Документация ESIA-Bridge

ESIA-Bridge обеспечивает простую интеграцию вашей информационной системы с Единой системой идентификации и аутентификации (ЕСИА). ЕСИА – государственная система, обеспечивающая санкционированный доступ пользователей различных категорий (например, граждан-заявителей, должностных лиц организаций или органов исполнительной власти) к системам электронного правительства и иным государственным информационным системам.
Использование ЕСИА определяется следующими нормативно-правовыми актами:

• Постановление Правительства Российской Федерации от 28 ноября 2011 г. № 977 «О федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (в ред. постановлений Правительства Российской Федерации от 14.09.2012 № 928, от 25.01.2013 № 33);
• Постановление Правительства Российской Федерации от 25 января 2013 г. № 33 «Об использовании простой электронной подписи при оказании государственных и муниципальных услуг» (в ред. постановлений Правительства Российской Федерации от 28.10.2013 № 968, от 09.12.2013 № 1135);
• Постановление Правительства РФ от 10 июля 2013 г. № 584 «Об использовании федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»;
• Приказ Министерства связи и массовых коммуникаций Российской Федерации от 13 апреля 2012 г. № 107 «Об утверждении положения о федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (в ред. приказа Минкомсвязи России от 31.08.2012 № 218).

В данной документации описываются:

• процесс установки ESIA-Bridge;
• процесс настройки ESIA-Bridge для корректного взаимодействия информационной системы (далее — ИС) с ЕСИА.

Таблица изменений

Установка в Linux

Дистрибутив ESIA-Bridge поставляется в виде deb-пакета (rpm-пакета). Для его установки необходимо выполнить следующую команду. В ОС Debian:

sudo dpkg -i ESIA-Bridge-1.13.0.deb

При установке под ОС CentOS:

sudo rpm -Uvh ESIA-Bridge-1.13.0.rpm

Для запуска ESIA-Bridge необходимо выполнить команду:

sudo service ESIA-Bridge start

Для проверки статуса ESIA-Bridge необходимо выполнить команду:

sudo service ESIA-Bridge status

По результатам успешной установки ESIA-Bridge создаются следующие директории:

/bin
/conf
/lib

Содержимое директории /conf доступно также по ссылке /etc/esia-bridge.

Установка в Windows

Дистрибутив ESIA-Bridge поставляется в виде установщика — файла esia-bridge.msi. Для установки выполните следующую последовательность шагов:

1. Запустите установщик.
2. Укажите директорию для установки ESIA-Bridge. По умолчанию это C:\Program Files (x86)\esia-bridge\.
3. Укажите домен, на котором будет запущен сервис. Для проверки на локальной машине рекомендуется оставить значение по умолчанию — localhost:9000.
4. Если вы знаете, на какой домен будет перенаправлен пользователь после авторизации в ЕСИА, укажите его, а также лицензию. Если лицензии нет, то шаг можно пропустить. Для проверки работоспособности ПО перенаправление можно производить на локальную машину (localhost), в этом случае лицензия не требуется.
   

После установки перейдите в директорию с ESIA-Bridge и запустите bat-файл с правами администратора:

bin\esia-bridge.bat

Проверка установленной версии

Узнать, какая версия ESIA-Bridge установлена, можно следующими способами:

• для ОС CentOS/RHEL выполнить команду:

  yum list blitz-idp

• для ОС Ubuntu выполнить команду:

  dpkg -l| grep esia-bridge

• для ОС Windows версию можно посмотреть в Панели Управления Windows (Панель управления\Программы\Программы и компоненты).

