Документация ESIA-Bridge

ESIA-Bridge обеспечивает простую интеграцию вашей информационной системы с Единой системой идентификации и аутентификации (ЕСИА). ЕСИА – государственная система, обеспечивающая санкционированный доступ пользователей различных категорий (например, граждан-заявителей, должностных лиц организаций или органов исполнительной власти) к системам электронного правительства и иным государственным информационным системам.
Использование ЕСИА определяется следующими нормативно-правовыми актами:

• Постановление Правительства Российской Федерации от 28 ноября 2011 г. № 977 «О федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (в ред. постановлений Правительства Российской Федерации от 14.09.2012 № 928, от 25.01.2013 № 33);
• Постановление Правительства Российской Федерации от 25 января 2013 г. № 33 «Об использовании простой электронной подписи при оказании государственных и муниципальных услуг» (в ред. постановлений Правительства Российской Федерации от 28.10.2013 № 968, от 09.12.2013 № 1135);
• Постановление Правительства РФ от 10 июля 2013 г. № 584 «Об использовании федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»;
• Приказ Министерства связи и массовых коммуникаций Российской Федерации от 13 апреля 2012 г. № 107 «Об утверждении положения о федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (в ред. приказа Минкомсвязи России от 31.08.2012 № 218).

В данной документации описываются:

• процесс установки ESIA-Bridge;
• процесс настройки ESIA-Bridge для корректного взаимодействия информационной системы (далее — ИС) с ЕСИА.

Таблица изменений

Установка в Linux

Дистрибутив ESIA-Bridge поставляется в виде самораспаковывающегося bin-файла. Для установки необходимо выполнить команду:

./esia-bridge-1.XX.0.bin

По результатам успешной установки ESIA-Bridge создаются следующие директории:

/bin
/conf
/lib

Содержимое директории /conf доступно также по ссылке /etc/esia-bridge.

Установка в Windows

Дистрибутив ESIA-Bridge поставляется в виде установщика — файла esia-bridge.msi. Для установки выполните следующую последовательность шагов:

1. Запустите установщик.
2. Укажите директорию для установки ESIA-Bridge. По умолчанию это C:\Program Files (x86)\esia-bridge\.
3. Укажите домен, на котором будет запущен сервис. Для проверки на локальной машине рекомендуется оставить значение по умолчанию — localhost:9000.
4. Если вы знаете, на какой домен будет перенаправлен пользователь после авторизации в ЕСИА, укажите его, а также лицензию. Если лицензии нет, то шаг можно пропустить. Для проверки работоспособности ПО перенаправление можно производить на локальную машину (localhost), в этом случае лицензия не требуется.
   

Запуск, перезапуск и остановка в Linux

Для запуска ESIA-Bridge необходимо выполнить:

systemctl start esia-bridge

Для проверки статуса ESIA-Bridge необходимо выполнить:

systemctl status esia-bridge

Для перезапуска ESIA-Bridge необходимо выполнить:

systemctl restart esia-bridge

Для остановки ESIA-Bridge необходимо выполнить:

systemctl stop esia-bridge

Запуск и остановка в Windows

После установки перейти в директорию с ESIA-Bridge и запустите bat-файл с правами администратора:

bin\esia-bridge.bat

Для остановки следует в терминальном окне с запущенным ESIA-Bridge нажать сочетание клавиш Ctrl+C.

Проверка установленной версии

Узнать, какая версия ESIA-Bridge установлена, можно следующими способами:

• для ОС Linux выполнить команду:

  ls -l /usr/share/esia-bridge/lib/ru.reaxoft.esia-bridge*

• для ОС Windows версию можно посмотреть в Панели Управления Windows (Панель управления\Программы\Программы и компоненты).

Обновление в Linux

Для обновления ESIA-Bridge необходимо заново запустить самораспаковывающийся bin-файл:

./esia-bridge-1.XX.0.bin

После этого запустить ESIA-Bridge и проверить его работу.

Для удаления ESIA-Bridge в Linux необходимо выполнить команду:

unlink /etc/esia-bridge
rm -rf /etc/default/esia-bridge* /var/log/esia-bridge /usr/share/esia-bridge/ /usr/lib/systemd/system/esia-bridge.service

Для ОС Windows удалить ПО можно с помощью стандартного процесса удаления программ в Панели Управления Windows (Панель управления\Программы\Программы и компоненты).

1. 1. Установите ESIA-Bridge по инструкции на локальную машину. С данной локальной машины должен быть доступ к тестовой среде ЕСИА — https://esia-portal1.test.gosuslugi.ru.
   2. Положить файл esia-bridge.bks с тестовым ключевым контейнером, предоставленным РЕАК СОФТ, в директорию /etc/esia-bridge.
   3. Запустите ESIA-Bridge на локальной машине. В результате на порту 9000 будет запущен сервис ESIA-Bridge.
   4. Введите в строке браузера следующий адрес: http://localhost:9000/blitz/bridge/entrance?redirect_url=http://localhost/cb&state=c4604f97-b897-5692-68aa-acb94c6f67da

   Вызов можно сделать с другой машины, тогда вместо localhost стоит указать ip-адрес сервера с ESIA-Bridge.

   5. Браузер будет перенаправлен на страницу входа тестовой среды ЕСИА. Для входа введите следующие данные:
      
      • Логин: +7 999 9999999
      • Пароль: qweRTY1234
   6. После успешного входа браузер будет перенаправлен по адресу http://localhost/cb?result=AUTHORIZED. Это означает, что пользователь успешно авторизовался в ЕСИА.
   7. Посмотрите и скопируйте cookie с названием tokenSCS, которую ESIA-Bridge пытался поставить на домен. Для этого используйте любой доступный инструмент, например, «Инструменты разработки» в Firefox.
      
   8. Получите данные о пользователе, сделав POST-запрос по адресу http://localhost:9000/blitz/bridge/user с помощью любой программы, которая может делать HTTP-запросы, например, Postman. В теле запроса должен быть указан параметр token, его значение – скопированная cookie. Пример запроса:

   POST /blitz/bridge/user HTTP/1.1
   Host: localhost:9000
   Content-Type: application/x-www-form-urlencoded
   Cache-Control: no-cache
   
   token=nzPrwDmSa6v8JZV8Ge_wuOmFyarVa6Xz2LebzkD90Sv4MGoGcMtnMPOA2tXDXoGEPTq5hy1bBUcEgGWNmr63QQcuk

   9. В ответе будут возвращены данные аутентифицированного пользователя.

Параметры конфигурационного файла

Конфигурирование ESIA-Bridge осуществляется посредством редактирования файла ESIA-Bridge.conf, который хранится в директории /etc/esia-bridge или esia-bridge\conf (версия для Windows).
Для работы ESIA-Bridge должны быть определены следующие параметры конфигурационного файла:

1. 1. 1. Общие настройки ESIA-Bridge:
         • «domain» – публичный домен, на который установлен ESIA-Bridge, например, “esia.client.testcase.ru”. Этот домен должен быть доступен из сети Интернет;
         • «session.ttl.sec» — время жизни сессионной cookie (tokenSCS), используемой для получения данных пользователя при работе в онлайн-режиме. Задается в секундах;
         • «esia.host» — домен среды ЕСИА. По умолчанию указана тестовая среда ЕСИА. Возможные значения:

         Среда ЕСИА	Домен
         Тестовая среда ЕСИА	esia-portal1.test.gosuslugi.ru
         Продуктивная среда ЕСИА	esia.gosuslugi.ru

      2. Настройки электронной подписи ИС, используемой для взаимодействия с ЕСИА (рекомендации по генерации BKS хранилища и экспорту сертификата из хранилища размещены далее):
         • «type» – тип используемого хранилища электронной подписи, например, “BKS” (BouncyCastle format, по умолчанию);
         • «path» – путь к сертификату и приватному ключу, например, “${app.home}/conf/esia-bridge.bks”;
         • «password.alias» – алиас с файлом паролей для указания пароля к хранилищу электронной подписи, например, “app.keystore.password”;
      3. Настройки взаимодействия с сервисом ЕСИА по получению данных пользователя:
         • «endpoint» – URL REST-сервиса ЕСИА;
         • «embed» – объем получаемых данных из ЕСИА (опциональный параметр). Если параметр не указан, то ESIA-Bridge получает полный набор данных о пользователе, что соответствует значению “(documents.elements-1,contacts.elements-1,addresses.elements-1)” параметра. При необходимости получать сокращенный набор данных следует перечислить только те элементы, которые могут быть получены.
           Например, значение параметра embed=“(documents.elements-1)” соответствует набору данных, получаемых по scope fullname и id_doc. В таблице ниже представлено соответствие между разрешениями (scope) и наборами данных:
           

