Все про ЕСИА
Как подключить ваш сайт к Госуслугам
Разберемся в терминах
Госуслуги — это единый государственный портал, благодаря которому каждый житель РФ может получить доступ к государственным и муниципальным услугам.
С появлением госуслуг решилась проблема вечных очередей, кучи записей и разрозненной базы пользователей в госучреждениях. Теперь при помощи портала можно и подать заявление на выдачу паспорта, и проверить автомобильные штрафы, и заказать выписку из трудовой книжки. Авторизация на Госуслугах происходит при помощи ЕСИА.
ЕСИА — это система идентификации, которая обеспечивает доступ к государственным ресурсам. В учетной записи ЕСИА содержатся все важные сведения о пользователе — паспортные данные, СНИЛС и ИНН, информация о штрафах и налогах, банковские данные. ЕСИА работает для идентификации не только на Госуслугах, но и на других государственных или муниципальных порталах.
С 2021 года начался эксперимент, в ходе которого пользователи получили возможность зарегистрироваться с помощью ЕСИА и на сторонних сайтах — например, на hh.ru, Циане, в сервисах «Яндекса». Список этих сайтов растет. Ожидается, что регистрация с помощью ЕСИА уменьшит количество мошеннических сделок и обезопасит использование ресурсов.
С появлением госуслуг решилась проблема вечных очередей, кучи записей и разрозненной базы пользователей в госучреждениях. Теперь при помощи портала можно и подать заявление на выдачу паспорта, и проверить автомобильные штрафы, и заказать выписку из трудовой книжки. Авторизация на Госуслугах происходит при помощи ЕСИА.
ЕСИА — это система идентификации, которая обеспечивает доступ к государственным ресурсам. В учетной записи ЕСИА содержатся все важные сведения о пользователе — паспортные данные, СНИЛС и ИНН, информация о штрафах и налогах, банковские данные. ЕСИА работает для идентификации не только на Госуслугах, но и на других государственных или муниципальных порталах.
С 2021 года начался эксперимент, в ходе которого пользователи получили возможность зарегистрироваться с помощью ЕСИА и на сторонних сайтах — например, на hh.ru, Циане, в сервисах «Яндекса». Список этих сайтов растет. Ожидается, что регистрация с помощью ЕСИА уменьшит количество мошеннических сделок и обезопасит использование ресурсов.
Каким сайтам подойдет интеграция с ЕСИА
Всем, где нужна точная идентификация пользователей и защита от мошенников. Необходимо трезво оценить, необходима ли авторизация через Госуслуги именно вашей компании — ведь многие пользователи с неохотой дают сторонним сайтам доступ к своим данным. Но если они увидят, что эти данные необходимы для использования вашего ресурса, тогда ЕСИА станет хорошим решением.
Это удобно, потому что на портал сразу подтягиваются данные о пользователе. Это безопасно, потому что ЕСИА использует продвинутую криптографическую защиту. И это спасает от мошенников, потому что в учетной записи ЕСИА содержаться все сведения о ее владельце — от имени и фамилии до номера СНИЛС.
Интеграция с ЕСИА идеально подойдет для:
Это удобно, потому что на портал сразу подтягиваются данные о пользователе. Это безопасно, потому что ЕСИА использует продвинутую криптографическую защиту. И это спасает от мошенников, потому что в учетной записи ЕСИА содержаться все сведения о ее владельце — от имени и фамилии до номера СНИЛС.
Интеграция с ЕСИА идеально подойдет для:
- Сайтов объявлений (наподобие «Авито»);
- Порталов, связанных с недвижимостью (покупка и аренда);
- Сайтов отелей, гостиниц, турбаз;
- Банков и микрофинансовых организаций;
- Страховых компаний;
- Медицинских учреждений;
- Провайдеров связи;
- Негосударственных пенсионных фондов;
- Брокерских контор;
- Адвокатских контор;
- Сайтов по продаже и аренде автомобилей.
Официально интегрироваться с Госуслугами пока могут только медицинские компании, операторы связи, банки, страховщики, финансовые управляющие и пенсионные фонды. Но вы в любом случае можете подать заявку, написав, что хотите участвовать в эксперименте по авторизации через учетную запись Госуслуг. По этой ссылке находится шаблон заявки для подключения вашей информационной системы к Системе межведомственного электронного взаимодействия (СМЭВ) — сам шаблон можно скачать здесь. Заявку нужно отправить на адрес техподдержки СМЭВ — sd@sc.minsvyaz.ru.
Помимо быстрой идентификации и безопасности, ЕСИА дает еще некоторые дополнительные возможности, например:
Помимо быстрой идентификации и безопасности, ЕСИА дает еще некоторые дополнительные возможности, например:
- Микрофинансовые организации могут удаленно выдавать займы до 15 000, используя только учетную запись пользователя;
- Медицинские учреждения получают доступ к услугам телемедицины;
- Операторы связи получают право упрощенно идентифицировать пользователей публичных точек доступа в интернет;
- Страховые компании, пенсионные фонды, брокеры могут дистанционно заключать договоры с клиентами;
- Банки получают возможность проводить биометрическую аутентификацию.