1. Установите ESIA-Bridge по инструкции на локальную машину. С данной локальной машины должен быть доступ к демонстрационной среде ЕСИА — https://demo1-esia.reaxoft.ru.
2. Запустите ESIA-Bridge на локальной машине. В результате на порту 9000 будет запущен сервис ESIA-Bridge.
3. Введите в строке браузера на данной странице следующий адрес: http://localhost:9000/blitz/bridge/entrance?redirect_url=http://localhost/cb&state=c4604f97-b897-5692-68aa-acb94c6f67da
4. Браузер будет перенаправлен на страницу входа демонстрационной среды ЕСИА. Для входа введите следующие данные:
• Логин: +7 999 9999999
• Пароль: qweRTY1234
5. После успешного входа браузер будет перенаправлен по адресу http://localhost/cb?result=AUTHORIZED. Это означает, что пользователь успешно авторизовался в ЕСИА.
6. Посмотрите и скопируйте cookie с названием tokenSCS, которую ESIA-Bridge пытался поставить на домен. Для этого используйте любой доступный инструмент, например, «Инструменты разработки» в Firefox.



7. Получите данные о пользователе, сделав POST-запрос по адресу http://localhost:9000/blitz/bridge/user с помощью любой программы, которая может делать HTTP-запросы, например, HTTP Requester. В теле запроса должен быть указан параметр token, его значение – скопированная cookie. Пример запроса:

POST /blitz/bridge/user HTTP/1.1
Host: localhost:9000
Content-Type: application/x-www-form-urlencoded
Cache-Control: no-cache

token=nzPrwDmSa6v8JZV8Ge_wuOmFyarVa6Xz2LebzkD90Sv4MGoGcMtnMPOA2tXDXoGEPTq5hy1bBUcEgGWNmr63QQcuk

8. В ответе будут возвращены данные аутентифицированного пользователя.

Параметры конфигурационного файла

Конфигурирование ESIA-Bridge осуществляется посредством редактирования файла ESIA-Bridge.conf, который хранится в директории /etc/esia-bridge или esia-bridge\conf (версия для Windows).
Для работы ESIA-Bridge должны быть определены следующие параметры конфигурационного файла:

1. 1. Настройки домена ESIA-Bridge:
      • «domain» – публичный домен, на который установлен ESIA-Bridge, например, “esia.client.testcase.ru”. Этот домен должен быть доступен из сети Интернет;
      • «esia.host» — домен среды ЕСИА. По умолчанию указана тестовая среда ООО «РЕАК СОФТ». Возможные значения:

2. Настройки электронной подписи ИС, используемой для взаимодействия с ЕСИА (рекомендации по генерации BKS хранилища и экспорту сертификата из хранилища размещены далее):
   • «type» – тип используемого хранилища электронной подписи, например, “BKS” (BouncyCastle format, по умолчанию);
   • «path» – путь к сертификату и приватному ключу, например, “${app.home}/conf/esia-bridge.bks”;
   • «password.alias» – алиас с файлом паролей для указания пароля к хранилищу электронной подписи, например, “app.keystore.password”;
3. Настройки взаимодействия с сервисом ЕСИА по получению данных пользователя:
   • «endpoint» – URL REST-сервиса ЕСИА;
   • «embed» – объем получаемых данных из ЕСИА (опциональный параметр). Если параметр не указан, то ESIA-Bridge получает полный набор данных о пользователе, что соответствует значению “(documents.elements-1,contacts.elements-1,addresses.elements-1)” параметра. При необходимости получать сокращенный набор данных следует перечислить только те элементы, которые могут быть получены.
     Например, значение параметра embed=“(documents.elements-1)” соответствует набору данных, получаемых по scope fullname и id_doc. В таблице ниже представлено соответствие между разрешениями (scope) и наборами данных:
     

     Набор данных	Обозначение набора данных	Разрешения
     Паспортные данные	documents.elements-1	id_doc
     Контакты (адрес электронной почты и номер мобильного телефона)	contacts.elements-1	contacts / email, mobile
     Адреса (адрес проживания и регистрации)	addresses.elements-1	contacts

     Пример блока rest:

       rest {
         esia {
           endpoint="https://"${app.esia.host}"/rs"
           request.timeout.msec=10000
         }
          embed="(documents.elements-1)"
       }

