Актуальную версию документа см. на сайте Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации по адресу https://digital.gov.ru/ru/documents/6186/.
"Методические рекомендации по использованию Единой системы идентификации и аутентификации. Версия 2.84" (приложение 17 к протоколу заседания Подкомиссии по использованию информационных технологий при предоставлении государственных и муниципальных...

1. Получение специального маркера доступа для взаимодействия с биометрической системой

Информационная система реализует аутентификацию клиента и получение специального маркера доступа для взаимодействия с биометрической системой, разрешающего клиенту биометрическую верификацию в биометрической системе.

Для этого информационная система реализует взаимодействие с сервисом авторизации и получения маркера доступа ЕСИА, согласно Приложению В.2 "Модель контроля на основе делегированного принятия решения" данного документа.

В запросе на авторизацию ИС должна указать scope "openid" и специальный scope Единой биометрической системы - "bio", подробнее о котором указано в актуальных методических рекомендациях Единой биометрической системы.

Пользователь авторизуется в ЕСИА по логину и паролю и дает согласие на проведение усиленной аутентификации с использованием его биометрических данных в биометрической системе (в случаях, если согласие пользователя из данной информационной системы еще не получено).

В результате завершения этапа ИС получит специальный маркер доступа (access_token), обладающий следующими отличиями от стандартного маркера доступа ЕСИА:

- Короткое время жизни (TTL);

- Наличие в составе маркера доступа URL REST-сервиса ЕСИА для передачи расширенного результата биометрической верификации из ЕБС (параметр ext_vrf_url).

В данном случае ИС не получает маркер обновления (refresh_token), то есть для каждого случая усиленной аутентификации ИС необходимо запрашивать маркер доступа заново.

Пример полученного расширенного маркера идентификации в ЕСИА:

{

"access_token":"eyJ2ZXIiOjEsInR5cCI6IkpXVCIsInNidCI6ImFjY2VzcyIsImFsZyI6IlJTMjU2In0.eyJuYmYiOjE1MjgyMTI

4NTUsInNjb3BlIjoib3BlbmlkIGJpbyIsImV4dF92cmZfdXJsIjoiaHR0cHM6XC9cL2VzaWEtZGV2LnRlc3QuZ29zdXNsdWdpLnJ1XC

9lc2lhLXJzXC9hcGlcL3B1YmxpY1wvdjFcL2V4dFwvdnJmXC9yZXN1bHQiLCJpc3MiOiJodHRwOlwvXC9lc2lhLmdvc3VzbHVnaS5yd

VwvIiwidXJuOmVzaWE6c2lkIjoiMDI4Zjk0NWI5MjEwN2ZiMjc5MTE4YTM1OGM2M2ZiNDRhMzdjOGZiOTAyMjA1OGQxZjlhMjdiNjIz

MDg5ZjQ3YSIsInVybjplc2lhOnNial9pZCI6MTAwMDI5OTI4MiwiZXhwIjoxNTI4MjEzNDU1LCJpYXQiOjE1MjgyMTI4NTUsImNsaWV

udF9pZCI6IlRFU1RfU1lTIn0.FqmQrXLPQBAP8Sl8u6l2XyjtGWK3uNRA8IU7hH6nNHCSVffijYtFqmHOv4can_zXrzEKqG6Y_E21I1

6XcRuG_YoTnpBlBnH3FcCL9MqoiYQNETNC5AysumpTkmMXYPQqmJ4oPOVNyqJYye8TUtQmy9bI4Z3duvwZ3z11PZSlGZH9eETrWoRUq

yb316t4kKku9p6oM4gAgdu1_5gLeq3HcIPZV8XTQc625AOXg6qJPI52CchIRXJV-

MMZytX2ezKCs3OCyllXzq9mgk9OEfgdT7oHGQCDOLWjfhNm232yRikmhl-

u7M4QyCi0eChelQXFtjx38iaDDUgstHwMQsK7UQ","id_token":"eyJ2ZXIiOjAsInR5cCI6IkpXVCIsInNidCI6ImlkIiwiYWxnIj

oiUlMyNTYifQ.eyJhdWQiOiJURVNUX1NZUyIsInN1YiI6MTAwMDI5OTI4MiwibmJmIjoxNTI4MjEyODU1LCJhbXIiOiJQV0QiLCJ1cm

46ZXNpYTphbWQiOiJQV0QiLCJhdXRoX3RpbWUiOjE1MjgyMTI2OTQsImlzcyI6Imh0dHA6XC9cL2VzaWEuZ29zdXNsdWdpLnJ1XC8iL

CJ1cm46ZXNpYTpzaWQiOiIwMjhmOTQ1YjkyMTA3ZmIyNzkxMThhMzU4YzYzZmI0NGEzN2M4ZmI5MDIyMDU4ZDFmOWEyN2I2MjMwODlm

NDdhIiwidXJuOmVzaWE6c2JqIjp7InVybjplc2lhOnNiajp0eXAiOiJQIiwidXJuOmVzaWE6c2JqOmlzX3RydSI6dHJ1ZSwidXJuOmV

zaWE6c2JqOm9pZCI6MTAwMDI5OTI4MiwidXJuOmVzaWE6c2JqOm5hbSI6Ik9JRC4xMDAwMjk5MjgyIn0sImV4cCI6MTUyODIyMzY1NS

wiaWF0IjoxNTI4MjEyODU1fQ.P-5adtNRIECAgrJ7SCbXN6hHXxSAaP2olryXlHswvye_jyObow-

7SBN28ez1SG3C3Gxt8dZOq3JrKVa92Fr2PVNc9ACNnqHJDEY_4sSVTCKUjiTTXTW4nJNYmTTrczoAwuqir7PvNRYUtZuFAE8CwFrAl_

PPKExT0XaAP4Fc5BL_XOUPEw7XVYEjasBXzhoEMO0cVoGpztolATyxqYhkiR9AgXtd_sjye4svl5vEBxpGJOm8qSO_eM_orfC2_REyF

0XQtbblFW4qLe9zsko6vtm1QDW28Un101pXwAVhJN1oO0lATiT0uYWq0gxrt2U2B9kZPCak8nbgJizZx4NtNg",

"state":"21335561-1ee3-f501-79b3-bb10c06fd0f3",

"token_type":"Bearer",

"expires_in":600

}

Пример состава расширенного маркера доступа (PAYLOAD-часть):

{

"nbf": 1528212764,

"scope": "openid bio",

"ext_vrf_url": "https://esia-portal1.test.gosuslugi.ru/esia-rs/api/public/v1/ext/vrf/result",

"iss": "http://esia.gosuslugi.ru/",

"urn:esia:sid": "028f945b92107fb279118a358c63fb44a37c8fb9022058d1f9a27b623089f47a",

"urn:esia:sbj_id": 1000299282,

"exp": 1528213364,

"iat": 1528212764,

"client_id": "TEST_SYS"

}

В.8 Удаленная идентификация с использованием биометрической идентификации 2. Завершение удаленной идентификации пользователя, получение пользовательского маркера доступа