Насколько реализация протоколов в ЕСИА отличается от стандартов?

Насколько реализация протоколов в ЕСИА отличается от стандартов?

Реализация SAML соответствует стандарту SAML 2.0, профилям Web Browser SSO Profile и Single Logout Profile, спецификации Interoperable SAML 2.0 Web Browser SSO Deployment Profile. В части SAML в основе реализации ЕСИА лежит известный open source проект Shibboleth. Практически все популярные SAML-клиенты совместимы с ЕСИА. Нюансы ЕСИА заключаются в формате файла метаданных поставщика услуг и используемых ЕСИА утверждениях SAML Assertion для передачи сведений о пользователях. Регистрация метаданных на основе переданной ссылки не поддерживается — метаданные в ЕСИА всегда регистрируются файлом, переданным вместе с заявкой на подключение к ЕСИА. В случае изменений URL, сертификата и иных важных сведений на стороне подключаемой системы необходимо отправлять в Минкомсвязь заявку на корректировку параметров подключения к ЕСИА и прикладывать к заявке обновленные метаданные.

Реализация OpenID Connect / OAuth 2.0 в ЕСИА в целом основана на спецификации RFC6749 и профиле OpenID Connect 1.0. Но есть моменты, на которые стоит обратить внимание:

  1. В качестве client-secret используется не секретная строка, а электронная подпись. Особенности ее вычисления описаны в «Методические рекомендации по использованию ЕСИА»
  2. Для подключения можно использовать только Authorization Code Flow и Client Credentials Flow.
  3. ЕСИА не предоставляется стандартный UserInfo Endpoint и стандартные пользовательские атрибуты UserInfo Response Claims). Вместо него предоставляются специфичные для ЕСИА сервисы REST-API.
  4. В ЕСИА используется свой собственный справочник scope.
  5. Большинство опциональных режимов OpenID Connect не поддержаны. Среди поддерживаемых опциональных режимов можно выделить display=page/popup, prompt=none/login.

Стандартные библиотеки для подключения по OIDC/OAuth, в отличие от SAML, использовать без их доработки не получится.

Мы используем файлы cookie, чтобы улучшить работу сайта и предоставить пользователям больше возможностей. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie.
Принять