Как провести интеграцию с ЕСИА

Учетные записи пользователей на Госуслугах могут быть использованы для регистрации или авторизации в других информационных системах (ИС). Первый шаг для этого — подключение к ЕСИА. Второй — добавление на свой сайт, сервис и т.д. программного модуля, который обеспечит вход через эту систему. Механизм удобен, безопасен и не требует других идентификационных средств. 

В чем разница между ЕСИА и Госуслугами

Рядовые пользователи воспринимают Госуслуги и систему идентификации как единую среду. Это связано с тем, что ЕСИА разработана именно для Госуслуг, в ней хранятся учетные записи пользователей, и она обеспечивает авторизацию на портале. Еще один момент — визуальная составляющая. Вход в ЕСИА и на портал выполнены в едином дизайне, и везде внедрен один и тот же авторизационный модуль. 

Любой сайт или сервис, где реализован вход через ЕСИА, использует точно такой же механизм авторизации, как и Госуслуги. Но ни сайты, ни госпортал авторизационные данные не хранят. При подключении ИС к единой системе идентификации интеграция с Госуслугами не происходит — ИС будет взаимодействовать только с ЕСИА.  

Что дает интеграция с единой идентификационной системой

Подключение позволяет использовать сведения и алгоритмы ЕСИА для:

• проверки и подтверждения личности (идентификация);
• установления прав на доступ к личному кабинету (аутентификация);
• присвоения пользователю конкретных прав (авторизация). 

Все эти функции взаимосвязаны и, как правило, работают комплексно. Пользователи получают удобный, безопасный и для многих уже привычный механизм удостоверения личности и авторизации. Бизнес экономит ресурсы на создание собственной системы идентификации, получает доступ к цифровым госсервисам, автоматизирует взаимодействие с пользователями на уровне получения ими доступа к продуктам компании. 

Отдельные преимущества интеграции:

1. Защищенная работа с пользовательскими данными.
2. Отсеивание фейковых аккаунтов.
3. Использование данных ЕСИА для автоматического заполнения анкет, заявок и т.п.
4. Доступ к новым возможностям, которые дает взаимодействие с госсистемами в едином контуре. Например, расширение спектра дистанционных услуг за счет подключения к ЕБС и использования биометрии. Юридически идентификация по биометрическим данным приравнивается к удостоверению личности по паспорту.  

У бизнеса нет обязанности интегрировать свои системы с ЕСИА. Это вопрос необходимости и обоснованности. Подключаться должны государственные организации и учреждения — на их сайтах авторизация через ЕСИА обязательна.  

Подготовка к подключению

На подготовительном этапе необходимо изучить актуальный регламент, определить, кто и как будет выполнять интеграцию, создать условия для запуска процедуры. 

Интеграция — процесс подключения информационный системы через модуль ЕСИА (шлюз, коннектор). Он служит промежуточным звеном для взаимодействия и решает две ключевые задачи:

• необходимость обеспечивать криптографические функции подписания и отправки запросов из подключенной системы;
• необходимость проверять входящие запросы.

Взаимодействие сторон в ЕСИА определяет механизм аутентификации на основе протокола OAuth 2.0. Для проверки личности пользователя, получения информации о его профиле используется слой аутентификации OpenID Connect 1.0 (маркер ID токен), построенный на этом же протоколе.

Подготовка к интеграции включает:

1. Определение ответственного лица. 
2. Формирование команды специалистов или привлечение стороннего интегратора с заключением договора.
3. Выделение в своей инфраструктуре части, которая будет использована для авторизации.
4. Подготовку физического сервера для шлюза, который обеспечит криптографические функции. Необходим как минимум один такой сервер.
5. Проработку сценария авторизации через ЕСИА.
6. Приобретение необходимого программного обеспечения — его поставка может входить в условия договора с интегратором. 
7. Получение квалифицированного сертификата электронной подписи (КЭП) для организации в соответствии с ее видами деятельности: в удостоверяющем центре ФНС, ЦБ или Федерального казначейства.
8. Получение в коммерческом удостоверяющем центре с аккредитацией Минцифры квалифицированного сертификата для сотрудника, который будет действовать от имени организации в процессе интеграции с ЕСИА.
9. Создание ЛК юрлица в ЕСИА (Госуслуги), если учетной записи еще нет, и обеспечение привязки к ней аккаунтов сотрудников, задействованных в интеграции. 

Как проходит интеграция

После подготовки переходят к технологической стадии — доработке системы, ее подключению, тестированию, отладке и вводу в эксплуатацию. 

Эта стадия включает:

1. Получение оператором подключаемой ИС квалифицированного сертификата.
2. Установку сертификатов ЕСИА.
3. Реализацию в ИС интерфейсов для REST-сервисов ЕСИА и маркера идентификации (ID токена). Стандартные библиотеки из-за особенностей ЕСИА требуют доработки.
4. Выбор места для авторизационного модуля и с учетом этого доработку дизайна сайта.
5. Реализацию в подключаемой системе логики запроса данных.
6. Обеспечение соответствия информационной безопасности системы требованиям, указанным в приложении Д Методических рекомендаций для взаимодействия с ЕСИА.
7. Реализацию шлюза (СКЗИ КС3) для взаимодействия подключаемой ИС и ЕСИА.
8. Проведение оценки влияния на СКЗИ по классу КС3, подтверждение корректной работы OpenID Connect в испытательной лаборатории, у которой есть соответствующая лицензия ФСБ России, и получение заключения этой службы на подключаемую ИС в контексте ее работы с криптографическими вызовами.
9. Подачу заявки в Минцифры на подключение ИС с указанием на наличие собственного решения для взаимодействия с ЕСИА.
10. Регистрацию информационной системы в реестре ИС участников СМЭВ.
11. Подключение ИС к тестовой и затем продуктивной среде ЕСИА с откладкой взаимодействия в каждом из этих контуров.
12. Завершение интеграции.

При встраивании типового решения (готового шлюза), которое уже прошло оценку влияния на средство криптографической защиты и подтвердило корректность работы протокола OpenID Connect, проходить эти этапы в рамках интеграции не нужно. Поскольку они занимают 1,5-3 года, получается существенная экономия по времени. 

Перечень типовых решений определяет Минцифры. Они указаны в приложении Д.1.4 Методических рекомендаций по работе с ЕСИА. Этот документ, а также Регламент взаимодействия, обновлены в августе 2025 года. Наряду с появлением типовых решений изменились требования к интеграции с ЕСИА. Для уже подключенных систем-клиентов установлен срок адаптации — до 1 января 2027 года.

Среди важных изменений по результатам обновления Методических рекомендаций в 2025 году:

1. Внедрение СКЗИ класса не ниже КС3, сертифицированных ФСБ России.
2. Анализ влияния применяемого OpenID Connect на СКЗИ.
3. Аттестация систем-клиентов и применение только сертифицированного программного обеспечения.
4. Отечественная локализация серверов.