Что нужно сделать для интеграции сайта с ЕСИА?
В первую очередь, вам понадобится зарегистрировать учетную запись своей компании. Это должен сделать администратор — сам владелец компании или доверенное лицо, у которого будет доступ к учетной записи. Помните, что для подключения компании к Госуслугам потребуются IT-навыки — проверьте, чтобы доверенное лицо ими обладало. Что нужно сделать?
- Администратор должен зарегистрироваться на портале Госуслуг как физическое лицо.
- После этого нужно получить на портале квалифицированную электронную подпись (КЭП);
- Затем необходимо установить плагин для работы с КЭП и подтвердить личность.
- После переходим к регистрации организации на Госуслугах. Необходимо выбрать соответствующий пункт и указать все данные организации.
- Затем нужно зарегистрировать IT-систему вашего сайта на технологическом портале ЕСИА. Полное руководство по использованию технологического портала находится здесь.
- Чтобы подключить сайт к ЕСИА, нужно сгенерировать собственный криптографический ключ и получить его сертификат.
- Сертификат совместно с заявкой необходимо отправить в Минцифры, а в ответ администратор системы получит доступ к тестовой среде ЕСИА. Образец заявки можно найти здесь.
- После этого нужно разработать и настроить коннектор между вашей IT-системой и ЕСИА.
- Когда коннектор будет стабильно работать в тестовом режиме, можно подавать заявку в Минцифры для полноценной интеграции.
Какой протокол используется для подключения к ЕСИА?
Используется авторизация по OAuth 2.0 и аутентификация при помощи OpenID Connect. Но при создании сервиса ЕСИА разработчики создали собственный API для безопасного приема электронных подписей, поэтому для стандартных библиотек OAuth 2.0 и OpenID Connect требуется доработка.
Какие криптографические стандарты должны применяться для создания ключа?
Единственные разрешенные стандарты — ГОСТ Р 34.10−2012 и ГОСТ Р 34.11−2012. Сертификаты допускаются только от сертифицированных удостоверяющих центров.
Как происходит авторизация пользователей с помощью Госуслуг
Установить модуль авторизации через Госуслуги можно тремя способами: подключив в качестве библиотеки, как готовый класс или, поставив через штатный инструмент CMS.
Когда пользователь зайдет на сайт, выберет авторизацию через Госуслуги и введет свои данные, сайт обратится к ранее созданному коннектору, который соединяет его с ЕСИА. Коннектор сформирует запрос к порталу ЕСИА, в ответ на который портал пришлет ему пакет с зашифрованными личными данными пользователя. Расшифровка данных происходит при помощи созданного ранее криптографического ключа, а затем они передаются на сайт.
Используя авторизацию через Госуслуги, сайт может получить:
Когда пользователь зайдет на сайт, выберет авторизацию через Госуслуги и введет свои данные, сайт обратится к ранее созданному коннектору, который соединяет его с ЕСИА. Коннектор сформирует запрос к порталу ЕСИА, в ответ на который портал пришлет ему пакет с зашифрованными личными данными пользователя. Расшифровка данных происходит при помощи созданного ранее криптографического ключа, а затем они передаются на сайт.
Используя авторизацию через Госуслуги, сайт может получить:
- Паспортные данные пользователя;
- Данные официальных документов (СНИЛС, ИНН, страхового полиса и т. д.);
- Данные об имеющихся транспортных средствах;
- Телефон и email;
- Данные о детях.
Все процессы передачи данных надежно защищены. Это повышает доверие и у пользователей, и у компании к своим потенциальным клиентам. Что главное — идентификация с помощью ЕСИА имеет юридическую значимость. То есть, при совершении мошеннических действий, очень легко доказать личность подозреваемого.
Удобна ли интеграция с Госуслугами для пользователя
Да, это удобно не только для владельцев компаний, но и для самих пользователей. Ведь, пройдя авторизацию с помощью ЕСИА, пользователь может:
- Автоматически подписывать документы с помощью электронной подписи;
- Получать защищенный доступ к своим банковским и финансовым выпискам, медицинским данным;
- Автоматически заполнять данные в анкетах — например, для получения кредита или страхования;
- Не беспокоиться о создании множества паролей для разных сервисов. Достаточно помнить один, от Госуслуг.
Таким образом, интеграция сайта с Госуслугами удобна и для пользователей, и для владельцев компаний. Сейчас Госуслугами пользуется 103,2 млн человек — то есть, более, чем каждый второй житель РФ — и это количество растет каждый год. Да, для подключения сайта к ЕСИА требуется учесть несколько технических моментов и настроить коннекторы, но в будущем использование авторизации через портал Госуслуг сделает взаимодействие с вашим сайтом гораздо комфортнее для пользователей и для вас.