4. Настройки ИС, которые будут запрашивать аутентификацию в ЕСИА (должно быть указано по крайней мере одно значение):
   • «clients» – указывается доменное имя клиента и лицензия, полученная на это доменное имя (доменное имя клиента должно быть уровнем не ниже, чем это указано в лицензии; может быть указано несколько клиентов ESIA-Bridge, каждому из которых должна соответствовать лицензия) , например:

     “[{host="user.testcase.ru",licenseKey="user.testcase.ru|lUgWvhJqYa/L8PdzLZReX/4kly3f9Sd4on2EHrXTRstDQPB3nWRczgvjZ70rbpk5UhwOReAlUkGckr+oAQjqdA== "}]”

5. Настройки взаимодействия с сервисом авторизации ЕСИА:
   • «endpoint.authorization» – URL сервиса авторизации ЕСИА;
   • «endpoint.token» – URL сервиса получения маркера (токена) доступа ЕСИА;
   • «id» – мнемоника ИС, от имени которой ESIA-Bridge будет взаимодействовать с ЕСИА, например, “TEST_INT_SYS”;
   • «name» – имя ИС, от имени которой ESIA-Bridge будет взаимодействовать с ЕСИА;
   • «alias» – используемый ключ электронной подписи, например, “esia-bridge-rsa”;
   • «key_password.alias» – алиас с файлом паролей для указания пароля к приватному ключу электронной подписи, например, “oauth.client.secret.key_password”;
   • «requested_scopes» – перечень запрашиваемых разрешений (scope) через пробел, например “openid fullname birthdate gender contacts id_doc inn snils”. Следует учесть, что система может запрашивать только те разрешения, к которым ей предоставлен доступ. Перечень наиболее часто используемых разрешений представлен ниже:
     

     Название разрешения	Обозначение разрешения
     Разрешение, позволяющее проводить идентификацию и аутентификацию пользователей	openid
     Просмотр фамилии, имени и отчества	fullname
     Просмотр даты рождения	birthdate
     Просмотр пола	gender
     Просмотр СНИЛС	snils
     Просмотр ИНН	inn
     Просмотр данных о документе, удостоверяющем личность	id_doc
     Просмотр места рождения	birthplace
     Просмотр адреса электронной почты	email
     Просмотр номера мобильного телефона	mobile
     Просмотр данных о контактах и адресах	contacts
     Просмотр списка организаций пользователя	usr_org

   • «reg» – раздел, используемый для конфигурирования сервиса импорта учетных записей (см. более подробное описание здесь). Добавляется только при использовании этого сервиса. Включает в себя параметры:
   • requested_scope – запрашиваемый системой scope для операции импорта (по умолчанию – ext_imp);
   • licenseKey – лицензия, позволяющая системе вызывать сервис регистрации.
6. Настройки логов:
   
   • «conf-url» – файл, в который будут записываться логи (можно оставить значение по умолчанию – “${app.home}/conf/ESIA-Bridge-logger.xml”);
7. Настройки доверенных ssl-сертификатов:
   
   • «stores» – перечень сертификатов, которые считаются доверенными при ssl-взаимодействии. По умолчанию указаны сертификаты wide_gosuslugi_ru.crt (продуктивная среда ЕСИА), test_gosuslugi_ru.crt (тестовая среда ЕСИА) и reaxoft_ru.crt (среда ООО «РЕАК СОФТ»);
8. Настройки, необходимые для внутренних процессов:
   
   • «application.secret» – секретный ключ приложения;
   • «cookieDomain» – домен, на который должна быть установлена cookie, он должен быть общим и для ESIA-Bridge, и для клиента, например, “testcase.ru”;
   • «encodingKey» – секретный ключ, используемый для шифрования cookie;
   • «hmacKey» – ключ хэш-кода проверки подлинности сообщения.

Параметры «application.secret», «encodingKey», «hmacKey» генерируются в процессе установки. Они должны быть изменены только при использовании нескольких установок ESIA-Bridge для работы с одним клиентом, в этом случае эти ключи должны совпадать во всех установках.