           Набор данных	Обозначение набора данных	Разрешения
           Паспортные данные	documents.elements-1	id_doc
           Контакты (адрес электронной почты и номер мобильного телефона)	contacts.elements-1	contacts / email, mobile
           Адреса (адрес проживания и регистрации)	addresses.elements-1	contacts

           Пример блока rest:

             rest {
               esia {
                 endpoint="https://"${app.esia.host}"/rs"
                 request.timeout.msec=10000
               }
                embed="(documents.elements-1)"
             }

      4. Настройки ИС, которые будут запрашивать аутентификацию в ЕСИА (должно быть указано по крайней мере одно значение):
         • «clients» – указывается доменное имя клиента и лицензия, полученная на это доменное имя (доменное имя клиента должно быть уровнем не ниже, чем это указано в лицензии; может быть указано несколько клиентов ESIA-Bridge, каждому из которых должна соответствовать лицензия) , например:

           “[{host="user.testcase.ru",licenseKey="user.testcase.ru|lUgWvhJqYa/L8PdzLZReX/4kly3f9Sd4on2EHrXTRstDQPB3nWRczgvjZ70rbpk5UhwOReAlUkGckr+oAQjqdA== "}]”

      5. Настройки взаимодействия с сервисом авторизации ЕСИА:
         • «endpoint.authorization» – URL сервиса авторизации ЕСИА;
         • «endpoint.token» – URL сервиса получения маркера (токена) доступа ЕСИА;
         • «id» – мнемоника ИС, от имени которой ESIA-Bridge будет взаимодействовать с ЕСИА, например, “TEST_INT_SYS”;
         • «name» – имя ИС, от имени которой ESIA-Bridge будет взаимодействовать с ЕСИА;
         • «alias» – используемый ключ электронной подписи, например, “esia-bridge-rsa”;
         • «key_password.alias» – алиас с файлом паролей для указания пароля к приватному ключу электронной подписи, например, “oauth.client.secret.key_password”;
         • «requested_scopes» – перечень запрашиваемых разрешений (scope) о пользователе. Указываются через пробел, например “openid fullname birthdate gender contacts id_doc inn snils”. Следует учесть, что система может запрашивать только те разрешения, к которым ей предоставлен доступ. Перечень наиболее часто используемых разрешений представлен ниже:
           

           Название разрешения	Обозначение разрешения
           Разрешение, позволяющее проводить идентификацию и аутентификацию пользователей	openid
           Просмотр фамилии, имени и отчества	fullname
           Просмотр даты рождения	birthdate
           Просмотр пола	gender
           Просмотр СНИЛС	snils
           Просмотр ИНН	inn
           Просмотр данных о документе, удостоверяющем личность	id_doc
           Просмотр места рождения	birthplace
           Просмотр адреса электронной почты	email
           Просмотр номера мобильного телефона	mobile
           Просмотр данных о контактах и адресах	contacts
           Просмотр списка организаций пользователя	usr_org

         • «requested_org_scopes» – перечень запрашиваемых разрешений (scope) об организации. Указывается только в том случае, если система имеет право получать данные об организации. Перечень разрешений вводится через пробел, например: “http://esia.gosuslugi.ru/org_emps?org_oid=$oid http://esia.gosuslugi.ru/org_fullname?org_oid=$oid”, где $oid – выражение, указывающее на то, что это параметризуемое разрешение. Возможно указание разрешений, предусмотренных Методическими рекомендациями по использованию ЕСИА.
         • «reg» – раздел, используемый для конфигурирования сервиса импорта учетных записей (см. более подробное описание здесь). Добавляется только при использовании этого сервиса. Включает в себя параметры:
         • requested_scope – запрашиваемый системой scope для операции импорта (по умолчанию – ext_imp);
         • licenseKey – лицензия, позволяющая системе вызывать сервис регистрации.
      6. Настройки логов:
         
         • «conf-url» – файл, в который будут записываться логи (можно оставить значение по умолчанию – “${app.home}/conf/ESIA-Bridge-logger.xml”);
      7. Настройки доверенных ssl-сертификатов:
         
         • «stores» – перечень сертификатов, которые считаются доверенными при ssl-взаимодействии. По умолчанию указаны сертификаты wide_gosuslugi_ru.crt (продуктивная среда ЕСИА), test_gosuslugi_ru.crt (тестовая среда ЕСИА) и reaxoft_ru.crt (среда ООО «РЕАК СОФТ»);
      8. Настройки, необходимые для внутренних процессов:
         
         • «application.secret» – секретный ключ приложения;
         • «cookieDomain» – домен, на который должна быть установлена cookie, он должен быть общим и для ESIA-Bridge, и для клиента, например, “testcase.ru”;
         • «encodingKey» – секретный ключ, используемый для шифрования cookie;
         • «hmacKey» – ключ хэш-кода проверки подлинности сообщения.

      Параметры «application.secret», «encodingKey», «hmacKey» генерируются в процессе установки. Они должны быть изменены только при использовании нескольких установок ESIA-Bridge для работы с одним клиентом, в этом случае эти ключи должны совпадать во всех установках.

      Перед запуском в своей среде проверьте, что указаны новые значения как минимум следующих параметров конфигурационного файла:

      • domain – домен, на который установлен ESIA-Bridge;
      • esia.host – домен среды ЕСИА;
      • path – путь к сертификату и приватному ключу электронной подписи системы;
      • clients — лицензия на используемый домен;
      • id — мнемоника вызывающей системы;
      • name — имя вызывающей системы;
      • cookieDomain — домен, на который будет устанавливаться сессионная cookie.

      Пример файла с настройками:

      app {
        home=${blitzHome}
        domain="esia.client.testcase.ru"
        session.ttl.sec=300
      
        # esia.host="demo1-esia.reaxoft.ru"
        # esia.host="esia.gosuslugi.ru" # production ESIA
        esia.host="esia-portal1.test.gosuslugi.ru" # pre-production test ESIA
      
        keystore {
          type="BKS"
          path=${app.home}/conf/esia-bridge.bks
          password.alias = "app.keystore.password"
        }
      
        rest {
          esia {
            endpoint="https://"${app.esia.host}"/rs"
            request.timeout.msec=10000
          }
      	embed="(documents.elements-1)"
        }
        clients=[{host="user.testcase.ru",licenseKey="user.testcase.ru|lUgWvhJqYa/L8PdzLZReX/4kly3f9Sd4on2EHrXTRstDQPB3nWRczgvjZ70rbpk5UhwOReAlUkGckr+oAQjqdA=="}]
      }
      
      oauth {
        authorization_server {
          endpoint.authorization="https://"${app.esia.host}"/aas/oauth2/ac"
          endpoint.token="https://"${app.esia.host}"/aas/oauth2/te"
        }
        client {
          id="TEST_INT_SYS"
          name="Test system"
          secret {
            alias="esia-bridge-rsa"
            key_password.alias = "oauth.client.secret.key_password"
          }
          callback_uri = "https://"${app.domain}""${?https.port}${app.path}"/cb"
          offline_callback_uri = "http://"${app.domain}${app.path}"/offlineCb"
          requested_scopes = "openid fullname id_doc"
        }
      }
      
      logger {
        conf-url="file:"${app.home}"/conf/esia-bridge-logger.xml"
        dir=${app.home}"/logs"
      }
      
      play {
        # If you deploy your application to several instances be sure to use the same key!
        application.secret="Z,)CF}r[bolvS6Pmbq54ahT#^JgwtAt4KkR4OQs7m.OH2A6Tg1ho?;gJV!oop"
        ws.ssl {
          trustManager = {
            stores = [
              {type = "PEM", path = ${app.home}"/conf/crt/wide_gosuslugi_ru.crt"},
              {type = "PEM", path = ${app.home}"/conf/crt/test_gosuslugi_ru.crt"},
              {type = "PEM", path = ${app.home}"/conf/crt/COMODORSAOrganizationValidationSecureServerCA.crt"},
              {type = "PEM", path = ${app.home}"/conf/crt/DSTRootCAX3.crt"},
              {type = "PEM", path = ${app.home}"/conf/crt/LetsEncryptAuthorityX3.crt"}
            ]
          }
        }
      }
      
      scs {
        cookieName="tokenSCS"
        cookieDomain=".testcase.ru"
        cookiePath="/"
        crypto {
          # If you deploy your application to several instances be sure to use the same key!
          encodingKey=20f4456ddfEECE63cDeac6abb879AF9A
          # If you deploy your application to several instances be sure to use the same key!
          hmacKey=CdCfC45f28cF3Ec1EB5a1aFA7Bbd0b4F5b87fd5A
        }
      }

      Рекомендуется использовать ESIA-Bridge через SSL, причем SSL должен терминироваться на балансировщике. Сервис запускается по порту 9000. Соответственно, балансировщик на периметре должен терминировать https и перенаправлять полученный http на порт 9000 вместо порта 80.
      По умолчанию ЕСИА возвращает пользователя в ESIA-Bridge без SSL. Чтобы в этом случае использовать SSL, в блоке oauth конфигурационного файла необходимо изменить параметр callback_uri на следующий:

      callback_uri = "https://"${app.domain}${app.path}"/cb"

      В результате блок oauth должен иметь приблизительно следующий вид:

      oauth {
        authorization_server {
          endpoint.authorization="https://"${app.esia.host}"/aas/oauth2/ac"
          endpoint.token="https://"${app.esia.host}"/aas/oauth2/te"
        }
        client {
          id = "TEST_SYSTEM"
          name = "TEST AS"
          callback_uri = "https://"${app.domain}${app.path}"/cb"
          secret {
            alias = "jwtRSA"
          }
        }

      
      Настройка работы с ключами ГОСТ Р 34.10-2012

      С 8 октября 2019 г. подключаемые к ЕСИА системы должны использовать сертификаты электронных подписей на основе ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

      Для работы с ключами ГОСТ Р 34.10-2012 необходимо использовать ESIA-Bridge версии не ниже 1.19 (как проверить версию?). Если установлена более ранняя версия, то обновить ESIA-Bridge.

