственная организация, а также отдельные виды коммерческих организаций: страховые компании, кредитные организации (банки), профессиональные участники рынка ценных бумаг, негосударственные пенсионные фонды, микрофинансовые и микрокредитные организации, а также операторы связи.

Законодательство со временем корректируется, и вместе с ним расширяется перечень организаций, которым разрешено подключиться к ЕСИА.

Люди, не знакомые с ситуацией, при слове «государственная» сразу представляют себе каналы связи, которые необходимо защитить при помощи отечественных криптоалгоритмов со всеми вытекающими затратами, лицензиями и оборудованием. Но, как бы смешно это не было (или печально), главная площадка для идентификации в стране – работает с иностранной криптографией (а куда деваться).

Поэтому, если вы хотите воспользоваться услугами данной платформы, то можете размещать свои ресурсы где у годно в нашей огромной стране, в том числе и в нашей инфраструктуре Cloud4Y
.

Что же может получить коммерческая организация из ЕСИА?

Перечень доступных к получению сведений зависит от:

  1. Категории организации, подключающейся к ЕСИА
  2. Использованного способа подключения к ЕСИА

Минкомсвязь ограничивает перечень данных, доступных коммерческим организациям. Обычно разрешают получать только сведения о ФИО, реквизитах паспорта (серия и номер, кем и когда выдан), гражданстве, а также признака «подтвержденности» аккаунта и идентификатора аккаунта в ЕСИА.

Государственные организации могут получать из ЕСИА полный набор данных о пользователе и его организациях. Это следующие сведения:

  1. личные данные (ФИО, пол, дата и место рождения, гражданство)
  2. данные идентификационных документов (СНИЛС, ИНН, общегражданский и заграничный паспорт, свидетельство о рождении, водительское удостоверение, военный билет, полис ОМС)
  3. контактная информация (email, мобильный и домашний телефон, адреса регистрации и проживания)
  4. сведения о детях (личные данные и документы)
  5. сведения о транспортных средствах (номер и свидетельство о регистрации)
  6. сведения об организациях и ИП (наименование, ОГРН, ИНН/КПП, организационно-правовая форма, юридический адрес, контакты, филиалы, списки сотрудников, полномочия сотрудников, транспортные средства организации)
  7. данные учетной записи (идентификатор аккаунта в ЕСИА, признак «подтвержденности» аккаунта)

Сведения предоставляются в том объеме, в каком они заполнены пользователем в ЕСИА, а также при условии согласия пользователя на предоставления этих сведений.

Как подключиться?

Чтобы подключить сайт своей организации, нужно пройти несколько довольно несложных процедур.

В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

В общих чертах для подключения к ЕСИА нужно:

  1. Убедиться, что вашей организации можно подключать свои системы к ЕСИА.
  2. Директору организации с помощью веб-приложения « Профиль ЕСИА
    » зарегистрировать организацию в ЕСИА.

    В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

    В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

  3. Ему также нужно прикрепить к учетной записи организации ответственного сотрудника и назначить ему право доступа в специальное приложение — Технологический портал ЕСИА. Если директор не планирует делегировать дальнейшие операции своему сотруднику, то тогда он все равно должен явно предоставить доступ себе к Технологическому порталу ЕСИА.

    Назначенному ответственному сотруднику организации нужно с помощью веб-приложения « Технологический портал ЕСИА
    »:

  4. Зарегистрировать учетную запись системы в ЕСИА. Мнемонику для системы придумать, либо использовать существующую мнемонику точки подключения к СМЭВ, если подключаемая к ЕСИА система раньше уже была подключена к СМЭВ.
  5. Загрузить в карточку системы ее сертификат.

    Ответственному сотруднику организации нужно:

  6. Поочередно подать по электронной почте заполненные в соответствии с регламентом
    заявки на использование программных интерфейсов ЕСИА в тестовой и промышленной среде.

    В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

    Разработчикам подключаемой системы:

  7. Доработать систему для подключения к ЕСИА, самостоятельно разработав код взаимодействия с ЕСИА в соответствии с действующим документом « Методические рекомендации по использованию ЕСИА
    » или использовать готовые решения, благо такие на рынке есть.
  8. Отладить взаимодействие в тестовой и промышленной среде ЕСИА.

В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

Здесь нужно заметить, что с 01.01.2018 г. взаимодействие по протоколу SAML 2.0 больше не будет разрешено
(только для действующих систем). Для подключения к ЕСИА необходимо будет использовать протокол OAuth 2.0 / OpenID Connect (сейчас доступны оба варианта).

Аутентификация пользователя в системе

Рекомендуемый сценарий аутентификации пользователя при интеграции по OpenID Connect 1.0 в его базовом виде происходит по следующему сценарию:

  1. Пользователь нажимает на веб-странице системы-клиента кнопку «Войти через ЕСИА».
  2. Система-клиент формирует и отправляет в ЕСИА запрос на аутентификацию и перенаправляет браузер пользователя на специальную страницу предоставления доступа.
  3. ЕСИА осуществляет аутентификацию пользователя одним из доступных способов. Если пользователь ещё не зарегистрирован в ЕСИА, то он может перейти к процессу регистрации.
  4. Когда пользователь аутентифицирован, ЕСИА сообщает пользователю, что система-клиент запрашивает данные о нем в целях проведения идентификации и аутентификации, предоставляя перечень запрашиваемых системой-клиентом сведений.
  5. Если пользователь дает разрешение на проведение аутентификации системой-клиентом, то ЕСИА выдает системе-клиенту специальный авторизационный код.
  6. Система-клиент формирует в адрес ЕСИА запрос на получение маркера идентификации, включая в запрос полученный ранее авторизационный код.
  7. ЕСИА проверяет корректность запроса (например, что система-клиент зарегистрирована в ЕСИА) и авторизационного кода и передает системе-клиенту маркер идентификации.
  8. Система-клиент извлекает идентификатор пользователя из маркера идентификации. Если идентификатор получен, а маркер проверен, то система-клиент считает пользователя аутентифицированным. После получения маркера идентификации система-клиент использует REST-сервисы ЕСИА для получения дополнительных данных о пользователе, предварительно получив соответствующий маркер доступа.