Пример файла с настройками:

app {
  home=${blitzHome}
  domain="esia.client.testcase.ru"
  session.ttl.sec=300

  keystore {
    type="BKS"
    path=${app.home}/conf/esia-bridge.bks
    password.alias = "app.keystore.password"
  }

  provider.pkcs7=BC

  rest {
    esia {
      endpoint="https://esia.gosuslugi.ru/rs"
      request.timeout.msec=10000
    }
  }

  clients=[{host="user.testcase.ru",licenseKey="user.testcase.ru|lUgWvhJqYa/L8PdzLZReX/4kly3f9Sd4on2EHrXTRstDQPB3nWRczgvjZ70rbpk5UhwOReAlUkGckr+oAQjqdA== "}]
}

oauth {
  authorization_server {
    endpoint.authorization="https://esia.gosuslugi.ru/aas/oauth2/ac"
    endpoint.token="https://esia.gosuslugi.ru/aas/oauth2/te"
  }
  client {
    id="TEST_INT_SYS"
    name="Test system"
    secret {
      alias="esia-bridge-rsa"
      key_password.alias = "oauth.client.secret.key_password"
    }
    callback_uri = "http://"${app.domain}""${?http.port}${app.path}"/cb"
    requested_scopes = "openid fullname birthdate gender contacts id_doc inn snils"
  }
}

logger {
  conf-url="file:"${app.home}"/conf/ESIA-Bridge-logger.xml"
  dir=${blitzLog}
}

play {
  # If you deploy your application to several instances be sure to use the same key!
  application.secret="Z{OZyl,X~h#>C>4tkx*eXf+{Px^<1K!"
  ws.ssl {
    trustManager = {
      stores = [
        {type = "PEM", path = ${app.home}"/conf/crt/wide_gosuslugi_ru.crt"},
        {type = "PEM", path = ${app.home}"/conf/crt/wildcard_test.gosuslugi.ru"}
      ]
    }
  }
}

scs {
  cookieName="tokenSCS"
  cookieDomain=.testcase.ru
  cookiePath="/"
  crypto {
    # If you deploy your application to several instances be sure to use the same key!
    encodingKey=EC9bd51Dc1bC4F736CC5A1365e9B5e01
    # If you deploy your application to several instances be sure to use the same key!
    hmacKey=4B8E5a4db342d44bfB8FC50c6C93ea052a0B905E
  }
}

Рекомендуется использовать ESIA-Bridge через SSL, причем SSL должен терминироваться на балансировщике. Сервис запускается по порту 9000. Соответственно, балансировщик на периметре должен терминировать https и перенаправлять полученный http на порт 9000 вместо порта 80.
По умолчанию ESIA-Bridge возвращает пользователя в вызвавшую систему без SSL. Однако в продуктивной среде рекомендуется использовать SSL, для этого в блоке oauth конфигурационного файла необходимо изменить параметр callback_uri на следующий:

callback_uri = "https://"${app.domain}${app.path}"/cb"

В результате блок oauth должен иметь приблизительно следующий вид:

oauth {
  authorization_server {
    endpoint.authorization="https://"${app.esia.host}"/aas/oauth2/ac"
    endpoint.token="https://"${app.esia.host}"/aas/oauth2/te"
  }
  client {
    id = "TEST_SYSTEM"
    name = "NEST AS"
    callback_uri = "https://"${app.domain}${app.path}"/cb"
    secret {
      alias = "jwtRSA"
    }
  }

Создание хранилища электронной подписи и экспорт сертификата из хранилища

Для создания хранилища электронной подписи формата BKS (BouncyCastle format) рекомендуется воспользоваться следующей командой, поменяв информацию о владельце ключа (параметр dname):

keytool -genkeypair -v -alias esia-bridge-rsa -keyalg RSA -keysize 2048 -validity 10000 -keypass esia-bridge-pass -keystore esia-bridge.bks -storepass esia-bridge-pass -storetype BKS -providerclass org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath /home/admmd/bcprov-jdk15on-1.48.jar -dname "CN=ESIABridge, OU=ESIA, O=Demo, L=Alfa, S=Moscow, C=RU"

