Опыт интеграции личного кабинета с ЕСИА для сайта администрации

Единая система идентификации и авторизации (ЕСИА) образовалась в 2010 г. и с самого начала её использовали только для авторизации на «Госуслугах». За все прошедшие годы список возможностей системы расширялся, сейчас государственные и коммерческие организации могут использовать её для сопоставления учётной записи пользователя на сайте с реальной личностью.

ЕСИА — представляет собой базу данных жителей РФ, которые зарегистрированы на портале Госуслуг. На данный момент это самый достоверный способ установить личность зарегистрированного на онлайн-ресурсе пользователя.

Если компании или государственной организации требуется убедиться, что пользователь их сайта на самом деле тот, за которого он себя выдает, то ЕСИА выполняет такую функцию. Отметим, что данная идентификация пользователя имеет юридическую значимость в РФ.

На текущий момент подключить систему к ЕСИА может любая государственная организация, а также отдельные виды коммерческих организаций: страховые компании, кредитные организации (банки), профессиональные участники рынка ценных бумаг, негосударственные пенсионные фонды, микрофинансовые и микрокредитные организации, операторы связи. Список организаций продолжает пополняться и можно сделать предположение, что такой вид авторизации станет стандартным для многих сервисов.

С чего всё начиналось

Среди наших заказчиков — органы государственной власти. Один из крупных проектов — это сайт администрации города Смоленска. В 2019 году в WebCanape обратились их представители с просьбой разработать сервис на сайте для приема обращений граждан. Он нужен для того, чтобы все горожане получили возможность подать заявку, жалобу, предложение по благоустройству города или решить вопросы по работе коммунальных служб. Также жители города смогут отследить статус запроса — этапы обработки и исполнение.

Мы не первый раз работали с администрацией нашего города, поэтому знали их требования к защите информации пользователей. ЕСИА — самый надёжный способ подтверждения личности. Поэтому мы поставили вопрос необходимости использования интеграции личного кабинета с ЕСИА на самом начальном этапе согласования проекта. IT-департамент Смоленска нас поддержал в этом решении — другие способы регистрации в личном кабинете не защищают от фейков и возможных DDoS-атак.

Подготовка к разработке

Потребовалось около месяца, чтобы подключить к ЕСИА личный кабинет: была сделана регистрация аккаунта организации на технологическом портале ЕСИА, с последующей выдачей доступа сотруднику этой организации, получены данные от Минцифры, выполнены работы по интеграции информационных систем.

В итоге функционал «Личного кабинета» заработал в полном объёме lk.smoladmin.ru.

В ходе реализации проекта специалисты WebCanape оказали IT-департаменту города Смоленска помощь в заполнении заявки на регистрацию информационной системы ЕСИА с выбором технологии подключения, набором «scope» (данных, которые мы можем получить из личного кабинета пользователя в ЕСИА). Вся процедура подключения и тестирования проводится с помощью технологического портала. Именно в нем мы оформили заявку, подключили сертификаты к информационной системе, обновили электронную подпись (ЭП) для взаимодействия сайта и ЕСИА.

После завершения регистрации, доступ осуществляется с помощью квалифицированной ЭП одного из сотрудников компании, а информационная система получила мнемонический буквенно-цифровой код.

Аутентификация пользователей в единой системе идентификации осуществляется по протоколам OAuth 2.0 и OpenID Connect 1.0. Для работы модуля аутентификации мы научились генерировать закрытые ключи и сертификаты открытых ключей, регистрировать их на организацию-заказчика.

Этапы реализации проекта

После регистрации и согласования технического задания, мы приступили к реализации модуля авторизации через ЕСИА в личном кабинете. К сожалению, не обошлось без сложностей. В ходе работы выяснилось, что на web-сервере администрации установлена ОС Windows, а это автоматически усложняет процесс внедрения нового стандарта ГОСТ 2012 по криптозащите. Нас это не остановило, и совместно со специалистами IT-департамента удалось реализовать функционал криптозащиты и подключения.

Если вы планируете заняться разработкой похожего проекта, то рекомендуем ОС Unix для web-сервера — это сэкономит ваше время и деньги заказчика.

В настоящее время проект успешно работает: lk.smoladmin.ru

Через сервис проходит от 20 до 30 заявлений в неделю в городе с населением 340 000 жителей. Сократился поток «фейковых» обращений не конструктивного характера. Посетители сайта стали более взвешенно и ответственно относится к тому, что пишут в адрес администрации города.

В результате появилась возможность автоматического заполнения персональных данных автора обращения:

• ФИО;
• номер телефона;
• почтовый адрес;
• паспортные данные;
• номер полиса медицинского страхования;
• ИНН;
• личные данные малолетних детей;
• информация об автомобиле и других транспортных средствах.

У организаций, которые зарегистрированы в ЕСИА, список состоит из типовых реквизитов:

• наименование компании;
• юридический адрес;
• ОГРН;
• код ОКПО.

При этом администрация будет уверена, что эти данные достоверны, а пользователю будет удобно работать с сервисом — больше не потребуется придумывать и запоминать разные пароли, достаточно на главной странице сайта нажать знакомую кнопку и всё. Стоит отметить, что государственные органы могут получить всю информацию с разрешения владельца учетной записи. Для коммерческих организаций доступ ограничен. Они смогут увидеть данные о подтвержденности аккаунта, ФИО пользователей и часть паспортных данных.

Внедрением сервиса решено несколько проблем:

1. Сократилось количество безответственных обращений.
2. Упростилась работа с заявками для сотрудников администрации города, за счёт интеграции личного кабинета с внутренней системой ЭДО.
3. Были сэкономлены ресурсы на отправку документов через Почту России, её заменили электронным документооборотом через e-mail.

Отзыв от администрации города Смоленска:

«У нас только положительные впечатления на счет новой системы авторизации. Ошибки возникают редко и их оперативно решают сотрудники технической поддержки WebCanape. Мы довольны, что наша задумка была качественно реализована.»

На что стоит обратить внимание

Если вы планируете внедрять такое решение, учтите, что зарегистрировать организацию в ЕСИА могут только представители, которые имеют право подписи документов от организации и для этого им не требуется доверенность. Таким человеком может быть, например, директор. Ему надо будет подтвердить свою учетную запись в ЕСИА — указать свои данные и обратиться в банк или МФЦ для верификации. Многие банки позволяют сделать это онлайн.

Сегодня для регистрации организации в системе мы рекомендуем нашим клиентам:

1. Получить квалифицированную электронную подпись (КЭП) на руководителя организации или ее подразделения.
2. Выполнить регистрацию организации в профиле ЕСИА.

Это надёжный способ авторизации для клиентов любой государственной организации. Отдельные учётные записи, которых может быть много, заменяет единственный аккаунт в «Госуслугах», который позволит использовать любые услуги на разных ресурсах. Задуматься об интеграции с ЕСИА в ближайшей перспективе мы рекомендуем всем компаниям, связанным со страхованием и банковским делом.

Под редакцией Яны Кузнецовой