      Для настройки работы ESIA-Bridge с ключом ГОСТ Р 34.10-2012 необходимо получить для вашей организации в аккредитованном удостоверяющем центре ключевой контейнер средства квалифицированной электронной подписи в формате КриптоПро.

      Далее его необходимо его импортировать в хранилище ключей esia-bridge.bks, используемое ESIA-Bridge. Для этого можно обратиться к нам в рамках договора техподдержки на ESIA-Bridge или выполнить шаги:

      1. Установить на ПК криптопровайдер КриптоПро CSP (версия 4.0 и выше) и установить данный ключ в реестр Windows. Для этого выполнить шаги:
         • запустить КриптоПро CSP;
         • выбрать вкладку «Сервис» и нажать на кнопку «Посмотреть сертификаты в контейнере»:
           
         • нажать на кнопку «Обзор»:
           
         • и выбрать контейнер с ключом ГОСТ Р 34.10-2012:
           
         • в открывшемся окне убедиться, что выбран нужный ключевой контейнер и нажать далее:
           
         • в окне со свойствами сертификата нажать на кнопку «Установить»:
           
         • сообщение «Сертификат был установлен в хранилище “Личные” текущего пользователя» свидетельствует об успешном сохранении.
      2. Экспортировать ключ КриптоПро из хранилища Windows в PKCS12. Для этого приобрести и запустить утилиту P12FromGostCSP. После запуска утилиты выполнить шаги:
         • выбрать сертификат:
           
         • задать пароль от создаваемого контейнера PKCS12:
           
         • указать файл для сохранения PKCS12, в качестве расширения обязательно указав .pfx.
           
      3. Сделать резервную копию файла с хранилищем ключей esia-bridge.bks.
      4. Установить окружение Java версии 8.
      5. Импортировать ключ из PKCS12 в BKS-хранилище с помощью бесплатной утилиты gost-keytool (загрузить zip-архив).

Пример вызова операции импорта ключа из PKCS12 в BKS:

 java -cp gost-keytool.jar:bcprov-jdk15on-1.62.jar ru.reaxoft.gost.Keytool import_pkcs12 --srckeystore file.pfx --srcstorepass 1 --srcalias csp_exported --srckeypass 1 --destkeystore esia-bridge.bks --deststoretype BKS --deststorepass 2 --destalias gost2012 --destkeypass 2

В этой операции используются параметры:

1. • —srckeystore — путь к файлу PKCS12;
   • —srcstorepass — пароль от контейнера PKCS12 (был задан на шаге 2);
   • —srcalias — имя ключа в контейнере PKCS12. Нужно указать значение ‘csp_exported’;
   • —srckeypass — пароль к ключу в контейнере PKCS12. Нужно указать то же самое значение, что и для параметра —srcstorepass;
   • —destkeystore – путь к файлу BKS esia-bridge.bks;
   • —deststoretype — тип хранилища. Нужно указать значение ‘BKS’;
   • —deststorepass — пароль к хранилищу BKS;
   • —destalias — имя (alias) ключа в BKS, например, gost2012;
   • —destkeypass — пароль к ключу в BKS. Нужно указать то же самое значение, что и для параметра —deststorepass.
2. Отредактировать конфигурационный файл /etc/esia-bridge/esia-bridge.conf (в Windows: C:\Program Files\esia-bridge\conf\esia-bridge.conf), прописав в параметре alias в разделе oauth\client\secret имя (alias) ключа ГОСТ Р 34.10-2012 (значение, заданное на шаге 4 в параметре —destalias).
3. Отредактировать конфигурационный файл /etc/esia-bridge/passwords (в Windows: C:\Program Files\esia-bridge\conf\passwords), прописав в параметре oauth.client.secret.key_password пароль от ключа (значение, заданное на шаге 4 в параметре —destkeypass).
4. Перезапустить ESIA-Bridge .

Запись событий аутентификации в журнал

При необходимости ESIA-Bridge может осуществлять запись событий входа в журнал. Для этого в файле настройки логов, указанном в параметре conf-url (по умолчанию — esia-bridge-logger.xml), нужно найти и при необходимости отредактировать разделы:

• appender name="authentication" — отвечает за события аутентификации пользователей (результат обращения на /blitz/bridge/entrance);
• appender name="user_data" — отвечает за события получения данных пользователя (результат обращения на /blitz/bridge/user);
• appender name="org_data" — отвечает за события получения данных организации (результат обращения на /blitz/bridge/organization).

Подраздел — pattern содержит шаблон записи события в лог. Доступны следующие параметры для событий аутентификации и получения данных пользователя:

• • ip — ip-адрес;
  • authn.subjectId — идентификатор пользователя;
  • authn.method — метод аутентификации (только для событий аутентификации);
  • authn.sessionId — идентификатор сессии (только для событий аутентификации);
  • person.oid — внутренний идентификатор пользователя;
  • person.lastName — фамилия;
  • person.firstName — имя;
  • person.middleName — отчество;
  • person.trusted — признак подтвержденности пользователя;
  • person.mobile.value — номер мобильного телефона;
  • person.mobile.status — признак подтвержденности мобильного телефона;
  • person.email.value — адрес электронной почты;
  • person.email.status — признак подтвержденности адреса электронной почты;
  • person.birthDate — дата рождения;
  • person.birthPlace — место рождения;
  • person.citizenship — гражданство;
  • person.gender — пол;
  • person.inn — ИНН;
  • person.snils — СНИЛС;
  • person.passport.status — признак подтвержденности паспорта;
  • person.passport.issueDate — дата выдачи паспорта;
  • person.passport.issuedBy — кем выдан;
  • person.passport.issuerId — код подразделения;
  • person.passport.number — номер паспорта;
  • person.passport.series — серия паспорта.

Для событий получения данных организации доступны следующие параметры:

• • ip — ip-адрес;
  • org.oid — внутренний идентификатор организации;
  • org.ogrn — ОГРН организации;
  • org.type — тип организации;
  • org.inn — ИНН организации.

Пример содержания раздела pattern:

%date %X{ip} %X{person.oid} %X{person.lastName} %X{person.firstName} %X{person.middleName} %X{person.trusted} %X{person.mobile.value} %X{person.mobile.status} %X{person.email.value} %X{person.email.status} %X{authn.subjectId} %X{authn.method} %X{authn.sessionId} %message%n

Пример содержания раздела pattern для сохранения события получения данных организации:

%date %X{ip} %X{org.oid} %X{org.ogrn} %X{org.type} %X{org.inn} %message%n

Получение данных об организациях возможно только при использовании offline-режима получения данных о пользователе. Этот процесс включает следующие шаги:

1. Проведение аутентификации пользователя с помощью offline-режима, по результатам которого у вызывающей системы будет следующая информация:

• идентификатор (oid) организации, по которой необходимо получить детальную информацию. Для получения oid можно воспользоваться блоком о ролях пользователя (roles), который доступен при наличии разрешения «Просмотр списка организаций пользователя» (usr_org);
• актуальное значение ключа доступа «scsToken».

2. Вызов специального сервиса ESIA-Bridge, позволяющего получить данные об организации. Для этого необходимо выполнить HTTP-запрос методом POST на адрес точки получения данных об организации (/blitz/bridge/organization). Особенности запроса:

• в теле (body) запроса необходимо указать параметры “token” (значение актуального ключа доступа), “oid” (идентификатор организации) и “redirect_url” (адрес обработчика успешной аутентификации на стороне вызывающей системы);
• в заголовке (http header) необходимо указать параметр “Content-Type” со значением “application/x-www-form-urlencoded”.