Используйте одинаковые пароли для хранилища и приватного ключа.
Для экспорта сертификата из хранилища рекомендуется воспользоваться следующей командой:

keytool -exportcert -alias esia-bridge-rsa -keystore esia-bridge.bks -storepass esia-bridge-pass -providerclass org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath /home/admmd/bcprov-jdk15on-1.48.jar -storetype BKS -file esia-bridge-rsa.crt

Провайдер BouncyCastle для работы с ГОСТ криптографией (bcprov-jdk15on-1.48.jar) можно загрузить по ссылке.

Конвертация хранилища ГОСТ в BKS

Для конвертации хранилища ГОСТ в BKS следует выполнить следующие шаги:

1. С помощью утилиты P12FromGostCSP конвертировать КриптоПРО-хранилище в P12 формат.
2. Перейти в директорию gost-keytool и выполнить в командной строке команду:

set CP="bcprov-jdk15on-1.47.jar;commons-configuration-1.8.jar;commons-lang-2.3.jar;gost-keytool-2.1.9.0.jar;slf4j-nop-1.6.6.jar;commons-codec-1.4.jar;commons-io-2.3.jar;commons-logging-1.1.1.jar;slf4j-api-1.6.6.jar"
java -cp %CP% ru.atc.esia.util.keytool.gost.Main -help

Должен быть результат:

Legal usages:
1. -genkey -storepass <some_value1> -aliaspass <some_value2> -curvename <some_value3> -alias <some_value4> -validity <some_value5> -keystore <some_value6> -storetype <some_value7>
2. -help
3. -list -storepass <some_value1> -keystore <some_value2> -storetype <some_value3>
4. -move -storepass <some_value1> -storepassfrom <some_value2> -storetypefrom <some_value3> -alias <some_value4> -keystorefrom <some_value5> -keystore <some_value6> -storetype <some_value7> -newalias <some_value8>

Для конвертации P12-хранилища в BKS-хранилище выполнить команду:

java -cp %CP% ru.atc.esia.util.keytool.gost.Main -move -storepassfrom STOREPASSFROM -storetypefrom P12 -alias cp_exported -keystorefrom KEYSTOREFROM -storepass STOREPASS -keystore esia_bridge.bks -storetype BKS -newalias esia-bridge-gost

В этой команде:

• STOREPASSFROM — путь к файлу хранилища Р12;
• KEYSTOREFROM — пароль от хранилища P12;
• STOREPASS — пароль от хранилища BKS.

Запись событий аутентификации в журнал

При необходимости ESIA-Bridge может осуществлять запись событий входа в журнал. Для этого в файле настройки логов, указанном в параметре conf-url (по умолчанию — esia-bridge-logger.xml), нужно найти раздел appender name="authentication", в нем подраздел — pattern и добавить в него шаблон, описывающий пользователя. Доступны следующие параметры:

• • ip — ip-адрес;
  • authn.subjectId — идентификатор пользователя;
  • authn.method — метод аутентификации;
  • authn.sessionId — идентификатор сессии;
  • person.oid — внутренний идентификатор пользователя;
  • person.lastName — фамилия;
  • person.firstName — имя;
  • person.middleName — отчество;
  • person.trusted — признак подтвержденности пользователя;
  • person.mobile.value — номер мобильного телефона;
  • person.mobile.status — признак подтвержденности мобильного телефона;
  • person.email.value — адрес электронной почты;
  • person.email.status — признак подтвержденности адреса электронной почты;
  • person.birthDate — дата рождения;
  • person.birthPlace — место рождения;
  • person.citizenship — гражданство;
  • person.gender — пол;
  • person.inn — ИНН;
  • person.snils — СНИЛС;
  • person.passport.status — признак подтвержденности паспорта;
  • person.passport.issueDate — дата выдачи паспорта;
  • person.passport.issuedBy — кем выдан;
  • person.passport.issuerId — код подразделения;
  • person.passport.number — номер паспорта;
  • person.passport.series — серия паспорта.

