3.7.2.2. Авторизация через сайт «Госуслуги»

Для настройки авторизации на веб-портале пользователей интернет-портала государственных услуг (далее – Госуслуги) нужно получить сертификат для технического общения Информационной системы (далее – ИС) с ЕСИА и задать настройки на веб-портале.

Чтобы получить сертификат для технического общения ИС с ЕСИА нужно:

1)    зарегистрировать Информационную систему (далее – ИС) в Федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (далее – ЕСИА).

2)    Сгенерировать сертификат для технического общения ИС с ЕСИА. Можно использовать и существующий сертификат организации.

3)    Получить тестовый доступ к ЕСИА.

4)    Зарегистрировать сертификат для ИС на Госуслугах.

5)    Настроить и проверить работоспособность тестовой авторизации на веб-портале.

6)    Получить продуктивный доступ к ЕСИА.

7)    Перевести и проверить авторизацию на веб-портале на продуктивный доступ к ЕСИА.

По окончании срока действия сертификата нужно оперативно перейти на использование нового сертификата. Для этого необходимо:

1)    Подать «Заявку на изменение параметров подключения ИС к тестовой ЕСИА с целью использования программных интерфейсов ЕСИА для идентификации и аутентификации заявителей», приложив файл с публичным ключом (crt/cer) нового сертификата.

2)    Зарегистрировать его на Госуслугах.

3)    Загрузить файлы публичного и приватного ключа сертификата на веб-сервер.

4)    В настройках веб-портала указать путь до файлов публичного и приватного ключа сертификата, загруженных на веб-сервере.

Более подробное описание можно прочитать в разделах «Методические рекомендации по использованию Единой системы идентификации и аутентификации» и «Регламент информационного взаимодействия Участников с Оператором ЕСИА и Оператором эксплуатации инфраструктуры электронного правительства» на сайте Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации по адресу https://digital.gov.ru/ru/documents/?directions=13.

При подаче заявки на подключение к ЕСИА укажите в разделе «Используемые программные интерфейсы» только вариант с использованием «OAuth 2.0/OpenID Connect». Среди параметров пользователя, которые ИС будет запрашивать при авторизации (scope/скоупы), рекомендуем указать fullname, snils, email, mobile.

Сертификат может быть выдан одним из Центров Сертификации или самоподписан. Сертификат должен иметь актуальный срок действия, иначе авторизация через ЕСИА перестанет работать. Сертификат может быть никак не связан с публичными веб-ресурсами и не будет загружаться в браузер пользователя. Данный сертификат будет использоваться только для шифрования/дешифрования информации, передаваемой между ИС и ЕСИА. По данным из официальных документов ЕСИА поддерживает алгоритмы формирования электронной подписи RSA с длиной ключа 2048 и алгоритмом криптографического хеширования SHA-256, а также алгоритм электронной подписи ГОСТ Р 34.10-2001 и алгоритм криптографического хеширования ГОСТ Р 34.11-94.

Сертификат должен поддерживать опции Digital Signature и Key Encipherment. Самый простой способ получить сертификат и избежать сложностей в регистрации и настройке – это сгенерировать RSA с длиной ключа 2048 и алгоритмом криптографического хеширования SHA-256 с длительным скором действия. Это можно сделать, например, с помощью утилиты OpenSSL. Для разворачивания CoGIS на сервере с ОС Windows этой же утилитой необходимо создать pxf-файл, объединяющий приватный и публичный ключи сертификата.

Задайте настройки на веб-портале. Отметьте «ГосУслуги», укажите мнемонику ИС в «client_id сервис провайдера». Вид настроек приведен на рис. 28.

Рис.28. Настройки регистрации сертификата

На сервере с ОС Windows сертификат может содержаться в хранилище, для этого отметьте «В хранилище сертификатов» и укажите серийный номер сертификата. Или можно сохранить сертификат в виде pfx-файла на диске, для этого отметьте «pfx/snk файл на диске» и укажите путь к файлу на сервере.

Если сервер использует ОС Linux, отметьте «crt и key файл на диске» и укажите путь к файлу с публичным ключом в «Путь до crt файла» и путь к файлу с приватным ключом в «Путь до key файла».

Во время проверки авторизации через тестовый доступ к ЕСИА необходимо отметить «Тестовый сервер».