Пример запроса на получение данных об организации:

POST https://esia.client.testcase.ru/blitz/bridge/organization
Content-Type: application/x-www-form-urlencoded
token=MIrS8LUZNHHh-8gBjzoBbHaI5qvsCIF3I3qDjh7mOMif5L90z2SAYYO9UN2talPmqiavxzjfE5CpAhV4S2t_kWyV6UHqskUIIT1B-EFFJmLAYEYnUbuD60ehbydOJVYsGmrjvaLzSwY6oqI3GKxgZaROq-9qwafgw5bgSdjCI18NU_QJHr2oRzumxwTEbLO5QKeQNekSVZeM_71q8t7l8Lh8PonOFl9Kiz2__00HT73QKIi_alE6qdzytPeS0tv68bcRdiUU2w6pzW6oIyQ6EJgpdn6zj3ff2dPiJ9pJE0oOVqcgzQHdq7_1UezpFw9qoQPEJSpAGrIH5ewhG8__k8mtz_EASApmjK20stkBdqeyFS9s21unHDmlvd13yh7Fk0ijm0vWl_iNAeCai-H_tozj7YH65L8eXqiq5sdkl2HmQHiEPOwWsmS1JivjgdqGHiaqVEiu5oXT_fEm6hrFj7nsxeedDVUGJ14FBYGgGU_Sgpf5ql2rHrJyz9hVr3MR|MTQxODMxMjc2Mg|U0gxQVMxMjhDQkM|6dkboBYuF4Y7ZtlHztSkjg|4n9D_efCPLv3fFl_JLTz5YgENWc&oid=1000323157&redirect_url=http://localhost:9000/ofCb

Возможные варианты ответа ESIA-Bridge на такой запрос:

• если ключ доступа не позволяет получить данные указанной организации, то в ответе содержится ссылка (link) с запросом для получения корректного ключа доступа. Пример ответа:

{
  “redirect” : {
     “link” : “/blitz/bridge/entrance?redirect_url=http://localhost:9000/ofCb&oids=1000323157&mode=offline&state=dfa6e47e-576b-460e-9476-ce9597415188“,
     “state” : “dfa6e47e-576b-460e-9476-ce9597415188"
  }
}

Все, что требуется системе, – направить браузер пользователя по ссылке из ответа, указав корректный hostname ESIA-Bridge. Переход по этой ссылке инициирует в ЕСИА получение разрешения на доступ к данной организации. После того, как пользователь даст разрешение, ESIA-Bridge вернет пользователя по адресу, указанному в redirect_url и поставит новую сессионную cookie с новым ключом доступа tokenSCS. Получив обновленный ключ доступа, система должна повторно вызвать сервис получения данных об организации.

• если ключ доступа позволяет получить данные указанной организации, то в ответе будет получен json со следующими данными:
• обновленный ключ доступа scsToken, при этом старый ключ перестает действовать;
• сведения об организации согласно спецификациям ЕСИА.

Пример ответа, содержащего в себе данные организации, ее сотрудников и филиалов:

{
  "orgResponse": {
    "scsToken": "esMNcjW0qPQ51zcTMiI8w881PiaMUfHBdNGjLo0-V2Tu8U8NGbP86tVxDXeoPQIOyjiQwz2K4ml0ymIqajcvmxoEpOc7IVs-sux0QKS4GKWxAUFBhcB-odAZJVTS_Sl0oZB8Xn5rKJh2p3zS92v-JbMVWzwL0OS6LB58If0vLIu1gdgwqKq1ee7B7vSsc8te|MTUxMzk4MzQ5MA|U0gxQVMxMjhDQkM|ls9NJJklcIDvAtQr_DgZ0w|_7qL6n1KC_M5da77ohg03FRAxwQ",
    "organization": {
      "stateFacts": [
        "Identifiable"
      ],
      "eTag": "8DF580E06129CA1190B283E6764D68ADD88CBDB9",
      "oid": 1000323157,
      "shortName": "ООО \"РЕАК СОФТ\"",
      "fullName": "ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ \"РЕАК СОФТ\"",
      "type": "AGENCY",
      "ogrn": "1147746651733",
      "inn": "7715434658",
      "leg": "12200",
      "kpp": "771501001",
      "agencyTerRange": "00",
      "agencyType": "10.FED",
      "oktmo": "45359000",
      "contacts": {
        "stateFacts": [
          "hasSize"
        ],
        "size": 3,
        "eTag": "711FD22A0ADEA3FB05BEB780FF6E2B25F9BF39A1",
        "elements": [
          {
            "stateFacts": [
              "Identifiable"
            ],
            "eTag": "326468E0BC693CE48B87646B758EE54FB0737010",
            "id": 14283140,
            "type": "OFX",
            "vrfStu": "NOT_VERIFIED",
            "value": "+7(342)2875843"
          },
          {
            "stateFacts": [
              "Identifiable"
            ],
            "eTag": "3288F9165AD8A0C2D956DB8CA9B3799BD7CECE18",
            "id": 14283139,
            "type": "OPH",
            "vrfStu": "NOT_VERIFIED",
            "value": "+7(342)2409435*984398"
          },
          {
            "stateFacts": [
              "Identifiable"
            ],
            "eTag": "BA3D328687D1538B7AFF0CC153E704738BC78253",
            "id": 14240474,
            "type": "OEM",
            "vrfStu": "NOT_VERIFIED",
            "value": "mvanin@reaxoft.ru"
          }
        ]
      },
      "addresses": {
        "stateFacts": [
          "hasSize"
        ],
        "size": 2,
        "eTag": "7B82EB88BCA0425E2BC3B6914AFC6F9D0702DF3B",
        "elements": [
          {
            "stateFacts": [
              "Identifiable"
            ],
            "eTag": "5E2BA4DB9268FED5079B2F5B5463E9FFE3CC4E50",
            "id": 27443,
            "type": "OPS",
            "region": "Пермский",
            "city": "Пермь",
            "addressStr": "Пермский край, Пермь город, Комсомольский проспект",
            "countryId": "RUS",
            "zipCode": "614000",
            "street": "Комсомольский",
            "house": "31В",
            "flat": "37"
          },
          {
            "stateFacts": [
              "Identifiable"
            ],
            "eTag": "8CA439D7A477D899C0E67E513B2B72C4B4F962E3",
            "id": 16378,
            "type": "OLG",
            "region": "г МОСКВА",
            "addressStr": "г МОСКВА,ул РИМСКОГО ",
            "countryId": "RUS",
            "zipCode": "127566",
            "street": "ул РИМСКОГО ",
            "house": "95",
            "flat": "36"
          }
        ]
      },
      "employees": {
        "stateFacts": [
          "LastPage",
          "FirstPage",
          "Paginated"
        ],
        "pageSize": 100,
        "pageIndex": 1,
        "elements": [
          {
            "stateFacts": [
              "EntityRoot"
            ],
            "eTag": "E7ECC603BCEC866C6ACD0738A077CA39BADA9EFA",
            "prnOid": 1000299331,
            "orgOid": 1000323157,
            "position": "Руководитель",
            "chief": true,
            "person": {
              "stateFacts": [
                "EntityRoot"
              ],
              "eTag": "5B64DACFE84502F3B4A73F66A3F4D07F23360ACB",
              "firstName": "Михаил",
              "lastName": "Юрьев",
              "middleName": "Владимирович",
              "birthDate": "13.11.1981",
              "gender": "M",
              "citizenship": "RUS",
              "snils": "123-456-789 58",
              "inn": "123456789012",
              "updatedOn": 1492174836,
              "status": "REGISTERED",
              "verifying": false,
              "rIdDoc": 3303
            },
            "blocked": false
          },
          {
            "stateFacts": [
              "EntityRoot"
            ],
            "eTag": "D90F86B8FAE7DB8567D3679D97309AF821D5025D",
            "prnOid": 1000323269,
            "orgOid": 1000323157,
            "chief": false,
            "person": {
              "stateFacts": [
                "EntityRoot"
              ],
              "eTag": "CBB725A26583BBD55980751FAE85FAD2BC828833",
              "firstName": "Петр",
              "lastName": "Петров",
              "middleName": "Петрович",
              "birthDate": "11.11.1981",
              "birthPlace": "Москва",
              "gender": "M",
              "citizenship": "RUS",
              "snils": "000-333-444 39",
              "updatedOn": 1513856314,
              "status": "REGISTERED",
              "verifying": false
            },
            "blocked": false
          },
          {
            "stateFacts": [
              "EntityRoot"
            ],
            "eTag": "48C5A569574766A15287584DC057897BF20B9BF5",
            "prnOid": 1000348301,
            "orgOid": 1000323157,
            "chief": false,
            "person": {
              "stateFacts": [
                "EntityRoot"
              ],
              "eTag": "3A4A8EA83413C3076B34485561BB6FDE518C58D8",
              "firstName": "Семен",
              "lastName": "Иванов",
              "middleName": "Петрович",
              "birthDate": "14.03.1996",
              "birthPlace": "Москва",
              "gender": "M",
              "trusted": true,
              "citizenship": "RUS",
              "snils": "000-555-444 39",
              "inn": "520791835020",
              "updatedOn": 1513937119,
              "status": "REGISTERED",
              "verifying": false,
              "rIdDoc": 38957
            },
            "blocked": false
          }
        ]
      },
      "branches": {
        "stateFacts": [
          "LastPage",
          "FirstPage",
          "Paginated"
        ],
        "pageSize": 100,
        "pageIndex": 1,
        "eTag": "B854C2B28B54083C063C9319950B148A1D87EDCB",
        "elements": [
          {
            "stateFacts": [
              "Identifiable"
            ],
            "eTag": "BDD1049E273023D50516686F7FF4CD14CC938150",
            "brhOid": 1000355069,
            "name": "Московский",
            "kpp": "435354354",
            "leg": "30002",
            "contacts": {
              "stateFacts": [
                "hasSize"
              ],
              "size": 3,
              "eTag": "BB7C4789C938FBF59F60744EC31215239D20B94F",
              "elements": [
                {
                  "stateFacts": [
                    "Identifiable"
                  ],
                  "eTag": "5649E98457FAD7C4B38B091EABAAE497D7C24666",
                  "id": 14283146,
                  "type": "OEM",
                  "vrfStu": "NOT_VERIFIED",
                  "value": "test@example.com"
                },
                {
                  "stateFacts": [
                    "Identifiable"
                  ],
                  "eTag": "E3B691F0DC97A07F271F337EF6000F671299E1C6",
                  "id": 14283149,
                  "type": "OPH",
                  "vrfStu": "NOT_VERIFIED",
                  "value": "+7(495)8736847*684764"
                },
                {
                  "stateFacts": [
                    "Identifiable"
                  ],
                  "eTag": "D3A1E4715F456DD2D54544E387B6159DB6E486D4",
                  "id": 14283150,
                  "type": "OFX",
                  "vrfStu": "NOT_VERIFIED",
                  "value": "+7(499)9990930"
                }
              ]
            },
            "addresses": {
              "stateFacts": [
                "hasSize"
              ],
              "size": 1,
              "eTag": "8051E7E5247D83DEBFA5FFAC9410C81D1E5E1597",
              "elements": [
                {
                  "stateFacts": [
                    "Identifiable"
                  ],
                  "eTag": "EC676F9CDB0F1344A8EED5444A8CC0DEB98D994C",
                  "id": 27445,
                  "type": "OPS",
                  "region": "Москва",
                  "addressStr": "Москва город, Московско-Минской Дивизии площадь",
                  "countryId": "RUS",
                  "zipCode": "121096",
                  "street": "Московско-Минской Дивизии",
                  "house": "6",
                  "flat": "67"
                }
              ]
            }
          },
          {
            "stateFacts": [
              "Identifiable"
            ],
            "eTag": "9438AF6F3D163DFD6A258078BC3F77D337A44B3E",
            "brhOid": 1000355068,
            "name": "Дальневосточный",
            "kpp": "948745837",
            "leg": "30001",
            "contacts": {
              "stateFacts": [
                "hasSize"
              ],
              "size": 3,
              "eTag": "FBBF6052BCF619EF40E2B2D888DC294AB9776BDB",
              "elements": [
                {
                  "stateFacts": [
                    "Identifiable"
                  ],
                  "eTag": "C725D7760632612B18CBEDE303ADBA8612340488",
                  "id": 14283143,
                  "type": "OEM",
                  "vrfStu": "NOT_VERIFIED",
                  "value": "none@example.com"
                },
                {
                  "stateFacts": [
                    "Identifiable"
                  ],
                  "eTag": "8CE333D782D4D75A8600210BBB1E78F73B2EC5F4",
                  "id": 14283145,
                  "type": "OFX",
                  "vrfStu": "NOT_VERIFIED",
                  "value": "+7(34343)90586"
                },
                {
                  "stateFacts": [
                    "Identifiable"
                  ],
                  "eTag": "69344CDC7A35BD367284CB119ED237D2DBA30590",
                  "id": 14283144,
                  "type": "OPH",
                  "vrfStu": "NOT_VERIFIED",
                  "value": "+7(343)3354654*235642"
                }
              ]
            },
            "addresses": {
              "stateFacts": [
                "hasSize"
              ],
              "size": 1,
              "eTag": "3786BD82486EF0DE78B9B4BF4594B00D5C660F3D",
              "elements": [
                {
                  "stateFacts": [
                    "Identifiable"
                  ],
                  "eTag": "E56F04079933C955AC0C24DC8DD5E1722F912224",
                  "id": 27444,
                  "type": "OPS",
                  "region": "Хабаровский",
                  "addressStr": "Хабаровский край, Николаевский район, Нижнее Пронге поселок, Школьная улица",
                  "area": "Николаевский",
                  "settlement": "Нижнее Пронге",
                  "countryId": "RUS",
                  "zipCode": "682444",
                  "street": "Школьная",
                  "house": "40"
                }
              ]
            }
          }
        ]
      }
    }
  }
}

