Как компания «МКСКОМ» решила проблему интеграции Keycloak с ЕСИА

Ограничения стандартного Keycloak и решение через создание плагина

Keycloak — инструмент для управления идентификацией, поддерживающий десятки провайдеров. В то же время его стандартная конфигурация несовместима с требованиями российской государственной инфраструктуры, использующей ГОСТ-сертификаты и специальные протоколы ЕСИА. Бизнес-проблема была очевидна: отсутствие готового, надежного и быстрого способа подключить удобную авторизацию через Госуслуги в веб-сервисах.

Изначально с этой задачей столкнулась внутренняя команда разработки «Модуля сбора отчетности» для Министерства сельского хозяйства России. Требовалось обеспечить вход для тысяч сельхозпроизводителей и госслужащих, используя уже имеющиеся учетные записи на Госуслугах.

Решением стал собственный плагин для Keycloak, разработанный командой МКСКОМ. Это программное расширение стало мостом между стандартным протоколом OAuth 2.0/OpenID Connect в Keycloak и специфическими требованиями ЕСИА.

Особенности решения:

• Работа с ГОСТ-сертификатами и электронной подписью: плагин обеспечивает интеграцию с криптопровайдером «КриптоПро», что позволяет подписывать запросы к ЕСИА с использованием квалифицированной электронной подписи. Это гарантирует соответствие строгим требованиям законодательства РФ к информационной безопасности.
• Расширенный сбор данных: решение не только аутентифицирует пользователя, но и автоматически запрашивает из ЕСИА персональные данные и сведения об организациях, которые важны для работы госсервисов, например, для подачи отчетности.
• Быстрое развертывание: после регистрации системы в ЕСИА техническая установка и настройка плагина занимает у команды всего один день.

Практический опыт использования плагина

Накопленные компетенции были успешно применены в проектах для государственных структур.

• Минсельхоз России: внедрение плагина в пять веб-сервисов позволило организовать удобный и привычный доступ для пользователей через их единую учетную запись Госуслуг.
• Пенсионный фонд России (ПФР): опыт Минсельхоза был перенесен на проекты ПФР, где безопасность и надежность авторизации являются приоритетом при работе с персональными и финансовыми данными граждан.

В обоих случаях эффект для заказчика был значительным: отказ от дорогостоящих проприетарных решений и полный контроль над системой идентификации. Развертывание готовой интеграции заняло дни вместо месяцев, которые потребовались бы на разработку решения с нуля.

Преимущество разработки плагина: новые проекты теперь могут быть запущены в сжатые сроки. Разработчикам не нужно каждый раз с нуля изобретать механизм интеграции с ЕСИА — достаточно установить и настроить готовый плагин и сопутствующее ПО — Keycloak и КриптоПро.

Накопленный опыт и готовое решение позволяют предлагать аналогичную интеграцию новым заказчикам из госсектора и банковской отрасли без значительных доработок. Такие проекты реализуются в рамках индивидуальной разработки с использованием проверенных архитектурных методов.

Сравнение с альтернативами: почему плагин выгоднее

У организаций было два других пути:

1. Кастомная разработка «с нуля»: требует глубокой экспертизы в протоколах ЕСИА, постоянной поддержки и обновлений. Это отнимает много времени и дорого стоит.
2. Проприетарные коммерческие решения (например, Blitz): влекут за собой зависимость от вендора, лицензионные отчисления и потенциальные ограничения по кастомизации.

Разработанный МКСКОМ плагин предлагает золотую середину: он использует популярный открытый стандарт Keycloak, который легко администрировать, и дополняет его именно теми функциями, которые нужны для работы в России, без избыточности и привязки к конкретному вендору.