В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

Подключаться или нет?

За операторов, в связи со вступлением в действие закона о мессенджерах данный вопрос практически решен.

Напомним, в соответствии с Федеральным законом №245 «О внесении изменений в Федеральный закон «О связи» от 29 июля 2017 года, операторы связи обязаны проверять достоверность сведений об абоненте. В законе закреплен перечень способов проверки
, одним из которых является использование Единого портала государственных и муниципальных услуг
или информационных систем госорганов при наличии подключения к ним у операторов через СМЭВ.

Поправки в ФЗ «О связи» вступают в силу 1 июня 2018. До этого времени операторы связи смогут протестировать работу своих систем со СМЭВ и ЕСИА.

В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

Становится ли чебурнет всё ближе? Официальных заявлений о планах сделать выход в Интернет возможным только через ЕСИА нами не найдено. На данный момент, по официальным данным, в ЕСИА зарегистрировано около 50 миллионов пользователей (физических лиц) и около 300 000 организаций.

Шаг №1 — создание учетной записи организации в ЕСИА

Необходимо создать учетную запись организации через портал Госуслуг ( Инструкция
).
Это может сделать
руководитель организации через сайт Госуслуг. Для этого он должен быть
зарегистрирован на госуслугах и иметь квалифицированную электронную подпись
(КЭП) юридического лица (в т.ч. это может быть подпись ЭП-СП).
За получением
средства КЭП нужно обратиться в один из аккредитованных Минкомсвязью России
удостоверяющих центров вашего региона.

При невозможности получения КЭП в УЦ, необходимо обратиться в федеральное казначейство, ЦБ РФ или федеральную налоговую службу. В зависимости от типа организации.

kp

Подробнее о процессе получения КЭП
можно прочитать здесь: https://digital.gov.ru/ru/appeals/faq/35

Шаг №2 — предоставление доступа к тех. порталу

Для доступа к тех.порталу и переходу к шагу №3 вам необходимо, в учетной записи
созданной организации, перейти в раздел «Сотрудники» и добавить всех сотрудников,
которым будет необходим доступ к техпорталу. Во вкладке «Доступ к системам»
,
также предоставить доступ всем сотрудников, которым необходим доступ для
управления системой.

Во вкладке «Группы доступа»
необходимо «присоединить»
сотрудников, которым будет необходимо управлять ИС на техпортале, а также
«присоединить» администратора ИС к «Администраторам профиля ораганизации».

Внимание
: После добавления сотрудников во все группы, необходимо выйти из
тех.портала и госуслуг, очистить кэш в браузере и перезайти в систему.

Шаг №3 — создание ИС на тех. портале

Необходимо зарегистрировать ИС через технологический портал
. Подробную инструкцию по регистрации ИС в
ЕСИА смотрите в руководстве пользователя технологического портала:
руководство пользователя технологического портала
. В результате регистрации ваша информационная
система заносится в реестр ИС, взаимодействующих с ЕСИА.

Внимание
: мнемонику системы вы формируете самостоятельно. Мнемоника
представляет собой строку из 6 и более символов. Допустимо использование только
заглавных латинских букв и цифр. Не допускается использование символов (скобок,
подчеркиваний, тире, кавычек и.т.д.)

tech

  • название системы – желательно использовать официальное название ИС на русском языке;
  • отображаемое название – текст, который будет отображаться на форме логина ИС;
  • мнемоника системы – идентификатор системы, который будет использоваться в ЕСИА;
  • информация о системе – краткое описание ИС;
  • URL системы – url с обязательным указанием протокола HTTP/HTTPS, например: https://esia.gosuslugi.ru/
    ;
  • Алгоритм формирования электронной подписи – GOST (как на скриншоте выше);
  • URL для отправки push сообщений – оставить пустым.

tech2

  • категория информационной системы – оставить по умолчанию, параметры «время жизни» не менять;
  • данные об ответственном за эксплуатацию ИС – ответственный должен быть предварительно зарегистрирован в ЕСИА и присоединен к организации-оператору ИС в качестве сотрудника. Для выбора сотрудника достаточно ввести первые буквы фамилии, после чего будут предложены возможные варианты. Поля «адрес электронной почты» и «номер телефона» отображаются автоматически после выбора сотрудники (это служебные контакты указанного сотрудника).

После заполнения данных полей необходимо нажать на кнопку «Сохранить». Запись ИС будет добавлена в регистр ЕСИА.

Шаг №4 — генерация необходимых файлов

При подаче заявки на подключение к тестовой среде ЕСИА вам потребуются ключ и
сертификат ключа.

Для получения необходимо обратиться в один из аккредитованных удостоверяющих
центров. Ключом будут шифроваться запросы от вашей ИС к ЕСИА. Перечень
аккредитованных удостоверяющих центров доступен по адресу
https://digital.gov.ru/ru/activity/govservices/certification_authority/
. Для экспорта ключа
используйте инструкцию указанную на шаге №8.

Шаг №7 — заполнение и отправка заявки на промышленную среду

После получения положительного ответа о подключении к тестовой среде ЕСИА
следует аналогично шагам №5-6 направить заявку на “На подключение к
промышленной среде ЕСИА”. В бланке заявки указать номер заявки на подключение к тестовой среде.

Шаг №8 — завершение работ и передача ключа и сертификата

После завершения процесса подключения необходимо экспортировать контейнер из КЭП в
соответствии с инструкцией – https://crypto.rnds.pro/
.
Вам необходимо выполнить первые 5 шагов инструкции и полученные 6 файлов загрузить в систему.