После получения ответа рекомендуется сохранить данные обновленного ключа доступа scsToken. Это позволит в будущем обновить данные об организации, ее сотрудниках и филиалах в offline-режиме, т.е. без участия пользователя.

Общие сведения

Сервис импорта учетной записи пользователя ЕСИА обеспечивает возможность проверки наличия учетной записи пользователя, а в случае её отсутствия – регистрации пользователя в ЕСИА. При обнаружении стандартной учетной записи (учетной записи, готовой к подтверждению) сервис производит подтверждение учетной записи. Алгоритм работы сервиса представлен на рисунке ниже:

Получение доступа к сервису

Доступ к сервису имеют исключительно доверенные организации, обеспечивающие подтверждение личности при предоставлении своих услуг пользователям. Например, сервис может быть предоставлен банкам для самостоятельной регистрации пользователя из его учетной записи интернет-банка. В этом случае банк должен гарантировать, что передаваемые пользователем данные – фамилия, имя, отчество и паспортные данные – принадлежат именно пользователю, инициирующему регистрацию.
Технически доступ к сервису имеют системы, получившие возможность получать маркеры доступа на разрешение (scope) типа ext_imp.

Конфигурирование ESIA-Bridge

Для включения функции регистрации в ESIA-Bridge необходимо внести следующие изменения в конфигурационный файл ESIA-Bridge.conf:

1. 1. Указать корректное значения параметра esia.host – домена среды ЕСИА, в которую будет осуществляться импорт. Возможны следующие значения:
      
      • esia-portal1.test.gosuslugi.ru – тестовая среда ЕСИА;
      • esia.gosuslugi.ru – продуктивная среда ЕСИА.
   2. Указать корректные настройки электронной подписи ИС, используемой для взаимодействия с ЕСИА, согласно п. 2.4.1 данного документа.
   3. Добавить в раздел oauth/client конфигурационного файла новый блок следующего вида:

reg {
            requested_scopes = "http://esia.gosuslugi.ru/ext_imp",
        licenseKey = "811301161|1488574800|U2Ac1SsJp+eHNOs2fbsnLKbzUCFsat+tLxuOxurcwtBnd3F0DPDi5lQuHdinerjFfv6M2ONhscQgdMOvM/w/2Q=="
    }

В этом блоке используются параметры:

• requested_scope — запрашиваемый системой scope для операции импорта (по умолчанию – ext_imp);
• licenseKey – лицензия, позволяющая системе вызывать сервис регистрации.

Вызов сервиса

Для вызова сервиса следует направить HTTP-запрос методом PUT на адрес /blitz/bridge/reg. В заголовке (http header) необходимо указать параметр “Content-Type” со значением “application/json”.
В теле (body) запроса необходимо указать параметры пользователя, которые включают в себя атрибуты регистрируемого пользователя в виде json:

• «firstName» – имя;
• «lastName» – фамилия;
• «middleName» – отчество;
• «birthDate» – дата рождения в формате ДД.ММ.ГГГГ;
• «gender» – пол (M – мужской, F – женский);
• «birthPlace» – место рождения;
• «citizenship» – гражданство (по умолчанию RUS для России, можно не указывать);
• «snils» – СНИЛС (в формате ХХХ-ХХХ-ХХХ ХХ);
• «passport» – данные паспорта, включают в себя:
• «type» – тип документа (по умолчанию имеет значение “RF_PASSPORT”, можно не указывать);
• «series» – серия;
• «number» – номер;
• «issueDate» – дата выдачи в формате ДД.ММ.ГГГГ;
• «issueId» – код подразделения;
• «issuedBy» – кем выдан;
• «mobile» – мобильный телефон пользователя; включает в себя:
• «value» – значение (в формате +7(ХХХ)ХХХХХХХ);
• «email» – адрес электронной почты пользователя (не обязательно); включает в себя:
• «value» – значение;
• «liveAddress» – адрес места проживания (не обязательно); включает в себя:
• «fiasCode» – код ФИАС;
• «addressStr» – адрес в виде строки;
• «zipCode» – индекс;
• «countryId» – идентификатор страны, для России принимает значение «RUS»;
• «region» – регион;
• «city» – город;
• «district» – внутригородской район;
• «area» – район;
• «settlement» – поселение;
• «additionArea» – доп. территория;
• «additionAreaStreet» – улица на доп. территории;
• «street» – улица;
• «house» – дом;
• «building» – строение;
• «frame» – корпус;
• «flat» – квартира.
• «registerAddress» – адрес регистрации (не обязательно); включает в себя те же параметры, что и адрес места проживания.