Пример содержания раздела pattern:

%date %X{ip} %X{person.oid} %X{person.lastName} %X{person.firstName} %X{person.middleName} %X{person.trusted} %X{person.mobile.value} %X{person.mobile.status} %X{person.email.value} %X{person.email.status} %X{authn.subjectId} %X{authn.method} %X{authn.sessionId} %message%n

Общие сведения

Сервис импорта учетной записи пользователя ЕСИА обеспечивает возможность проверки наличия учетной записи пользователя, а в случае её отсутствия – регистрации пользователя в ЕСИА. При обнаружении стандартной учетной записи (учетной записи, готовой к подтверждению) сервис производит подтверждение учетной записи. Алгоритм работы сервиса представлен на рисунке ниже:

Получение доступа к сервису

Доступ к сервису имеют исключительно доверенные организации, обеспечивающие подтверждение личности при предоставлении своих услуг пользователям. Например, сервис может быть предоставлен банкам для самостоятельной регистрации пользователя из его учетной записи интернет-банка. В этом случае банк должен гарантировать, что передаваемые пользователем данные – фамилия, имя, отчество и паспортные данные – принадлежат именно пользователю, инициирующему регистрацию.
Технически доступ к сервису имеют системы, получившие возможность получать маркеры доступа на разрешение (scope) типа ext_imp.

Конфигурирование ESIA-Bridge

Для включения функции регистрации в ESIA-Bridge необходимо внести следующие изменения в конфигурационный файл ESIA-Bridge.conf:

1. Указать корректное значения параметра esia.host – домена среды ЕСИА, в которую будет осуществляться импорт. Возможны следующие значения:
   
   • esia-portal1.test.gosuslugi.ru – тестовая среда ЕСИА;
   • esia.gosuslugi.ru – продуктивная среда ЕСИА.
2. Указать корректные настройки электронной подписи ИС, используемой для взаимодействия с ЕСИА, согласно п. 2.4.1 данного документа.
3. Добавить в раздел oauth/client конфигурационного файла новый блок следующего вида:

reg {
            requested_scopes = "http://esia.gosuslugi.ru/ext_imp",
        licenseKey = "811301161|1488574800|U2Ac1SsJp+eHNOs2fbsnLKbzUCFsat+tLxuOxurcwtBnd3F0DPDi5lQuHdinerjFfv6M2ONhscQgdMOvM/w/2Q=="
    }

В этом блоке используются параметры:

• requested_scope — запрашиваемый системой scope для операции импорта (по умолчанию – ext_imp);
• licenseKey – лицензия, позволяющая системе вызывать сервис регистрации.

Вызов сервиса

Для вызова сервиса следует направить HTTP-запрос методом PUT на адрес /blitz/bridge/reg. В заголовке (http header) необходимо указать параметр “Content-Type” со значением “application/json”.
В теле (body) запроса необходимо указать параметры пользователя, которые включают в себя атрибуты регистрируемого пользователя в виде json:

• «firstName» – имя;
• «lastName» – фамилия;
• «middleName» – отчество;
• «birthDate» – дата рождения в формате ДД.ММ.ГГГГ;
• «gender» – пол (M – мужской, F – женский);
• «birthPlace» – место рождения;
• «citizenship» – гражданство (по умолчанию RUS для России, можно не указывать);
• «snils» – СНИЛС (в формате ХХХ-ХХХ-ХХХ ХХ);
• «passport» – данные паспорта, включают в себя:
• «type» – тип документа (по умолчанию имеет значение “RF_PASSPORT”, можно не указывать);
• «series» – серия;
• «number» – номер;
• «issueDate» – дата выдачи в формате ДД.ММ.ГГГГ;
• «issueId» – код подразделения;
• «issuedBy» – кем выдан;
• «mobile» – мобильный телефон пользователя; включает в себя:
• «value» – значение (в формате +7(ХХХ)ХХХХХХХ);
• «email» – адрес электронной почты пользователя (не обязательно); включает в себя:
• «value» – значение;
• «liveAddress» – адрес места проживания (не обязательно); включает в себя:
• «fiasCode» – код ФИАС;
• «addressStr» – адрес в виде строки;
• «zipCode» – индекс;
• «countryId» – идентификатор страны, для России принимает значение «RUS»;
• «region» – регион;
• «city» – город;
• «district» – внутригородской район;
• «area» – район;
• «settlement» – поселение;
• «additionArea» – доп. территория;
• «additionAreaStreet» – улица на доп. территории;
• «street» – улица;
• «house» – дом;
• «building» – строение;
• «frame» – корпус;
• «flat» – квартира.
• «registerAddress» – адрес регистрации (не обязательно); включает в себя те же параметры, что и адрес места проживания.

PUT https://<ESIA_BRIDGE_HOST>/blitz/bridge/reg
Content-Type: application/json
{
"firstName":"Иван",
"lastName":"Иванов",
"middleName":"Иванович",
"birthDate":"01.01.1999",
"birthPlace":"Москва",
"gender":"M",
"snils":"000-000-001 89",
"mobile": {"value": "+7(888)9999999"},
"email":  {"value": "test@test.st"},
"passport":{
    "series":"9999",
    "number":"889999",
    "issueId":"111001",
    "issuedBy":"РУВД г.Москвы",
    "issueDate":"18.03.2016"
},
"liveAddress":{
        "addressStr":"Кемеровская Область, Таштагольский Район, Шерегеш Поселок городского типа",
        "countryId": "RUS",
        "zipCode": "394000",
        "region":"Кемеровская Область",
        "area": "Таштагольский Район",
        "city":"Шерегеш Поселок городского типа",
        "district": "нет",
        "settlement":"Усть-Анзас Поселок",
        "street": "Советская Улица",
        "additionArea":"Регион Садовое неком-е товарищество",
        "additionAreaStreet":"Тест",
        "house": "86/1",
        "building": "e",
        "frame": "204у",
        "flat":"пом.419",
        "fiasCode":"77-0-000-000-000-000-4236-0000-000"
    },
"registerAddress":{
        "addressStr":"Кемеровская Область, Таштагольский Район, Шерегеш Поселок городского типа",
        "countryId": "RUS",
        "zipCode": "394000",
        "region":"Кемеровская Область",
        "area": "Таштагольский Район",
        "city":"Шерегеш Поселок городского типа",
        "district": "нет",
        "settlement":"Усть-Анзас Поселок",
        "street": "Советская Улица",
        "additionArea":"Регион Садовое неком-е товарищество",
        "additionAreaStreet":"Тест",
        "house": "86/1",
        "building": "e",
        "frame": "204у",
        "flat":"пом.419",
        "fiasCode":"77-0-000-000-000-000-4236-0000-000"
    }
}

Возможны следующие варианты ответа сервиса:

{"code":"1","description":"Person successfully confirmed as trusted in ESIA"}

{"requestId":"AAAA13E94240654","code":"2","description":"Request to register person as trusted in ESIA has been accepted successfully."} 

{  "requestId": "AAAA25CFDE1929F9615A26F67
DD66DDB164247CEF0871208C3E0",  "warning": "The specified mobile will be assigned to the user but it is very likely this mobile will not be verified because it is associated with another user account.",  "code": "2",  "description": "Request to register person as trusted in ESIA has been accepted successfully."}

{"code":"0","description":"Person already has trusted account in ESIA"}

{"code":"ESIA-03200","description":"Import account error. Person have to check entered data or fill in the data in his account in ESIA."}

{"code":"ESIA-036102","message":"Введенный СНИЛС не существует"}
{"code":"ESIA-032202","message":"Номер мобильного телефона указан в неверном формате"}
{"code":"ESIA-033100","message":"Серия паспорта должна состоять из 4 цифр"}