Время на прочтение

Предисловие

Передо мной стояла задача по интеграции нашего сервиса с госуслугами. Казалось ничего сложного не предстоит, но учитывая что наш сервис базируется на технологии ASP. NET всё было не так оптимистично. В начале были поиски. много поисков, которые привели к множеству разрозненной и чаще всего неактуальной информации. Так же были найдены уже готовые решения, но как заявляли некоторые товарищи на форумах за такое могут и по головке погладить. Поэтому было решено писать самому.

Эта статья скорее больше актуализация и дополнение информации из этой статьи
.

В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

Введение

На сайте Минцифр есть методичка максимально раздутая и очень запутанная, но пользоваться ею нам всё равно придётся. Мы будем работать с ЕСИА версии 3.11 (актуальная на момент написания статьи). Кратко наши действия заключаются вот в чем:

  1. Регистрация ИС в регистре информационных систем ЕСИА

  2. Регистрация ИС в тестовой среде

  3. Выполнение доработки системы для взаимодействия с ЕСИА

Звучит довольно просто, но каждый шаг целая отдельная история приключений. Регистрация ИС в ЕСИА приключение для бюрократа. Поэтому в этой статье мы немного посмотрим на второй шаг, и детально распишем реализацию.

Всё необходимое

Наш инвентарь для путешествия:

  • Контейнер закрытого ключа с сертификатом нашей организации

Немного о КриптоПРО CSP + . Net Core 5+

Вот тут и начинаются первые проблемы. На момент написания статьи у КриптоПРО . Net нет поддержки . Net Core 5 и выше. Есть сборка под . Net Core 3.1 но и она выглядит сомнительно. Поэтому было решено поднять сервис для . Net Framework 4.8 который будет использовать средства КриптоПРО CSP для подписания с использованием <abbr title="Электронная цифровая подпись" data-title="

ЭЦП
, а так же проверки ответов от ЕСИА.

Немного о контейнере закрытого ключа и сертификата

Когда мы начинали делать эту задачу у нас была <abbr title="Квалифицированная электронная подпись" data-title="

КЭП
на токене, но как оказалось на нём был неэкспортируемый контейнер. Скажу сразу, что экспортировать контейнер с такого токена запрещено ФНС
. Поэтому необходимо заранее получить токен на имя сотрудника с экспортируемым контейнером. Так как его необходимо будет скопировать на сервер.

Приступаем

Кабинет тестовой среды - Технологический порталйт
Кабинет тестовой среды – Технологический порталйт

Здесь ищем нашу систему по Мнемонике или полному названию, если таковой нет то создаём. Напротив нашей системы есть две кнопки:

Первая кнопка – изменить нашу ИС (информация о ИС, редиректы и тд)

Вторая кнопка – наши сертификаты с помощью которых мы подписываем сообщения в ЕСИА

В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

Настройка ИС

Есть важный момент в настройки ИС. Это URL системы. Тут мы указываем ссылки куда ЕСИА может делать переадресацию при запросе от нашей ИС. На эти точки будет приходить авторизационный код (Если он указан в запросе).

В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

Сертификаты ИС

В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

Здесь мы можем загрузить наш сертификаты или же удалить их. Есть один важный момент, каждая ИС может иметь только один уникальный сертификат. А связи с тем, что на тестовой среде все системы регистрируются под одним пользователем и сертификаты тестовые одни на всех часта такая ситуация, что кто-то удаляет у вас сертификат и загружает к себе. А ваши запросы теперь падают с ошибкой) Но если у вас уже готов ЭЦП на сотудника, то лучше используйте её.

Реализуем

Устанавливаем сертификаты

Такс~ Всё готово. Качаем сертификаты по ссылке из методички. Специально не буду вставлять, так как может измениться.

В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

Здесь нам интересен сертификат ТЕСИА ГОСТ 2012.cer – это сертификат с помощью которого ЕСИА подписывает сообщения отправляя в нашу ИС. ( Соответственно для продуктовой среды свой сертификат
). Устанавливаем сертификат как доверенный. Здесь ничего сложного думаю разберётесь.

В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

Теперь устанавливаем тестовый контейнер и сертификат. Для примера будем использовать предоставленные ЕСИА контейнеры, но вы можете использовать свои. Всё это лежит внутри архива.

Сам архив со всеми тестовыми контейнерами
Сам архив со всеми тестовыми контейнерами
Мы возьмём именно 006 так как на него зарегистрирована наша ИС
Мы возьмём именно 006 так как на него зарегистрирована наша ИС
В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

Теперь открываем КриптоПРО CSP. Выбираем установить личный сертификат и указываем Тестовое ведомство Фамилия006 ИО.cer и нажимаем найти автоматически. Выполняем оставшиеся шаги сами.

Механизм подписания

Пожалуй начинается самая важная и самая запутанная часть всего пути. Здесь мы реализуем сервис для работы с подписью. И так делаю выжимку из методических материалов, чтобы Вам не пришлось читать много текста.

Для получения авторизационный ссылки – ссылка на которую мы будем переадресовывать пользователя для авторизации в ЕСИА. Нам необходимо собрать ссылку из параметров.

  1. client_id
    – наша Мнемоника

  2. client_secret
    – Отсоединённая подпись от параметров запроса в кодировке UTF-8

  3. redirect_uri
    – ссылка на которую ЕСИА будет переадресовывать пользователя вместе с авторизационным кодом

  4. scope
    – перечень запрашиваемой информации. Например fullname birthdate gender

  5. response_type
    – тип ответа от ЕСИА, в нашем случае это просто строчка code

  6. state
    – Идентификатор текущего запроса. Генерируется таким образом Guid.NewGuid().ToString("D");

  7. timestamp
    – время запроса авторизационного кода в формате yyyy. MM.dd HH:mm:ss Z. Генерируется таким образом DateTime.UtcNow.ToString("yyyy.MM.dd HH:mm:ss +0000");

  8. client_certificate_hash
    – это fingerprint сертификата в HEX-формате.