PUT https://<ESIA_BRIDGE_HOST>/blitz/bridge/reg
Content-Type: application/json
{
"firstName":"Иван",
"lastName":"Иванов",
"middleName":"Иванович",
"birthDate":"01.01.1999",
"birthPlace":"Москва",
"gender":"M",
"snils":"000-000-001 89",
"mobile": {"value": "+7(888)9999999"},
"email":  {"value": "test@test.st"},
"passport":{
    "series":"9999",
    "number":"889999",
    "issueId":"111001",
    "issuedBy":"РУВД г.Москвы",
    "issueDate":"18.03.2016"
},
"liveAddress":{
        "addressStr":"Кемеровская Область, Таштагольский Район, Шерегеш Поселок городского типа",
        "countryId": "RUS",
        "zipCode": "394000",
        "region":"Кемеровская Область",
        "area": "Таштагольский Район",
        "city":"Шерегеш Поселок городского типа",
        "district": "нет",
        "settlement":"Усть-Анзас Поселок",
        "street": "Советская Улица",
        "additionArea":"Регион Садовое неком-е товарищество",
        "additionAreaStreet":"Тест",
        "house": "86/1",
        "building": "e",
        "frame": "204у",
        "flat":"пом.419",
        "fiasCode":"77-0-000-000-000-000-4236-0000-000"
    },
"registerAddress":{
        "addressStr":"Кемеровская Область, Таштагольский Район, Шерегеш Поселок городского типа",
        "countryId": "RUS",
        "zipCode": "394000",
        "region":"Кемеровская Область",
        "area": "Таштагольский Район",
        "city":"Шерегеш Поселок городского типа",
        "district": "нет",
        "settlement":"Усть-Анзас Поселок",
        "street": "Советская Улица",
        "additionArea":"Регион Садовое неком-е товарищество",
        "additionAreaStreet":"Тест",
        "house": "86/1",
        "building": "e",
        "frame": "204у",
        "flat":"пом.419",
        "fiasCode":"77-0-000-000-000-000-4236-0000-000"
    }
}

Возможны следующие варианты ответа сервиса:

{"code":"1","description":"Person successfully confirmed as trusted in ESIA"}

{"requestId":"AAAA13E94240654","code":"2","description":"Request to register person as trusted in ESIA has been accepted successfully."}

{  "requestId": "AAAA25CFDE1929F9615A26F67
DD66DDB164247CEF0871208C3E0",  "warning": "The specified mobile will be assigned to the user but it is very likely this mobile will not be verified because it is associated with another user account.",  "code": "2",  "description": "Request to register person as trusted in ESIA has been accepted successfully."}

{"code":"0","description":"Person already has trusted account in ESIA"}

{"code":"ESIA-03200","description":"Import account error. Person have to check entered data or fill in the data in his account in ESIA."}

{"code":"ESIA-036102","message":"Введенный СНИЛС не существует"}
{"code":"ESIA-032202","message":"Номер мобильного телефона указан в неверном формате"}
{"code":"ESIA-033100","message":"Серия паспорта должна состоять из 4 цифр"}

Проверка статуса заявки на регистрацию пользователя

Для вызова сервиса проверки статуса заявки следует направить HTTP-запрос методом GET на адрес /blitz/bridge/req с query-параметром req_id, равным идентификатору заявки. Пример запроса:

GET https:///blitz/bridge/req?req_id=AAAAA4E84240654F9D0E46BC8A0D51AD HTTP/1.1

В качестве ответа сервис вернет статус исполнения заявки на регистрацию учетной записи. В ответе ключевым является параметр status, принимающий значения:

• VALIDATING – идет проверка данных учетной записи в ПФР или ФМС России;
• VALIDATION_FAILED – ошибка при проверке данных учетной записи в ПФР или ФМС России, детализация ошибки содержится в параметре flowDetails;
• CONFIRMATION_FAILED – ошибка при создании подтвержденной учетной записи в ЕСИА, детализация ошибки содержится в параметре flowDetails;
• SUCCEEDED– операция успешно выполнена.

Параметр flowDetails включает в себя, в частности, код ошибки (code) и ее описание (message). Среди возможных ошибок:

• ESIA-910001 – Сервис Пенсионного фонда РФ не подтвердил соответствие СНИЛС и введенных данных;
• ESIA-910100 – Сервис Федеральной миграционной службы РФ не подтвердил соответствие данных документа, удостоверяющего личность, и введенных данных.

Пример ответа при успешной регистрации учетной записи:

{  
   "stateFacts":[  
      "Identifiable"
   ],
   "status":"SUCCEEDED",
   "flowDetails":[  
      {  
         "name":"validateSnils",
         "status":"S"
      }
   ]
}

Пример ответа при ошибке:

{  
   "stateFacts":[  
      "Identifiable"
   ],
   "status":"VALIDATION_FAILED",
   "flowDetails":[  
      {  
         "name":"validateSnils",
         "status":"F",
         "error":{  
            "code":"ESIA-910001",
            "message":"Пенсионный фонд Российской Федерации не подтвердил существование СНИЛС с указанными реквизитами"
         }
      }
   ],
   "errorStatusInfo":{  
      "code":"ESIA-910001",
      "message":"Пенсионный фонд Российской Федерации не подтвердил существование СНИЛС с указанными реквизитами"
   }
}

При возникновении ошибки рекомендуется визуализировать пользователю описание ошибки и рекомендовать ему пройти процесс регистрации учетной записи самостоятельно.

Общие сведения

Сервис получения системных разрешений позвляет получить маркеры доступа в рамках так называемой модели контроля доступа на основе полномочий системы-клиента, предусмотренной ЕСИА (подробнее см. Прилжение B.3 Методических рекомендаций по использованию ЕСИА). В частности, возможно получение маркеров для доступа к Открытой платформе (API ЕПГУ) на scope http://sf.gosuslugi.ru/sf_api.

Получение доступа к сервису

Доступ к сервису имеют исключительно доверенные организации, получившие право получать системные разрешения. Иными словами, система должна иметь право получать маркеры доступа на соответствующие scope.

Конфигурирование ESIA-Bridge

Для включения функции получения системных разрешений в ESIA-Bridge необходимо внести следующие изменения в конфигурационный файл ESIA-Bridge.conf:

1. 1. Убедиться, что в качестве системы-клиента (параметр id) указана система, имеющая право получать системные разрешения:
   2. Добавить в раздел oauth конфигурационного файла новый блок perms следующего содержания:

  perms {
    requested_scopes = "http://sf.gosuslugi.ru/sf_api",
    licenseKey = "perm:1234567|+8QJHNnmroweryuwi+lqKFuq6jLRGpEjdZGoegCoRZW3euCn+p+TebUS9IniDIdCwXVpElJpjmfPj43BClhQ=="
  }

В этом блоке используются параметры:

• requested_scopes — запрашиваемые системой системыне scope;
• licenseKey – лицензия, позволяющая системе вызывать сервис получения системных разрешений.

Вызов сервиса

Для вызова сервиса следует направить HTTP-запрос методом GET на адрес /blitz/bridge/perms. В качестве ответа будет возвращен соответствующий маркер доступа.

Общие сведения

Для работы с Цифровым профилем по REST API (подробнее см. Методические рекомендации по интеграции с REST API Цифрового профиля) требуется установка ESIA-Bridge Pro.
Все сервисы Цифрового профиля расположены по следующему URL:

https://{bride_hostname}/blitz/bridge/dp/

Все прежние сервисы ESIA-Bridge для работы с ЕСИА для идентификации пользователей оставлены по прежним URL и также могут использоваться параллельно с новыми функциями Цифрового профиля.

Получение доступа к сервису

Доступ к сервису имеют исключительно организации, получившие право работать с Цифровым профилем.