Для вызова сервиса проверки статуса заявки следует направить HTTP-запрос методом GET на адрес /blitz/bridge/req с query-параметром req_id, равным идентификатору заявки. Пример запроса:

GET https:///blitz/bridge/req?req_id=AAAAA4E84240654F9D0E46BC8A0D51AD HTTP/1.1

В качестве ответа сервис вернет статус исполнения заявки на регистрацию учетной записи. В ответе ключевым является параметр status, принимающий значения:

• VALIDATING – идет проверка данных учетной записи в ПФР или ФМС России;
• VALIDATION_FAILED – ошибка при проверке данных учетной записи в ПФР или ФМС России, детализация ошибки содержится в параметре flowDetails;
• CONFIRMATION_FAILED – ошибка при создании подтвержденной учетной записи в ЕСИА, детализация ошибки содержится в параметре flowDetails;
• SUCCEEDED– операция успешно выполнена.

Параметр flowDetails включает в себя, в частности, код ошибки (code) и ее описание (message). Среди возможных ошибок:

• ESIA-910001 – Сервис Пенсионного фонда РФ не подтвердил соответствие СНИЛС и введенных данных;
• ESIA-910100 – Сервис Федеральной миграционной службы РФ не подтвердил соответствие данных документа, удостоверяющего личность, и введенных данных.

Пример ответа при успешной регистрации учетной записи:

{  
   "stateFacts":[  
      "Identifiable"
   ],
   "status":"SUCCEEDED",
   "flowDetails":[  
      {  
         "name":"validateSnils",
         "status":"S"
      }
   ]
}

Пример ответа при ошибке:

{  
   "stateFacts":[  
      "Identifiable"
   ],
   "status":"VALIDATION_FAILED",
   "flowDetails":[  
      {  
         "name":"validateSnils",
         "status":"F",
         "error":{  
            "code":"ESIA-910001",
            "message":"Пенсионный фонд Российской Федерации не подтвердил существование СНИЛС с указанными реквизитами"
         }
      }
   ],
   "errorStatusInfo":{  
      "code":"ESIA-910001",
      "message":"Пенсионный фонд Российской Федерации не подтвердил существование СНИЛС с указанными реквизитами"
   }
}

При возникновении ошибки рекомендуется визуализировать пользователю описание ошибки и рекомендовать ему пройти процесс регистрации учетной записи самостоятельно.

Логи работы ESIA-Bridge записываются в директорию /var/log/esia-bridge, а в среде Windows — в esia-bridge\logs.
Журнал событий записывается в следующие файлы:

• authentication.log – журнал событий, связанных с процессом проведения аутентификации пользователя в ЕСИА. Это могут быть как ошибки, возникшие на стороне ЕСИА, так и ошибки ESIA-Bridge;
• esia-bridge.log – журнал событий, связанных с работой самого приложения ESIA-Bridge.

Примеры возможных ошибок, связанных с аутентификацией пользователя в ЕСИА.

Возникновение ошибки “General SSLEngine problem to https://esia.gosuslugi.ru/aas/oauth2/te” означает, что у ЕСИА сменился сертификат SSL. Для обновления сертификата в ESIA-Bridge необходимо обновить файл:

/usr/share/esia-bridge/conf/crt/wide_gosuslugi_ru.crt

И перезапустить ESIA-Bridge, выполнив команду:

service esia-bridge restart

При возникновении ошибок, связанных с работой самого приложения ESIA-Bridge (записываются в лог как [ERROR]), рекомендуется обратиться в техническую поддержку ESIA-Bridge. В частности, возможны следующие ошибки:

• «Private key entry can not be null» – проблема с хранилищем электронной подписи, возможно, не удалось извлечь из хранилища приватный ключ;
• «java.io.FileNotFoundException: /usr/share/esia-bridge/conf/passwords (Permission denied)» – не удалось прочитать файл с паролями, указанный настройках ESIA-Bridge.