Обозначили наш зоопарк. Самый важный зверь здесь client_secret

Получаем client_certificate_hash

В методическом указании от Минцифр есть ссылка на специальную утилиту
с помощью которой мы можем получить этот хэш. Разархивировали архив и видим перед нами sh. Windows пользователи не пугаемся, на самом деле тут же лежит .exe файл. Чтобы вычислить хэш нашего сертификат просто необходимо из cmd запустить вот такой скрипт:

   cpverify.exe test.cer -mk -alg GR3411_2012_256 -inverted_halfbytes 0  
  

Формирование client_secret

Такс перед тем как просто получит client_secret
нам необходимо сделать:

  • ASP. Net Framework 4.8 WebAPI – тот самый сервис который будет работать с КриптоПРО CSP

Пропустим множество шагов создания этого сервиса и перейдём сразу к его настройки для работы с КриптоПРО CSP.

Настройка сервиса для работы с КриптоПРО CSP

Добавляем ссылки на DLL КриптоПРО.

Переходим по пути C:\Program Files (x86)\Crypto Pro.NET SDK\Assemblies\4.0


Выбираем всё что нам нужно. ( подробная информация
)

В РЕГИСТРЕ ИНФОРМАЦИОННЫХ СИСТЕМ ЕВСИА МОЖНО ПОДАТЬ ЗАЯВКУ

Теперь мы имеем доступ к API КриптоПРО CSP из кода . Net Framework

Теперь создаём контроллер:

Код контроллера

Итак нам необходимо получать строку для подписания. Создадим метод

   const string CertSerialNumber = "01f290e7008caed0904b967783fd0e4ad6";
const string EsiaCertSerialNumber = "0125657e00a1ae59804d92116214e53466";

[HttpGet]
public string Get(string msg)
{
    msg = Base64UrlEncoder.Decode(msg);

    var data = Encoding.UTF8.GetBytes(msg);

    var client_secret = Sign(data);

    return client_secret;
}  
  

Мы заранее укажем константами серийные номера сертификатов.

В методе Get получаем строку в Base64Url формате, чтобы спокойно передавать наши длинные сообщения.

Декодируем строку из Base64Url в текст. После чего переводим текст в байты используя UTF-8. А теперь подписываем.

   string Sign(byte[] data)
{
    var gost3411 = new Gost3411_2012_256CryptoServiceProvider();
    var hashValue = gost3411.ComputeHash(data);
    gost3411.Clear();
    var signerCert = GetSignerCert();
    var SignedHashValue = GostSignHash(hashValue,
        signerCert.PrivateKey as Gost3410_2012_256CryptoServiceProvider, "Gost3411_2012_256");
    var client_secret = Base64UrlEncoder.Encode(SignedHashValue);

    return client_secret;
}  
  

И так что мы тут делаем. С помощью ГОСТ 34.11-2012 мы вычисляем хэш нашего сообщения. И используя полученный сертификат подписываем сообщение.

   X509Certificate2 GetSignerCert()
{
    var store = new X509Store(StoreName.My, StoreLocation.CurrentUser);
    store.Open(OpenFlags.OpenExistingOnly | OpenFlags.ReadOnly);
    var certificates = store.Certificates.Find(X509FindType.FindBySerialNumber, CertSerialNumber, false);

    if (certificates.Count != 1)
    {
        return null;
    }

    var certificate = certificates[0];

    if (certificate.PrivateKey == null)
    {
        return null;
    }

    return certificate;
}  
  

Здесь мы открываем наш склад с контейнерами и ищем именно тот где лежит наш сертификат. После чего извлекаем из него сертификат.

   byte[] GostSignHash(byte[] HashToSign, Gost3410_2012_256CryptoServiceProvider key, string HashAlg)
{
    try
    {
        //Создаем форматтер подписи с закрытым ключом из переданного 
        //функции криптопровайдера.
        var Formatter = new Gost2012_256SignatureFormatter(
            (Gost3410_2012_256CryptoServiceProvider) key);

        //Устанавливаем хэш-алгоритм.
        Formatter.SetHashAlgorithm(HashAlg);

        //Создаем подпись для HashValue и возвращаем ее.
        return Formatter.CreateSignature(HashToSign);
    }
    catch (CryptographicException e)
    {
        Console.WriteLine(e.Message);
        return null;
    }
}  
  

С помощью этого кода как раз и создаётся наша подпись на хэш строки. Здесь используется ГОСТ 34.10-2012.

Итак контроллер готов. Теперь переходим в наш основной проект на . Net Core

Создаём строку подписания. Просто выполняем конкатенацию параметры без разделителей. Здесь я использую IOptions чтобы брать параметры из appsettings.json.

   var msg = $"{esiaSettings.Value.ClientId}{esiaSettings.Value.Scope}{timestamp}{state}{redirectUri}";  
  

Мы получил строку для подписания. Теперь нам необходимо эту строку закодировать в Base64Url и отправляем её на подписание в написанный нами заранее сервис

   private string GetClientSecret(string msg){
  var client = new HttpClient();

  var msgBase64 = Base64UrlEncoder.Encode(msg);
  
  var response = await client.GetAsync($"{cryptoProSettings.Value.BaseUrl}/Get?msg={msgBase64}");
  
  var clientSecret = await response.Content.ReadAsStringAsync();
  
  clientSecret = JsonConvert.DeserializeObject<string>(clientSecret);
  
  return clientSecret;
}  
  

Собираем ссылку для авторизации в Госуслугах

Наконец-то мы получили этот долгожданный секрет. Но вы могли бы подумать это всё, дальше всё просто и ясно. Не тут то было! Дело в том, что ЕСИА требует Base64 Url Safe кодироку. И она немного отличается от Base64Url кодировки доступной из коробки . Net

Итак дело за малым, собираем нашего гомункула из секрета и параметров.