Конфигурирование ESIA-Bridge

Для настройки функции работы с Цифровым профилем необходимо установить ESIA-Bridge Pro или обновить имеющийся ESIA-Bridge до ESIA-Bridge Pro. После чего внести следующие изменения в конфигурационный файл ESIA-Bridge.conf:

1. Добавление блока dp (как подраздел app) конфигурационного файла ESIA-Bridge:
• ogrn – ОГРН организации, имеющей доступ к инфраструктуре Цифрового профиля;
• purposes – перечень целей запросов согласий, которые планируется использовать. Каждая цель описывается следующими параметрами:
• name – тип цели запроса согласия согласно документу «Методические рекомендации по интеграции с инфраструктурой Цифрового профиля» (далее – МР ЦП), например, CREDIT;
• scopes – перечень запрашиваемых разрешений (scope);
• actions – перечень действий согласно МР ЦП;
• expireInMin – срок, на который запрашивается согласие (в минутах);
• responsible – сотрудник организации (или организация), осуществляющее обработку данных.

Пример сконфигурированного блока:

app {
	…
	dp {
		ogrn = 1147746651733,
		purposes = [{
		  name = "CREDIT",
		  scopes = ["birthplace","birthdate","drivers_licence_doc","email","fullname","gender","id_doc","inn","mobile","snils","vehicles","death_cert_doc","addresses","change_fullname_cert_doc","divorce_cert_doc","marriage_cert_doc","ils_doc","paternity_cert_doc"],
		  actions = ["ALL_ACTIONS_TO_DATA"],
		  expireInMin = 1440,
		  responsible = "Петров П.П."
		}
	   ]
	  }
	…
}

2. Добавление dp_context в блок rest-esia, например:

rest {
    esia {
      endpoint="https://"${app.esia.host}"/rs"
      dp_context="https://"${app.esia.host}"/digital/api/public/v1"
      request.timeout.msec=10000
    }
  }

3. Добавление рядом с callback_uri параметра callback_uri_dp. Например:

    callback_uri = "http://"${app.domain}${app.path}"/cb"
    offline_callback_uri = "http://"${app.domain}${app.path}"/offlineCb"
    callback_uri_dp = "https://"${app.domain}${app.path}"/dp/cb"
    requested_scopes = "openid fullname birthdate gender contacts id_doc inn snils"

4. Создание в блоке oauth раздел конфига perms и добавить в него лицензионный ключ ESIA-Bridge:

oauth {
…
    callback_uri = "http://"${app.domain}${app.path}"/cb"
    callback_uri_dp = "https://"${app.domain}${app.path}"/dp/cb"
    offline_callback_uri = "http://"${app.domain}${app.path}"/offlineCb"
    requested_scopes = "openid fullname id_doc email mobile"
  }
  perms {
    licenseKey = "perm:SYSTEM|X363ZT8YkD5Ru8XNiVCYadszQkCzNv2J910vHmPc4AtdsOsN7xE2GgZ0bovREPiexs180g6Q=="
  }
}

5. Перезапуск ESIA-Bridge.
6. Сервисы цифрового профиля запрашиваются через шлюз https:///blitz/bridge/dp/gw. Для корректной работы необходимо настроить проксирование запросов к REST API цифрового профиля (https://esia.gosuslugi.ru/digital/api/*). Эти запросы должны перенаправляться посредством прокси сервера Заказчика в защищённую сеть СМЭВ на IP-адрес балансировщика в защищаемой сети инфраструктуры электронного правительства: 172.16.104.200.
   Например, можно настроить /etc/hosts на сервере с ESIA-Bridge таким образом, чтобы esia.gosuslugi.ru заворачивался на localhost. Далее все запросы с /digital/api/* (https://esia.gosuslugi.ru/digital/api/*) проксируются на адрес криптошлюза (а дальше уже на 172.16.104.200), а все остальные запросы — к esia.gosuslugi.ru на их публичный IP.
7. Для продуктивного взаимодействия следующие сервисы ESIA-Bridge Pro должны вызываться из доверенной сети (не должны быть доступны через Интернет):
• POST /blitz/bridge/dp/prepare
• POST /blitz/bridge/dp/token
• GET /blitz/bridge/dp/gw/*
• POST /blitz/bridge/dp/gw/*

Сценарий работы с Цифровым профилем

Для работы с цифровым профилем через ESIA-Bridge сейчас предусмотрен следующий сценарий:

1. Система через backend вызывает в ESIA-Bridge специальный REST-сервис https://{bride_hostname}/blitz/bridge/dp/prepare для формирования специального объекта permissions. Передаются список из элементов, каждый из которых содержит параметры:
   • purpose (обязательный параметр) – идентификатор цели запроса сведений. Цель должна быть предварительно настроена в конфигурационном файле esia-bridge.conf. Может быть несколько целей;
   • responsible (опциональный параметр) – имя ответственного за обработку полученных из цифрового профиля сведений. Любая текстовая строка. Если будет решено передавать сюда какую-то стандартную строку, то тогда ее значение можно задать через конфиг esia-bridge, а в вызове сервиса /prepare этот параметр не передавать.

   Пример запроса (одна цель):

   curl -X POST \
     https://{bride_hostname}/blitz/bridge/dp/prepare \
     -H 'Cache-Control: no-cache' \
     -H 'Content-Type: application/json' \
     -d '[{"purpose": "INSURANCE_SERVICES", "responsible": "Иванов И.И."}]'

   Пример ответа:

   {"permissions":"827-8rZj2Bh7hyatbHOdq1hNgaDl9TvdVwRrOlUW7ZoNPrBlDOuZ14XDV07ZIXom6y9Zc0triDB_BoOgzwpFpW8Zv1U9yyTKOXCvDtDJR7HARIctnUyja2l2uc5TN0x91g68nuT1b14MYSbgI03WzIYPV3zoCJTJYVpuKvQWNLzjgiQgwdX-cKC8llZ3eJ6vesIxt3hUKksfCwpGDCB2rQhUe8w5FKoySvBYj1_YUNA|MTU3NDg2OTA4Ng|U0gxQVMxMjhDQkM|ZhhgV09JbUhjbl7kRUaXLg|0yN6Po243tLzjcoL6LUZzgiu5vY"}

   Пример запроса (две цели):

   curl -X POST \
     https://{bride_hostname}/blitz/bridge/dp/prepare \
     -H 'Cache-Control: no-cache' \
     -H 'Content-Type: application/json' \
     -d '[{"purpose": "INSURANCE_SERVICES", "responsible": "Иванов И.И."},{"purpose": "CREDIT", "responsible": "Петров П.П."}]'

   Пример ответа:

   {"permissions":"IGqGQvH7pCXfFkxgIzT-OsYhYVZd7SqKkipkhDa19lzQP5MlFHU0UvxRT8BAwVov4Scud4WyDT60vwt4J7Fg-b5GaADXf2HXTBcQK2xqIIdyYbpRseSuaqlPK8te_Vb3XyFxA56BJAReZ2aHShn96XG3PGEbKT-PZLC9qHxjTVBgHfqQJ_dQhNQQokU2jqBP52kscuW2qUIZIcYzcxH7WKLGoLu2B41ePaEO0XOkBZ4|MTU3NDg3MDE2Ng|U0gxQVMxMjhDQkM|VDlGJLS8rG1wfaRy_r2g-w|cicXmEQFa6OCTx949s8BOZ-MOXo"}

2. Система через браузер инициирует переход пользователя на специальный URL /blitz/bridge/dp/entrance, инициирующий идентификацию пользователя в ЕСИА и запрос согласия на доступ к цифровому профилю. Переход должен быть инициирован не позднее 5 минут с момента вызова сервиса /prepare. В качестве URL-параметров нужно передать:
   • permissions – значение, сформированное сервисом /prepare
   • state – случайный GUID-идентификатор
   • redirect_url – URL возврата в систему по итогам обработки запроса.

   Пример запроса:

   https://{bride_hostname}/blitz/bridge/dp/entrance?redirect_url=https://{redirect_hostname}/cb/&state=63f13de4-9eb6-5da5-66ad-80d38aafbbef&permissions=827-8rZj2Bh7hyatbHOdq1hNgaDl9TvdVwRrOlUW7ZoNPrBlDOuZ14XDV07ZIXom6y9Zc0triDB_BoOgzwpFpW8Zv1U9yyTKOXCvDtDJR7HARIctnUyja2l2uc5TN0x91g68nuT1b14MYSbgI03WzIYPV3zoCJTJYVpuKvQWNLzjgiQgwdX-cKC8llZ3eJ6vesIxt3hUKksfCwpGDCB2rQhUe8w5FKoySvBYj1_YUNA|MTU3NDg2OTA4Ng|U0gxQVMxMjhDQkM|ZhhgV09JbUhjbl7kRUaXLg|0yN6Po243tLzjcoL6LUZzgiu5vY

   Пример ответа:

   https://{redirect_hostname}/cb/?result=AUTHORIZED

   Также в случае успеха (result=AUTHORIZED) на домен системы {redirect_hostname} будет установлена кука tokenSCS с шифрованным значением. Домен системы {redirect_hostname} должен быть в том же домене второго уровеня, что и ESIA-Bridge.

