В.6.2.2 Проверка наличия аутентификации в фоновом режиме

Механизм бесшовной аутентификации предназначен для проведения автоматической аутентификации пользователя в ЕСИА при переходе в web-браузере на страницу информационной системы, интегрированной с сервисом авторизации ЕСИА (OAuth2.0). Данный механизм, основанный на OpenID Connect 1.0, использует функцию фоновой проверки наличия у пользователя авторизационной сессии в ЕСИА.

Для обеспечения сквозной (без явных действий пользовтеля) аутентификации и авторизации в ЕСИА реализован механизм, предоставляющий внешним ИС-потребителям интерфейс и функции прямой передачи сессии пользователя ЕСИА по технологии SSO.

Работоспособность механизма бесшовной аутентификации поддерживается в следующих браузерах согласно разделу 1.3 "Поддерживаемые браузеры" документации МР ЕСИА версии 2.54:

- Google Chrome;

- Yandex Browser;

- Mozilla FireFox;

- Opera;

- Internet Explorer.

Функция фоновой проверки доступна к использованию отдельно от механизма бесшовной аутентификации, но при наличии разрешения у ИС-потребителя на использование механизма бесшовной аутентификации (см. ниже подраздел "Предоставление доступа к функциям механизма бесшовной аутентификации").

На странице авторизации ЕСИА разработан JS-плагин, точкой входа для которого является ссылка на сервис/ас (ЕСИА) с входными параметрами, передаваемыми JS-плагину внешней ИС.

JS-плагин реализован на основе функциональности проверки наличия аутентификации в фоновом режиме и имеет интерфейс в виде метода check(), предназначенный для передачи внешними ИС-потребителями параметров авторизации, используемых данным JS-плагином для проверки наличия аутентификации пользователя в ЕСИА:

- <client_id> - идентификатор системы-клиента (мнемоника системы в ЕСИА, указанная прописными буквами);

- <client_secret> - подпись запроса в формате PKCS#7 detached signature в кодировке UTF-8 от значений следующих параметров HTTP-запроса: scope, timestamp, client_id, state (без разделителей). <client_secret> должен быть закодирован в формате base64 url safe. Используемый для проверки подписи сертификат должен быть предварительно зарегистрирован в ЕСИА и привязан к учетной записи системы-клиента в ЕСИА;

- <redirect_uri> - ссылка, по которой должен быть направлен пользователь после того, как даст разрешение на проведение аутентификации;

- <scope> - область доступа, т.е. запрашиваемые права; для проведения аутентификации пользователя scope должен иметь значение openid. Если системе потребуется получение дополнительных данных о пользователе (например, детальная информация о пользователе), то могут быть указаны дополнительные scope через пробел;

- <response_type> - это тип ответа, который ожидается от ЕСИА, имеет значение code, поскольку система-клиент должна получить авторизационный код;

- <state> - набор случайных символов, имеющий вид 128-битного идентификатора запроса (необходимо для защиты от перехвата), генерируется по стандарту UUID;

- <timestamp> - время запроса авторизационного кода в формате yyyy.MM.dd HH:mm:ss Z

- <prompt>=<none> - возможность фоновой проверки информационной системой, интегрированной с ЕСИА, наличия у пользователя сессии в ЕСИА.

Если в ходе аутентификации не возникло ошибок, то ЕСИА осуществляет перенаправление пользователя по ссылке, указанной в параметре запроса на аутентификацию redirect_uri, а также возвращает два обязательных параметра:

- <code> - значение авторизационного кода;

- <state> - значение параметра state, который был получен в запросе на аутентификацию; система-клиент должна провести сравнение отправленного и полученного параметра state.

Пример запроса:

В зависимости от наличия в ЕСИА авторизационной сессии пользователя и выданных им разрешений внешней ИС результатом обработки ЕСИА такого запроса может быть один из следующих вариантов:

- при отсутствии активной сессии пользователя будет возвращен ответ с сообщением о необходимости авторизации пользователя в ЕСИА;

Пример ответа с описанием его атрибутов:

error_description - номер (ESIA-007017) с мнемоникой ошибки (OAuthErrorEnum.loginRequired);

state - значение параметра state, который был получен в запросе на аутентификацию; система-клиент должна провести сравнение отправленного и полученного параметра state (d1802583-8733-337a-8058-60991fe8d715);

error - наименование ошибки (login_required, означает - пользователь не имеет активной сессии).

- при обнаружении активной сессии пользователя, но отсутствии выданных для данной ИС разрешений пользователя, будет возвращен ответ с сообщением о необходимости запроса разрешений пользователя на доступ к его данным в ЕСИА;

Пример ответа с описанием его атрибутов:

error_description - номер (ESIA-007018) с мнемоникой ошибки (OAuthErrorEnum.interactionRequired);

state - значение параметра state, который был получен в запросе на аутентификацию; система-клиент должна провести сравнение отправленного и полученного параметра state (efa12233-ft83-267a-5s58-29041fe8d715);

error - наименование ошибки (interaction_required, означает - отсутствие у пользователя выданных разрешений для ИС).

- при обнаружении активной сессии и выданных разрешений пользователя для данной ИС будет возвращен авторизационный код, предназначенный для дальнейшего обмена ИС-потребителем на маркер идентификации или маркер доступа.