Класс помощник для сборки ссылки

Возможно излишне, но мне понравился метод сбора вот таким способом.

   public class RequestBuilder
{
    List<RequesItemClass> items = new List<RequesItemClass>();
    public void AddParam(string name, string value)
    {
        items.Add(new RequesItemClass { name = name, value = value });
    }
    public override string ToString()
    {
        return string.Join("&", items.Select(a => a.name + "=" + a.value));
    }
}

public class RequesItemClass
{
    public string name;
    public string value;
}  
  

Код сборки ссылки
   async Task<string> UrlBuild(string redirectUri)
{
    using var client = new HttpClient();

    var timestamp = DateTime.UtcNow.ToString("yyyy.MM.dd HH:mm:ss +0000");
    var state = Guid.NewGuid().ToString("D");

    var msg = $"{esiaSettings.Value.ClientId}{esiaSettings.Value.Scope}{timestamp}{state}{redirectUri}";

    var clientSecret = await GetClientSecret(msg);

    var builder = new RequestBuilder();
    builder.AddParam("client_secret", clientSecret);
    builder.AddParam("client_id", esiaSettings.Value.ClientId);
    builder.AddParam("scope", esiaSettings.Value.Scope);
    builder.AddParam("timestamp", timestamp);
    builder.AddParam("state", state);
    builder.AddParam("redirect_uri", redirectUri);
    builder.AddParam("client_certificate_hash", esiaSettings.Value.ClientCertificateHash);
    builder.AddParam("response_type", "code");
    builder.AddParam("access_type", "online");

    //Вот тут самый важный момент на который было потрачено множество времени. Просто заменяем символы на безопасные
    var url = esiaSettings.Value.EsiaAuthUrl + "?" + builder.ToString().Replace("+", "%2B")
        .Replace(":", "%3A")
        .Replace(" ", "+");

    return url;
}  
  

Получаем ссылку на подобии вот такой:

Здесь https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v2/ac
ссылка на конечную точку получения авторизационно кода, указана в методическом материале.

   https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v2/ac?client_secret=v_c33_-LpkyKJbopTEYqBMbGZrBy9r9u1pzbRmMLNlJPcBnPTJj6Xx5DuxXba3EZZoXdMsb0YIwPDCoF0dfYjQ&client_id=MEMONIKA&scope=fullname+birthdate+gender&timestamp=2022.12.23+16%3A37%3A45+%2B0000&state=3a19c4d7-594b-496f-aa6e-970c75a925a4&redirect_uri=https%3A//api.site/users/esia&client_certificate_hash=EED1079A4FF154E117EAA196DCB551930807825DE1DE15EAF7607F354BA47423&response_type=code&access_type=online  
  

Теперь перенаправляем пользователя по этой ссылке и ожидаем пока он авторизуется. После авторизации ЕСИА переадресует его на нашу ссылку и отправит туда в виде аргументов авторизационный код и state.

Получение токена доступа

Теперь время получить токен взамен на авторизационный код.

Метод для получение токена
   public async Task<EsiaAuthToken> GetToken(string authorizationCode, string redirectUrl)
{
    var timestamp = DateTime.UtcNow.ToString("yyyy.MM.dd HH:mm:ss +0000");
    var state = Guid.NewGuid().ToString("D");

    var msg =
        $"{esiaSettings.Value.ClientId}{esiaSettings.Value.Scope}{timestamp}{state}{redirectUrl}{authorizationCode}";

    var clientSecret = await GetClientSecret(msg);

    var requestParams = new List<KeyValuePair<string, string>>
    {
        new KeyValuePair<string, string>("client_id", esiaSettings.Value.ClientId),
        new KeyValuePair<string, string>("code", authorizationCode), //Здесь мы передаём полученный код
        new KeyValuePair<string, string>("grant_type", "authorization_code"),  //Просто указываем тип
        new KeyValuePair<string, string>("state", state),
        new KeyValuePair<string, string>("scope", esiaSettings.Value.Scope),
        new KeyValuePair<string, string>("timestamp", timestamp),
        new KeyValuePair<string, string>("token_type", "Bearer"),  //Какой токен мы хотим получить
        new KeyValuePair<string, string>("client_secret", clientSecret),
        new KeyValuePair<string, string>("redirect_uri", redirectUrl),
        new KeyValuePair<string, string>("client_certificate_hash", esiaSettings.Value.ClientCertificateHash)
    };

    using var client = new HttpClient();
    using var response = await client.PostAsync(esiaSettings.Value.EsiaTokenUrl,
        new FormUrlEncodedContent(requestParams));
    response.EnsureSuccessStatusCode();
    var tokenResponse = await response.Content.ReadAsStringAsync();

    var token = JsonConvert.DeserializeObject<EsiaAuthToken>(tokenResponse);

    if (!await ValidatingAccessToken(token))
    {
        throw new Exception("Ошибка проверки маркера индентификации");
    }

    return token;
}  
  

Тут всё простенько, снова генерируем client_secret
указываем остальные параметры и отправляем запрос в ЕСИА на получение токена. Тестовый Uri https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v3/te

Класс токена
   public class EsiaAuthToken
{
    /// <summary>
    /// Токен доступа
    /// </summary>
    [JsonProperty("access_token")]
    public string AccessToken { get; set; }

    /// <summary>
    /// Идентификатор запроса
    /// </summary>
    public string State { get; set; }

    string[] parts => AccessToken.Split('.');

    /// <summary>
    /// Хранилище данных в токене
    /// </summary>
    public EsiaAuthTokenPayload Payload
    {
        get
        {
            if (string.IsNullOrEmpty(AccessToken))
            {
                return null;
            }

            if (parts.Length < 2)
            {
                throw new Exception($"При расшифровке токена доступа произошла ошибка. Токен: {AccessToken}");
            }

            var payload = Encoding.UTF8.GetString(Base64UrlEncoder.DecodeBytes(parts[1]));
            return JsonConvert.DeserializeObject<EsiaAuthTokenPayload>(payload);
        }
    }