3. Система считывает значение куки tokenSCS и через backend вызывает в ESIA-Bridge сервис парсинга https://{bride_hostname}/blitz/bridge/token, позволяющий извлечь и расшифровать токен. Вызов нужно сделать не позднее 5 минут с момента получения куки. В качестве параметра token передать значение куки tokenSCS.
   Пример запроса:

   curl -X POST \
     https://{bride_hostname}/blitz/bridge/dp/token \
     -H 'Cache-Control: no-cache' \
     -H 'Content-Type: application/json' \
     -d '{
       "token": "qDyv7_6NxovsbeVysPjfBE9g2XLYUlcP-FL77FpHZzx1miHirnbvbodU9GKsEN86EUXTX-jLp1lGOcB5GNSB6fO-bUNAjCSZ1_MOyj1LXujrZ-5l_yh9OAR9syw4FiPep2Fx0dB5LFyGF6_GR8-KOZJ4XFgUOJoiVG1rRQ3mKGy4fMd6AARCBcWQfKRlU4zx9QIwiMkYrIxJoVZZfc-c-0wZwtu5q81lJNW3NIbZRXvkJBSkxseb0wvvofCLFFMlu9ShnLWNCtB4EmEaq9vl0YWH3RnZxET5T0GmnAmfw0eE3HLCJCultpUQp-MfAqW9|MTU3NDg2NzYwOA|U0gxQVMxMjhDQkM|wGq61oC65e6tjrcHGlv4_g|dD341mtxg9xg1EdNHmQlL8nEvxk"
   }'

   Пример ответа:

   {"amr":"PWD","urn:esia:sid":"26678e3da8e209164cafc11290ffa02a58a594d5617a87654a18e5786a0e5b65","exp":1577376466,"sub":1000315503,"auth_time":1577365648,"nbf":1577365666,"urn:esia:sbj":{"urn:esia:sbj:nam":"OID.1000315503","urn:esia:sbj:typ":"P","urn:esia:sbj:is_tru":true,"urn:esia:sbj:oid":1000315503},"iss":"http://esia.gosuslugi.ru/","urn:esia:amd":"PWD","aud":"TESTCOMPANY","iat":1577365666}

4. Из полученного ответа система должна считать значение параметра sub. Это числовой идентификатор пользователя в ЕСИА. Этот идентификатор система должна запомнить на своей стороне в связке с пользователем. По этому идентификатору в дальнейшем система сможет на срок действия полученного согласия запрашивать в Цифровом профиле сведения о пользователе.
5. Система через backend запрашивает сведения о пользователе через цифровой профиль. Можно вызывать любые сервисы цифрового профиля, запрашивая их через шлюз https://{bride_hostname}/blitz/bridge/dp/gw, и добавляя параметр bridge_oid с идентификатором пользователя в ЕСИА
   Примечание: для запроса данных по пользователю не обязательно каждый раз получать новые согласия. Если пользователь ранее дал согласие и не отзывал его, то сервис получения данных можно вызывать.

Примеры некоторых запросов и ответов

Пример вызова сервиса https://esia.gosuslugi.ru/digital/api/public/v1/pso/me (получение базовых данных о пользователе):

curl -X GET \
  'https://{bride_hostname}/blitz/bridge/dp/gw/pso/me?bridge_oid=1000315503' \
  -H 'Cache-Control: no-cache'
Пример ответа:
{"lastName":"ПФЛБимя","homeAddress":{"flat":"1","region":"Удмуртская Республика","frame":"1","zipCode":"427313","house":"1","fiasCode":"18-0-004-000-000-085-0000-0000-000","building":"1","area":"Вавожский Район","countryId":"RUS","addressStr":"Удмуртская республика, Вавожский район, СПК Удмуртия территория"},"trusted":true,"inn":"272127383950","oid":1000315503,"citizenship":"RUS","gender":"M","birthPlace":"Тестовое место рождения","email":"17@e.bs","birthDate":"05.03.1986","registrationAddress":{"flat":"12","region":"Москва","zipCode":"119261","house":"3А","countryId":"RUS","street":"Ломоносовский","addressStr":"г Москва, пр-кт Ломоносовский"},"snils":"020-110-113 35","firstName":"ПФЛБфамилия","middleName":"ПФЛБотчество"}

Пример вызова сервиса получение документа (например, паспорта гражданина РФ), https://esia.gosuslugi.ru/digital/api/public/v1/pso/{oid}/docs/{doc_type}:

curl -X GET \
  'https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/RF_PASSPORT?bridge_oid=1000315503' \
  -H 'Cache-Control: no-cache'

Пример ответа:

[{"type":"RF_PASSPORT","relevance":"actual","id":"15478"}]

Пример вызова сервиса получения детальной информации о документе по его идентификатору, https://esia.gosuslugi.ru/digital/api/public/v1/pso/{oid}/docs/{doc_type}/{doc_id}:

curl -X GET \
  'https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/RF_PASSPORT/15478?bridge_oid=1000315503' \
  -H 'Cache-Control: no-cache'

Пример ответа

{"lastName":"ПФЛБимя","issueDate":"19.08.2004","type":"RF_PASSPORT","issueId":"123123","number":"231231","oid":"1000315503","gender":"M","validateDateDoc":1422045143000,"birthPlace":"Тестовое место рождения","status":"verified_by_validate","series":"2131","birthDate":"05.03.1986","receiptDocDate":1422045143000,"issuedBy":"Тестовый центр выдачи","id":"15478","relevance":"actual","firstName":"ПФЛБфамилия","middleName":"ПФЛБотчество"}

Согласно документации потенциально доступны следующие типы документов для запросов:
RF_PASSPORT
VEHICLE_CERT
RF_DRIVING_LICENSE
PASSPORT_HISTORY
FRGN_PASS (если он указан как ДУЛ)
ILS_PFR
FATHERHOOD_CERT
NAME_CHANGE_CERT
DIVORCE_CERT
MARRIED_CERT
RF_BRTH_CERT
OLD_BRTH_CERT
FID_BRTH_CERT (для иностранцев)
FID_DOC (для иностранцев)
INCOME_REFERENCE

Примеры curl-запросов


Тип документа	Запрос
Общие данные учетной записи	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/me?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’
RF_PASSPORT	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/RF_PASSPORT?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’
	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/RF_PASSPORT/15478?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’
FID_DOC	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/FID_DOC?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’
RF_DRIVING_LICENSE	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/RF_DRIVING_LICENSE?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’
	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/RF_DRIVING_LICENSE/94406?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’
FRGN_PASS	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/FRGN_PASS?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’
FID_BRTH_CERT	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/FID_BRTH_CERT?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’
OLD_BRTH_CERT	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/OLD_BRTH_CERT?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’
RF_BRTH_CERT	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/RF_BRTH_CERT?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’
VEHICLE_CERT	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/VEHICLE_CERT?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’
	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/VEHICLE_CERT/65529?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’
	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/VEHICLE_CERT/65530?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’
ILS_PFR	curl -X GET \ ‘https://{bride_hostname}/blitz/bridge/dp/gw/pso/1000315503/docs/ILS_PFR?bridge_oid=1000315503’ \ -H ‘Cache-Control: no-cache’

Логи работы ESIA-Bridge записываются в директорию /var/log/esia-bridge, а в среде Windows — в esia-bridge\logs.
Журнал событий записывается в следующие файлы:

• authentication.log – журнал событий, связанных с процессом проведения аутентификации пользователя в ЕСИА. Это могут быть как ошибки, возникшие на стороне ЕСИА, так и ошибки ESIA-Bridge;
• esia-bridge.log – журнал событий, связанных с работой самого приложения ESIA-Bridge.

Примеры возможных ошибок, связанных с аутентификацией пользователя в ЕСИА.

Возникновение ошибки “General SSLEngine problem to https://esia.gosuslugi.ru/aas/oauth2/te” означает, что у ЕСИА сменился сертификат SSL. Для обновления сертификата в ESIA-Bridge необходимо обновить файл:

/usr/share/esia-bridge/conf/crt/wide_gosuslugi_ru.crt

И перезапустить ESIA-Bridge, выполнив команду:

service esia-bridge restart

При возникновении ошибок, связанных с работой самого приложения ESIA-Bridge (записываются в лог как [ERROR]), рекомендуется обратиться в техническую поддержку ESIA-Bridge. В частности, возможны следующие ошибки:

• «Private key entry can not be null» – проблема с хранилищем электронной подписи, возможно, не удалось извлечь из хранилища приватный ключ;
• «java.io.FileNotFoundException: /usr/share/esia-bridge/conf/passwords (Permission denied)» – не удалось прочитать файл с паролями, указанный настройках ESIA-Bridge.