В случае если подсистема ЕГИСЗ на момент отправки заявки на регистрацию или подключение в какой-либо версии ЕСИАиА уже зарегистрирована в другой версии ЕСИАиА, а также в тестовой и/или рабочей версиях Сервиса ИПС другой федеральной подсистемы ЕГИСЗ, в заявке необходимо указать ID подсистемы, указанный при регистрации в данных системах.
В случае если подсистема ЕГИСЗ на момент отправки заявки на регистрацию в какой-либо версии ЕСИАиА не зарегистрирована ни в другой версии ЕСИАиА, ни в тестовой и/или рабочей версиях Сервиса ИПС или другой федеральной подсистемы ЕГИСЗ, то ее ID будет сгенерирован разработчиками ЕСИАиА и предоставлен кураторам подсистемы ЕГИСЗ. В этом случае в XML-файле с техническими данными, прикладываемом к заявке на регистрацию подсистемы, поле с ID подсистемы нужно оставить пустым.
ВНИМАНИЕ! В случае регистрации в Сервисе ИПС или другой федеральной подсистеме ЕГИСЗ после регистрации в ЕСИАиА, необходимо указывать ID, полученный в ходе регистрации в ЕСИАиА.
Требования по осуществлению Single Sign On и Single LogoutВ случае активной авторизации пользователя в одной из подсистем ЕГИСЗ через ЕСИАиА авторизация данного пользователя в другой подсистеме ЕГИСЗ будет происходить автоматически, без повторного ввода пользователем идентификационных и аутентификационных данных.
В случае завершения в подсистеме ЕГИСЗ активной сессии пользователя ЕГИСЗ, авторизованного через ЕСИАиА, в ЕСИАиА от этой подсистемы ЕГИСЗ должен быть направлен запрос на завершение глобальной сессии данного пользователя в ЕСИАиА.
В случае получения подсистемой ЕГИСЗ запроса на завершение активной сессии пользователя в связи с ее завершением в ЕСИАиА данный пользователь должен быть разлогинен в подсистеме ЕГИСЗ.
Общие методические рекомендации по разработке интерфейсов для интеграции с ЕСИАиАНиже представлены общие методические рекомендации по разработке интерфейсов для интеграции с ЕСИАиА (в тестовой версии допускается использование сертификатов с шифрованием и по SHA-1/RSA, и по ГОСТ 34.11-2001, в рабочей версии – только по ГОСТ 34.11-2001).
Интерфейсы подсистем ЕГИСЗ для интеграции с ЕСИАиА должны быть разработаны в соответствии со стандартом обмена данными об аутентификации и авторизации между защищенными доменами SAML, версии 2.01. Запросы к ЕСИАиА от подсистемы ЕГИСЗ на идентификацию и аутентификацию пользователя должны быть подписаны с помощью закрытого ключа информационной системы с использованием следующих алгоритмов: алгоритм c14n для каноникализации сообщения в формате XML; алгоритмы SHA-1 и RSA для вычисления цифрового отпечатка сообщения и кода подтверждения целостности сообщения или по ГОСТ 34.11-2001.В качестве протокола доставки должен использоваться метод связывания HTTP-redirect.
Ответы с результатами идентификации и аутентификации пользователя, сформированные ЕСИАиА, подписываются с помощью закрытого ключа ЕСИАиА и преобразуются с использованием открытого ключа информационной системы. При этом используются следующие алгоритмы: алгоритм c14n для каноникализации сообщения в формате XML; алгоритмы SHA-1 и RSA для вычисления цифрового отпечатка сообщения и кода подтверждения целостности сообщения или по ГОСТ 34.11-2001; алгоритмы RSA и SHA-1 для передачи ключа преобразования сообщения на основе открытого ключа информационной системы, алгоритм AES для осуществления преобразования на переданном ключе или по ГОСТ 34.11-2001.В качестве протокола доставки сообщения от системы ЕСИА информационной системе используется метод связывания HTTP POST.