    /// <summary>
    /// Сообщение для проверки подписи
    /// </summary>
    [Newtonsoft.Json.JsonIgnore]
    public string Message
    {
        get
        {
            if (string.IsNullOrEmpty(AccessToken))
            {
                return null;
            }

            if (parts.Length < 2)
            {
                throw new Exception($"При расшифровке токена доступа произошла ошибка. Токен: {AccessToken}");
            }

            return parts[0] + "." + parts[1];
        }
    }

    /// <summary>
    /// Сигнатура подписи
    /// </summary>
    [Newtonsoft.Json.JsonIgnore]
    public string Signature
    {
        get
        {
            if (string.IsNullOrEmpty(AccessToken))
            {
                return null;
            }

            if (parts.Length < 2)
            {
                throw new Exception($"При расшифровке токена доступа произошла ошибка. Токен: {AccessToken}");
            }

            return parts[2];
        }
    }

    public class EsiaAuthTokenPayload
    {
        [JsonConstructor]
        public EsiaAuthTokenPayload(string tokenId, string userId, string nbf, string exp, string iat, string iss,
            string client_id)
        {
            TokenId = tokenId;
            UserId = userId;
            BeginDate = EsiaHelper.DateFromUnixSeconds(double.Parse(nbf));
            ExpireDate = EsiaHelper.DateFromUnixSeconds(double.Parse(exp));
            CreateDate = EsiaHelper.DateFromUnixSeconds(double.Parse(iat));
            Iss = iss;
            ClientId = client_id;
        }

        /// <summary>
        /// Идентификатор токена
        /// </summary>
        [JsonProperty("urn:esia:sid")]
        public string TokenId { get; private set; }

        /// <summary>
        /// Идентификатор пользователя
        /// </summary>
        [JsonProperty("urn:esia:sbj_id")]
        public string UserId { get; private set; }

        /// <summary>
        /// Время начала действия токена
        /// </summary>
        [JsonPropertyName("nbf")]
        public DateTime BeginDate { get; private set; }

        /// <summary>
        /// Время окончания действия токена
        /// </summary>
        [JsonPropertyName("exp")]
        public DateTime ExpireDate { get; private set; }

        /// <summary>
        /// Время выпуска токена
        /// </summary>
        [JsonPropertyName("iat")]
        public DateTime CreateDate { get; private set; }

        /// <summary>
        /// Организация, выпустившая маркер
        /// </summary>
        [JsonPropertyName("iss")]
        public string Iss { get; private set; }

        /// <summary>
        /// Адресат маркера
        /// </summary>
        [JsonPropertyName("client_id")]
        public string ClientId { get; private set; }
    }
  }

  public static class EsiaHelper
  {
      public static DateTime DateFromUnixSeconds(double seconds)
      {
          var date = new DateTime(1970, 1, 1, 0, 0, 0, 0, DateTimeKind.Utc);

          return date.AddSeconds(seconds).ToLocalTime();
      }
  }  
  

Проверка токена

Итак помимо того, что нам нужно получить токен, нам так же необходимо проверить его.

Сам токен состоит из 3 частей.

1 часть – заголовок JWT токена

2 часть – payload токена, там вся основная информация о токене

3 часть – RAW подпись в формате UTF-8

Код конечной точки для проверки подписи
   [HttpPost]
public bool Verify(VerifyMessage message)
{
    try
    {
        return VerifyRawSignString(message.Message, message.Signature);
    }
    catch (Exception ex)
    {
        return false;
    }
}

public class VerifyMessage
{
    public string Signature { get; set; }
    public string Message { get; set; }
}  
  

Код проверки подписи на нашем сервисе
   /// <summary>
/// Проверка подписи JWT в формате HEADER.PAYLOAD.SIGNATURE.
/// </summary>
/// <param name="message">HEADER.PAYLOAD в формате Base64url</param>
/// <param name="signature">SIGNATURE в формате Base64url</param>
bool VerifyRawSignString(string message, string signature)
{
    var signerCert = GetEsiaSignerCert();

    var messageBytes = Encoding.UTF8.GetBytes(message);
    var signatureBytes = Base64UrlEncoder.DecodeBytes(signature);
    //Переварачиваем байты, так как используется RAW подпись
    Array.Reverse(signatureBytes, 0, signatureBytes.Length);

    using (var GostHash = new Gost3411_2012_256CryptoServiceProvider())
    {
        var csp = (Gost3410_2012_256CryptoServiceProvider) signerCert.PublicKey.Key;
        //Используем публичный ключ сертификата для проверки  
        return csp.VerifyData(messageBytes, GostHash, signatureBytes);
    }
}  
  

Код получения сертификата ЕСИА
   X509Certificate2 GetEsiaSignerCert()
{
    var store = new X509Store(StoreName.AddressBook, StoreLocation.CurrentUser);
    store.Open(OpenFlags.OpenExistingOnly | OpenFlags.ReadOnly);
    var certificates = store.Certificates.Find(X509FindType.FindBySerialNumber, EsiaCertSerialNumber, false);

    var certificate = certificates[0];

    return certificate;
}  
  

Здесь используем введённые ранее константы. И Получаем сертификат из доверенных сертификатов.

Отправка токена на проверку
   public async Task<bool> ValidatingAccessToken(EsiaAuthToken token)
{
    if (token.Payload.ExpireDate <= DateTime.Now ||
        token.Payload.BeginDate >= DateTime.Now ||
        token.Payload.CreateDate >= DateTime.Now ||
        token.Payload.ExpireDate <= token.Payload.BeginDate ||
        token.Payload.CreateDate > token.Payload.BeginDate ||
        token.Payload.CreateDate > token.Payload.ExpireDate ||
        token.Payload.Iss != esiaSettings.Value.ISS ||
        token.Payload.ClientId != esiaSettings.Value.ClientId)
    {
        return false;
    }

    var client = new HttpClient();

    var requestParams = new List<KeyValuePair<string, string>>
    {
        new KeyValuePair<string, string>("signature", token.Signature),
        new KeyValuePair<string, string>("message", token.Message)
    };

    var response = await client.PostAsync($"{cryptoProSettings.Value.BaseUrl}/Verify",
        new FormUrlEncodedContent(requestParams));

    response.EnsureSuccessStatusCode();
    var resultResponse = await response.Content.ReadAsStringAsync();

    var result = JsonConvert.DeserializeObject<bool>(resultResponse);

    return result;
}  
  

Этот код используем в нашем основном сервисе.

