Требования и общие методические рекомендации по взаимодействию с ЕСИАиА ПРИЛОЖЕНИЕ 31.Требования к ID подсистем ЕГИСЗ
У подсистемы ЕГИСЗ в случае регистрации в тестовых и рабочих версиях Единой системы идентификации, аутентификации и авторизации (ЕСИАиА), Подсистемы интеграции прикладных систем (Сервис ИПС) и других федеральных подсистемах ЕГИСЗ должен быть одинаковый ID. Т.е. в данных системах у подсистемы ЕГИСЗ единый ID.
В случае если подсистема ЕГИСЗ на момент отправки заявки на регистрацию или подключение в какой-либо версии ЕСИАиА уже зарегистрирована в другой версии ЕСИАиА, а также в тестовой и/или рабочей версиях Сервиса ИПС другой федеральной подсистемы ЕГИСЗ, в заявке необходимо указать ID подсистемы, указанный при регистрации в данных системах.
В случае если подсистема ЕГИСЗ на момент отправки заявки на регистрацию в какой-либо версии ЕСИАиА не зарегистрирована ни в другой версии ЕСИАиА, ни в тестовой и/или рабочей версиях Сервиса ИПС или другой федеральной подсистемы ЕГИСЗ, то ее ID будет сгенерирован разработчиками ЕСИАиА и предоставлен кураторам подсистемы ЕГИСЗ. В этом случае в XML-файле с техническими данными, прикладываемом к заявке на регистрацию подсистемы, поле с ID подсистемы нужно оставить пустым.
ВНИМАНИЕ! В случае регистрации в Сервисе ИПС или другой федеральной подсистеме ЕГИСЗ после регистрации в ЕСИАиА, необходимо указывать ID, полученный в ходе регистрации в ЕСИАиА.
ПРИЛОЖЕНИЕ 32.Требования по осуществлению Single Sign On и Single Logout
В случае активной авторизации пользователя в одной из подсистем ЕГИСЗ через ЕСИАиА авторизация данного пользователя в другой подсистеме ЕГИСЗ будет происходить автоматически, без повторного ввода пользователем идентификационных и аутентификационных данных.
В случае завершения в подсистеме ЕГИСЗ активной сессии пользователя ЕГИСЗ, авторизованного через ЕСИАиА, в ЕСИАиА от этой подсистемы ЕГИСЗ должен быть направлен запрос на завершение глобальной сессии данного пользователя в ЕСИАиА.
В случае получения подсистемой ЕГИСЗ запроса на завершение активной сессии пользователя в связи с ее завершением в ЕСИАиА данный пользователь должен быть разлогинен в подсистеме ЕГИСЗ.
ПРИЛОЖЕНИЕ 33.Общие методические рекомендации по разработке интерфейсов для интеграции с ЕСИАиА
Ниже представлены общие методические рекомендации по разработке интерфейсов для интеграции с ЕСИАиА (в тестовой версии допускается использование сертификатов с шифрованием и по SHA-1/RSA, и по ГОСТ 34.11-2001, в рабочей версии – только по ГОСТ 34.11-2001).
Интерфейсы подсистем ЕГИСЗ для интеграции с ЕСИАиА должны быть разработаны в соответствии со стандартом обмена данными об аутентификации и авторизации между защищенными доменами SAML, версии 2.01.
Запросы к ЕСИАиА от подсистемы ЕГИСЗ на идентификацию и аутентификацию пользователя должны быть подписаны с помощью закрытого ключа информационной системы с использованием следующих алгоритмов:
алгоритм c14n для каноникализации сообщения в формате XML;
алгоритмы SHA-1 и RSA для вычисления цифрового отпечатка сообщения и кода подтверждения целостности сообщения или по ГОСТ 34.11-2001.
В качестве протокола доставки должен использоваться метод связывания HTTP-redirect.
Ответы с результатами идентификации и аутентификации пользователя, сформированные ЕСИАиА, подписываются с помощью закрытого ключа ЕСИАиА и преобразуются с использованием открытого ключа информационной системы. При этом используются следующие алгоритмы:
алгоритм c14n для каноникализации сообщения в формате XML;
алгоритмы SHA-1 и RSA для вычисления цифрового отпечатка сообщения и кода подтверждения целостности сообщения или по ГОСТ 34.11-2001;
алгоритмы RSA и SHA-1 для передачи ключа преобразования сообщения на основе открытого ключа информационной системы, алгоритм AES для осуществления преобразования на переданном ключе или по ГОСТ 34.11-2001.
В качестве протокола доставки сообщения от системы ЕСИА информационной системе используется метод связывания HTTP POST.
Структура ответа Assertion от ЕСИАиА и примечания к ней приведены в приложении ПРИЛОЖЕНИЕ 52..
Пример ответа ЕСИАиА на запрос авторизации (на примере пользователя с ролью «Администратор МО») приведен в приложении ПРИЛОЖЕНИЕ 53..
Запросы к ЕСИАиА от подсистем ЕГИСЗ на завершение активной сессии пользователя должны быть подписаны с помощью закрытого ключа информационной системы с использованием следующих алгоритмов:
c14n;
SHA-1;
RSA или ГОСТ 34.11-2001.
В качестве протокола доставки должен использоваться метод связывания HTTP-redirect.
Запросы от ЕСИАиА к подсистемам ЕГИСЗ на завершение активной сессии пользователя подписываются с использованием закрытого ключа системы ЕСИАиА. При этом используются следующие алгоритмы:
c14n;
SHA-1;
RSA или ГОСТ 34.11-2001.
В качестве протокола доставки используется метод связывания HTTP-redirect.
Ответы с результатами завершения активной сессии пользователя от подсистем ЕГИСЗ к ЕСИАиА должны быть подписаны с помощью закрытого ключа информационной системы с использованием следующих алгоритмов:
c14n;
SHA-1;
RSA или ГОСТ 34.11-2001.
В качестве протокола доставки должен использоваться метод связывания HTTP-redirect.
Ответы с результатами завершения активной сессии пользователя от ЕСИАиА к подсистемам ЕГИСЗ передаются подписанными с помощью закрытого ключа ЕСИАиА с использованием следующих алгоритмов:
c14n;
SHA-1;
RSA или ГОСТ 34.11-2001.
В качестве протокола доставки используется метод связывания HTTP-redirect.
Описание спецификации протокола SAML 2.0 доступно по ссылке: https://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf.
|
