Методические материалы листов История версий №

Скачать 0.66 Mb.

Название	Методические материалы листов История версий №
страница	7/19
Тип	Документы

1 2 3 4 5 6 7 8 9 10 ... 19

ПРИЛОЖЕНИЕ 34.Порядок взаимодействия с ЕСИАиА

Процедура формирования запроса к ЕСИАиА

Структура запроса:

http://esiaia-test.rosminzdrav.ru/SAML_SSO/?SAMLRequest=REQ&SigAlg=SIGN_ALG&RelayState=RS&Signature=SIGN

Метод отправки: GET HTTP-REDIRECT.

Описание блоков запроса

Алгоритм подписи запроса (значение параметра SigAlg)

Алгоритм подписи запроса зависит от типа используемого сертификата:

для RSA – http://www.w3.org/2000/09/xmldsig#rsa-sha1,

для ГОСТ – http://www.w3.org/2001/04/xmldsig-more#gostr34102001-gostr3411.

Для формирования блока необходимо взять Urlencode от значения. В результате получится http%3A%2F%2Fwww.w3.org%2F2000%2F09%2Fxmldsig%23rsa-sha1 или http%3A%2F%2Fwww.w3.org%2F2001%2F04%2Fxmldsig-more%23gostr34102001-gostr3411.

Вместо SIGN_ALG структуры запроса нужно вставить одно из перечисленных выше значений.

Тело запроса (значение SAMLRequest)

Порядок формирования тела запроса:

Для формирования блока необходимо создать сообщение следующего формата:

xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"

AssertionConsumerServiceURL="адрес вашей точки обработчика ответа"

Destination="https://esiaia-test.rosminzdrav.ru/SAML_SSO"

ForceAuthn="false"

ID="идентификатор сообщения"

IsPassive="false"

IssueInstant="время создания сообщения. формат - 2014-01-31T12:58:42Z"

ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"

Version="2.0">

ваш идентификатор EntityId

Сжать по gzip (deflate).
Закодировать в base64.
Urlencode.

Вместо REQ структуры запроса нужно вставить результат, полученный после 4-ого пункта данного раздела.

Параметр обратного вызова (значение RelayState)

Данный параметр не является обязательным и может служить для обратного сопоставления запроса и полученного ответа. Значение параметра произвольное, но разумной длины, рекомендуется использовать UID. Если этот параметр был использован в запросе к ЕСИАиА, то он также будет включен в ответ в неизменном виде.

Вместо RS структуры запроса нужно вставить значение, закодированное по Urlencode.

Подпись запроса (значение Signature)

Порядок подписи запроса:

Взять часть строки из структуры.
Формат строки для подписи: SAMLRequest=REQ&SigAlg= SIGN_ALG.
Подписать строку с помощью своего сертификата и указанного ранее алгоритма.
Подпись должна быть закодирована по Base64, а затем Urlencode.
Вместо SIGN структуры запроса нужно вставить подпись.

Пример подписи запроса на алгоритме ГОСТ Р 34.10-2001 на C# с помощью КриптоПро API приведен в приложении ПРИЛОЖЕНИЕ 53..

Процедура получения ответа²

Порядок получения ответа:

ИС формирует запрос (см. п. ).

ПРИЛОЖЕНИЕ 35.Отправка по HTTP-Redirect запроса на обработчику в ЕСИАиА. Точка доступа указана в метаданных ЕСИАиА, предоставляемых после выполнения заявки на регистрацию ИС. Для тестовой среды это https://esiaia-test.rosminzdrav.ru/SAML_SSO.

ПРИЛОЖЕНИЕ 36.Авторизация пользователя. Варианты авторизации:

по имеющейся сессии (пользователь ничего не вводит),
локальная авторизация через ЕСИАиА (если ЕСИА не доступна или установлена cookie «esia_not_available=1» на домен),
авторизация через ФГИС ЕСИА. В этом случае ЕСИАиА формирует подобный HTTP-Redirect запрос в ЕСИА (http://www.gosuslugi.ru/). В среде ЕСИА пользователь вводит данные в форме ввода СНИЛС / пароль или использует ЭП для входа. Ответ по HTTP-POST приходит в ЕСИАиА.

ПРИЛОЖЕНИЕ 37.ЕСИАиА формирует ответ для ИС.

ПРИЛОЖЕНИЕ 38.Ответ по HTTP-POST приходит в ИС на адрес, который был указан в метаданных в AssertionConsumerService при регистрации ИС.

ПРИЛОЖЕНИЕ 39.Расшифровка ответа в ИС (см. п. ).

Расшифровка ответа от ЕСИАиА.

Блок ds:signature нужен, чтобы убедиться в целостности данных. Данные подписаны открытым ключом ЕСИАиА, который указан в метаданных ЕСИАиА.

В блоке saml2:encryptedassertion содержатся сами данные в зашифрованном виде.

Данные пользователя и сессия находятся в зашифрованном блоке (далее ENC_DATA):

encryptedassertion -> encrypteddata -> cipherdata -> ciphervalue

Ключ от зашифрованных данных находится в блоке (сам ключ тоже зашифрован) (далее ENC_KEY):

encryptedassertion -> encrypteddata -> keyinfo -> encryptedkey -> cipherdata -> ciphervalue

Порядок расшифровки ответа:

Расшифровка ключа ENC_KEY закрытым ключом ИС, открытый ключ которого был указан при регистрации в ЕСИАиА. Открытый ключ также будет указан в блоке:

encryptedassertion -> encrypteddata -> keyinfo -> encryptedkey x509data –> x509certificate

ПРИЛОЖЕНИЕ 40.В результате выполнения п.1 будет получен симметричный ключ (далее – KEY).

ПРИЛОЖЕНИЕ 41.Полученным ключом KEY необходимо расшифровать данные ENC_DATA.

ПРИЛОЖЕНИЕ 42.Алгоритмы шифрования размещены в блоках: .