Проверяем поля токена на актуальность, чтобы его не могли подделать. А потом уже проверяем подпись токена, как указано в методических указаниях.

Получение данных пользователя из ЕСИА

   public async Task<EsiaUser> ExecuteAsync(string esiaUserId, string accessToken)
{
    using (var client = new HttpClient())
    {
        client.DefaultRequestHeaders.Clear();
        client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);

        var response = await client.GetStringAsync($"{esiaSettings.Value.EsiaRestUrl}/prns/{esiaUserId}");
        var user = JsonConvert.DeserializeObject<EsiaUser>(response);
        user.Id = user.Id ?? esiaUserId;

        return user;
    }
}  
  
Код класса EsiaUser
   public class EsiaUser
{
    /// <summary>
    /// Идентификатор
    /// </summary>
    [JsonProperty("oid")]
    public string Id { get; set; }

    /// <summary>
    /// Фамилия
    /// </summary>
    [JsonProperty("firstName")]
    public string FirstName { get; set; }

    /// <summary>
    /// Имя
    /// </summary>
    [JsonProperty("lastName")]
    public string LastName { get; set; }

    /// <summary>
    /// Отчество
    /// </summary>
    [JsonProperty("middleName")]
    public string MiddleName { get; set; }

    /// <summary>
    /// Дата рождения
    /// </summary>
    [JsonProperty("birthdate")]
    public string Birthdate { get; set; }

    /// <summary>
    /// Пол
    /// </summary>
    [JsonProperty("gender")]
    public string Gender { get; set; }

    /// <summary>
    /// Подтвержден ли пользователь
    /// </summary>
    [JsonProperty("trusted")]
    public bool Trusted { get; set; }
}  
  

Заключение

Наконец мы закончили интеграцию с ЕСИА. Это был длинный путь полный странных вещей. Неясных решений и множество потраченного времени. Надеюсь этой статьёй я помог Вам реализовать задачу интеграции гораздо быстрее и легче. Спасибо за потраченное время.

Шаг №1 — создание учетной записи организации в ЕСИА

Необходимо создать учетную запись организации через портал Госуслуг ( Инструкция
).
Это может сделать
руководитель организации через сайт Госуслуг. Для этого он должен быть
зарегистрирован на госуслугах и иметь квалифицированную электронную подпись
(КЭП) юридического лица (в т.ч. это может быть подпись ЭП-СП).
За получением
средства КЭП нужно обратиться в один из аккредитованных Минкомсвязью России
удостоверяющих центров вашего региона.

При невозможности получения КЭП в УЦ, необходимо обратиться в федеральное казначейство, ЦБ РФ или федеральную налоговую службу. В зависимости от типа организации.

kp

Подробнее о процессе получения КЭП
можно прочитать здесь: https://digital.gov.ru/ru/appeals/faq/35

Шаг №2 — заключение оферты на удаленную идентификацию и на регистрацию в продуктивном контуре ЕБС

Для подключения к ЕБС необходимо ознакомиться с Регламентом Единой биометрической системы

Особое внимание следует уделить пунктам:

− 8.1 «Регистрация Участника биометрического взаимодействия и его ИС в роли Поставщика БДн/Потребителя БДн в тестовом контуре ЕБС»

− 6.1 «Общие положения»

В личном кабинете (вход в личный кабинет осуществляется через ЕСИА, под учетной записью организации) необходимо акцептовать оферты.

В зависимости от роли организации, необходимо акцептовать одну или обе оферты:

− Для Потребителя (Верификация)

Публичная оферта «о заключении соглашения об оказании услуги по предоставлению информации о степени соответствия предоставленных клиентом — физическим лицом биометрических персональных данных биометрическим персональным данным клиента — физического лица, содержащимся в Единой биометрической системе».

− Для Поставщика (Регистрация)

Публичная оферта «о заключении соглашения об оказании услуги по сбору биометрических данных и их передаче в Единую биометрическую систему».

Шаг №4 — регистрация Участника и/или ИС в ТСМЭВ 3.

4.1 Присоединение к регламенту

Внимание!
Если организация ранее не была подключена к СМЭВ, то оригинал заявки на присоединение к Регламенту СМЭВ с сопроводительным письмом (на бланке организации) необходимо направить в Минкомсвязь России (125375, г. Москва, ул. Тверская, д. 7).

Далее необходимо выполнить получение информации для заявки, также её могут запросить в качестве доп. информации.

Внимание!
Данный шаг рекомендуется выполнять не ранее, чем через 3 дня после отправки заявки по Шагу 2.
Для дальнейшего подключения потребуется узнать дату и номер соглашения (с Минкомсвязью) о взаимодействии. Для этого необходимо отправить запрос в Техподдержку https://sc-new.minsvyaz.ru/
.

В запросе, в описании необходимо заполнить “Сообщите, пожалуйста, дату и номер соглашения (с Минкомсвязью) о взаимодействии для компании “Название_Компании”.