Структура ответа Assertion от ЕСИАиА и примечания к ней приведены в приложении.
Пример ответа ЕСИАиА на запрос авторизации (на примере пользователя с ролью «Администратор МО») приведен в приложении.
Запросы к ЕСИАиА от подсистем ЕГИСЗ на завершение активной сессии пользователя должны быть подписаны с помощью закрытого ключа информационной системы с использованием следующих алгоритмов: c14n; SHA-1; RSA или ГОСТ 34.11-2001.В качестве протокола доставки должен использоваться метод связывания HTTP-redirect.
Запросы от ЕСИАиА к подсистемам ЕГИСЗ на завершение активной сессии пользователя подписываются с использованием закрытого ключа системы ЕСИАиА. При этом используются следующие алгоритмы: c14n; SHA-1; RSA или ГОСТ 34.11-2001.В качестве протокола доставки используется метод связывания HTTP-redirect.
Ответы с результатами завершения активной сессии пользователя от подсистем ЕГИСЗ к ЕСИАиА должны быть подписаны с помощью закрытого ключа информационной системы с использованием следующих алгоритмов: c14n; SHA-1; RSA или ГОСТ 34.11-2001.В качестве протокола доставки должен использоваться метод связывания HTTP-redirect.
Ответы с результатами завершения активной сессии пользователя от ЕСИАиА к подсистемам ЕГИСЗ передаются подписанными с помощью закрытого ключа ЕСИАиА с использованием следующих алгоритмов: c14n; SHA-1; RSA или ГОСТ 34.11-2001.В качестве протокола доставки используется метод связывания HTTP-redirect.
Описание спецификации протокола SAML 2.0 доступно по ссылке: https://www. oasis-open. org/committees/download. php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf.
Структура запроса:
http://esiaia-test. rosminzdrav. ru/SAML_SSO/?SAMLRequest=REQ&SigAlg=SIGN_ALG&RelayState=RS&Signature=SIGN
Метод отправки: GET HTTP-REDIRECT.
Описание блоков запроса Алгоритм подписи запроса (значение параметра SigAlg)Алгоритм подписи запроса зависит от типа используемого сертификата:
для RSA – http://www. w3.org/2000/09/xmldsig#rsa-sha1, для ГОСТ – http://www. w3.org/2001/04/xmldsig-more#gostr34102001-gostr3411.Для формирования блока необходимо взять Urlencode от значения. В результате получится http%3A%2F%2Fwww. w3.org%2F2000%2F09%2Fxmldsig%23rsa-sha1 или http%3A%2F%2Fwww. w3.org%2F2001%2F04%2Fxmldsig-more%23gostr34102001-gostr3411.
Вместо SIGN_ALG структуры запроса нужно вставить одно из перечисленных выше значений.
Тело запроса (значение SAMLRequest)Порядок формирования тела запроса:
Для формирования блока необходимо создать сообщение следующего формата:<saml2p:AuthnRequest
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
AssertionConsumerServiceURL="адрес вашей точки обработчика ответа"
Destination="https://esiaia-test. rosminzdrav. ru/SAML_SSO"
ForceAuthn="false"
ID="идентификатор сообщения"
IsPassive="false"
IssueInstant="время создания сообщения. формат - 2014-01-31T12:58:42Z"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Version="2.0">
<saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">ваш идентификатор EntityId</saml2:Issuer>
</saml2p:AuthnRequest>
Сжать по gzip (deflate). Закодировать в base64. Urlencode.Вместо REQ структуры запроса нужно вставить результат, полученный после 4-ого пункта данного раздела.
Параметр обратного вызова (значение RelayState)Данный параметр не является обязательным и может служить для обратного сопоставления запроса и полученного ответа. Значение параметра произвольное, но разумной длины, рекомендуется использовать UID. Если этот параметр был использован в запросе к ЕСИАиА, то он также будет включен в ответ в неизменном виде.
Вместо RS структуры запроса нужно вставить значение, закодированное по Urlencode.
Подпись запроса (значение Signature)Порядок подписи запроса:
Взять часть строки из структуры. Формат строки для подписи: SAMLRequest=REQ&SigAlg= SIGN_ALG. Подписать строку с помощью своего сертификата и указанного ранее алгоритма. Подпись должна быть закодирована по Base64, а затем Urlencode. Вместо SIGN структуры запроса нужно вставить подпись.Пример подписи запроса на алгоритме ГОСТ Р 34.10-2001 на C# с помощью КриптоПро API приведен в приложении.
Процедура получения ответа2Порядок получения ответа:
ИС формирует запрос (см. п. 4.4.1). Отправка по HTTP-Redirect запроса на обработчику в ЕСИАиА. Точка доступа указана в метаданных ЕСИАиА, предоставляемых после выполнения заявки на регистрацию ИС. Для тестовой среды это https://esiaia-test. rosminzdrav. ru/SAML_SSO. Авторизация пользователя. Варианты авторизации: по имеющейся сессии (пользователь ничего не вводит), локальная авторизация через ЕСИАиА (если ЕСИА не доступна или установлена cookie «esia_not_available=1» на домен), авторизация через ФГИС ЕСИА. В этом случае ЕСИАиА формирует подобный HTTP-Redirect запрос в ЕСИА (http://www. gosuslugi. ru/). В среде ЕСИА пользователь вводит данные в форме ввода СНИЛС / пароль или использует ЭП для входа. Ответ по HTTP-POST приходит в ЕСИАиА. ЕСИАиА формирует ответ для ИС. Ответ по HTTP-POST приходит в ИС на адрес, который был указан в метаданных в AssertionConsumerService при регистрации ИС. Расшифровка ответа в ИС (см. п. 4.4.3). Расшифровка ответа от ЕСИАиА.Блок ds:signature нужен, чтобы убедиться в целостности данных. Данные подписаны открытым ключом ЕСИАиА, который указан в метаданных ЕСИАиА.
В блоке saml2:encryptedassertion содержатся сами данные в зашифрованном виде.
Данные пользователя и сессия находятся в зашифрованном блоке (далее ENC_DATA):
encryptedassertion -> encrypteddata -> cipherdata -> ciphervalue
Ключ от зашифрованных данных находится в блоке (сам ключ тоже зашифрован) (далее ENC_KEY):
encryptedassertion -> encrypteddata -> keyinfo -> encryptedkey -> cipherdata -> ciphervalue
Порядок расшифровки ответа:
Расшифровка ключа ENC_KEY закрытым ключом ИС, открытый ключ которого был указан при регистрации в ЕСИАиА. Открытый ключ также будет указан в блоке:encryptedassertion -> encrypteddata -> keyinfo -> encryptedkey x509data –> x509certificate
В результате выполнения п.1 будет получен симметричный ключ (далее – KEY). Полученным ключом KEY необходимо расшифровать данные ENC_DATA. Алгоритмы шифрования размещены в блоках: <xenc:encryptionmethod algorithm="">. Описание ролейВ Системе предусмотрены следующие роли:
роль «Администратор ЕСИАиА+Сервиса ИПС федерального уровня»; роль «Администратор ЕСИАиА+Сервиса ИПС регионального уровня»; роль «Администратор ИС»; роль «Сотрудник ОУЗ субъекта РФ»; Роль «Сотрудник технической поддержки подсистемы ЕГИСЗ»; роль «Медперсонал»; роль «Пользователь особого типа»; роль «Пользователь по умолчанию».Подсистемы ЕГИСЗ делятся на три уровня: федеральный, региональный и уровень МО. При этом федеральная подсистема ЕГИСЗ «Реестр НСИ» по умолчанию доступна в ЕСИАиА для всех пользователей.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 |