4.2 Регистрация в среде СМЭВ 3.0

regsmev1

На рабочем столе ЛК УВ запустит страницу Информационные системы / Добавление.
На странице добавления информационной системы следует заполнить:

Среда СМЭВ
– нередактируемое поле;

Мнемоника
– нередактируемое текстовое поле, содержит уникальную мнемонику создаваемой Информационной системы, при создании новой информационной системы, ЛК УВ автоматически создаст уникальную мнемонику Информационной системы;

Краткое наименование
– текстовое поле, содержит краткое наименование создаваемой Информационной системы;

Полное наименование
– текстовое поле, содержит полное наименование создаваемой Информационной системы;

Сертификат
– нередактируемое поле, после загрузки на форму сертификата, в поле отображается его номер.

regsmev2

Для отмены создания новой Информационной системы на странице добавления информационной системы нажмите кнопку Отменить.
Для создания новой Информационной системы следует заполнить обязательные поля страницы добавления информационной системы.

regsmev3

Для добавления сертификата создаваемой Информационной системы следует выбрать команду Добавить сертификат. Описание добавления сертификата ИС приведено ниже в п. 5.1.3.2 Руководства ЛК УВ.
Заполнив обязательные поля на странице добавления информационной системы, для создания новой Информационной системы следует выбрать команду Сохранить.
Страница добавления информационной системы будет закрыта, на рабочем столе откроется страница просмотра информационной системы.

regsmev4

Страница просмотра информационной системы содержит кнопку Редактировать
, которая позволяет отредактировать данные созданной Информационной системы
, описание редактирования приведено в п. 5.1.4 руководства пользователя ЛК УВ.

Шаг №5 — подключение к ЕСИА и получение доступа к ВС ЕБС в ТСМЭВ

Требуется получить средство технологической электронной подписи для информационной системы ( «ключ Организации (ЭП- ОВ)», извлекаемый ключ, в сертификате которого должны быть указаны только данные Организации), обратившись в любой удостоверяющий центр, входящий в Единое пространство доверия.
Перечень удостоверяющих центров доступен по адресу: https://digital.gov.ru/ru/activity/govservices/certification_authority/
.

Внимание!
После получения КЭП от УЦ, вам будет необходимо выполнить экспорт ключа и сертификата по инструкции https://crypto.rnds.pro/

Сохраняете сертификат как cert.crt а ключ, как secret.key.
Данный сертификат вам необходимо использовать для промышленной среды ЕСИА. Для тестовой использовать сертификат полученный на шаге 3
.

5.1 Создание ИС на тех.портале ЕСИА

Зарегистрировать ИС можно через технологический портал ЕСИА ( http://esia.gosuslugi.ru/console/tech
).

Внимание!
При регистрации ИС в ЕСИА необходимо указать Мнемонику ИС в ЕСИА = Мнемонике ИС в СМЭВ
. Также, требуется загрузить сертификат электронной подписи системы, такой же как зарегистрирован в СМЭВ для этой системы.

На тестовый тех.портал необходимо будет загрузить тестовый сертификат полученный на шаге 3 ( https://esia-portal1.test.gosuslugi.ru/console/tech
учетную запись для тестового тех.портала предоставят после выполнения заявки на подключение к тестовой ЕСИА).

После заполнения данных полей необходимо нажать на кнопку «Сохранить». Запись ИС будет добавлена в регистр ЕСИА.

Шаг №7 — регистрация тестовой учетной записи в ТЕСИА

Тестовая учетная запись обязательна для дальнейшего тестирования кредитной организацией интеграции с ТЕБС.
Регистрацию учетной записи кредитной организации необходимо выполнить самостоятельно через ВС ТЕСИА в ТСМЭВ (код маршрутизации TESIA).

Шаг №8 — тестирование ИС в ТЕБС

На полученную на шаге 7 тестовую учетную запись необходимо произвести:

Для поставщика биометрии
— успешную биометрическую регистрацию, используя созданные кредитной организацией информационные системы поставщика биометрии.

Для потребителя биометрии
— успешную биометрическую верификацию, используя созданные банком информационные системы потребителя.

Поставщика и Потребителя биометрии
— успешную биометрическую регистрацию и верификацию, используя созданные кредитной организацией информационные системы поставщика и потребителя биометрии.

Шаг №9 — тестирование ВС ЕБС и ЕСИА в тестовом контуре СМЭВ 3 с эмулятором

Для продолжения регистрации в ЕБС, ознакомьтесь с Приложением 3 Правила и процедуры работы в СМЭВ по Методическим рекомендациям версии 3.х п. 10.9.1 «Тестирование ВС в роли Потребителя в тестовой среде СМЭВ» и выполнить тестирование ВС.

В регламенте ознакомьтесь со следующими процедурами:

− Универсальный вид сведений для приема заявлений на биометрическую регистрацию.

− Регистрация подтвержденной учетной записи в ЕСИА с отправкой пароля для первого входа в систему на контактные данные ( https://lkuv.gosuslugi.ru/paip-portal/#/inquiries/card/63754afa-ff80-11eb-ba23-33408f10c8dc
).

– Подтверждение личности гражданина РФ или иностранного гражданина в ЕСИА.

– Подтверждение учетной записи в ЕСИА, созданной на основе существующей упрощенной.

– Поиск учетной записи в ЕСИА.

– Удаление учетной записи в ЕСИА (не обязательно).

Кредитная организация проводит тестирование самостоятельно с эмулятором ТСМЭВ. Для каждого вида сведений необходимо отправить эталонный запрос методом SendRequest в тестовой среде СМЭВ 3, добавив в него элемент //TestMessage в блок данных запроса (в элемент //SenderProvidedRequestData). Получить ответ методом GetResponse и подтвердить получение ответа методом Ack. Если у ВС зарегистрировано несколько тестовых сценариев, то необходимо провести тестирование всех тестовых сценариев данного ВС.

Бизнес-данные должны соответствовать формату, заданному в РП.

Необходимо сформировать сообщение на основании эталонных сообщений (ничего в них не менять и не вносить иных данных) и провести тестирование. Результаты и дату тестирования необходимо сохранить.

Шаг №10 — получение доступа к ВС ЕБС

Бланк подключения к ВС
.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *