Налаштування автентифікації та підпису даних для отримувачів послуг

1. Перевірка наявності активного запису в ЄДР для бізнес-користувачів

Відключення перевірки в ЄДР доступне для версій реєстру 1.9.4 і вище.

1.1. Загальний опис

Перевірка наявності активного запису в ЄДР для бізнес-користувачів дозволяє встановити зв’язок між КЕП користувача та його юридичною особою чи фізичною особою-підприємцем, що зареєстровані в Єдиному державному реєстрі (ЄДР). Це важливий аспект безпеки та надійності системи, який допомагає забезпечити відповідність даних користувача та підтвердження їх особистості.

whats new 1 9 4 1

Функціональність включає такі можливості та переваги:

  • Автоматична перевірка даних користувача з даними ЄДР під час аутентифікації. Це забезпечує відповідність даних та зменшує ризик шахрайства або зловживань.

  • Впевненість у тому, що користувачі, які аутентифікуються як представники юридичних осіб або фізичних осіб-підприємців, дійсно мають повноваження діяти від імені цих осіб.

  • Забезпечення послідовності та актуальності даних користувачів, оскільки система автоматично порівнює дані з ЄДР під час аутентифікації.

1.2. Налаштування

Адміністратори реєстру можуть налаштовувати перевірку наявності активного запису в ЄДР для бізнес-користувачів через адміністративну панель Control Plane, у розділі Реєстри > Автентифікація отримувачів послуг. Вони можуть включити або відключити цю функціональність відповідно до вимог безпеки та політики організації.

Зверніть увагу, що при вимкненні перевірки наявності активного запису в ЄДР, бізнес-користувачі можуть аутентифікуватись у Кабінеті отримувача послуг з даними ключа, які відсутні в ЄДР. Це може бути корисно у випадках, коли перевірка записів в ЄДР тимчасово непотрібна або з різних причин неможлива. Однак, з метою безпеки, рекомендується застосовувати перевірку наявності активного запису в ЄДР за замовчуванням.

Незалежно від стану перевірки наявності запису в ЄДР, система продовжує проводити інші перевірки ключа при аутентифікації, такі як валідація сертифіката, перевірка відповідності ПІБ тощо. Це дозволяє користувачам з валідним ключем пройти аутентифікацію у ролі представника юридичної особи, фізичної особи-підприємця або його представника.

Щоб вимкнути або увімкнути налаштування, виконайте наступні кроки:

  1. Увійдіть до адміністративної панелі Control Plane.

  2. Перейдіть до розділу Реєстри > Редагувати > Автентифікація отримувачів послуг.

  3. Вимкніть або увімкніть перемикач для деактивації/активації перевірки даних із КЕП в ЄДР.

    cp auth setup citizens 1

    Перевірка даних з КЕП користувачів в ЄДР відбувається за умови налаштованої інтеграції поточного реєстру з ЄДР через ШБО "Трембіта".

    Детальніше про це — див. на сторінці Налаштування взаємодії з реєстрами через ШБО "Трембіта" у Control Plane.

  4. Перейдіть до налаштувань автентифікації у розділі Налаштування автентифікації та підпису даних в Control Plane.

1.3. Особливості автентифікації при вході до Кабінету

При вході в Кабінет отримувача послуг як представник юридичної особи, система перевіряє наявність ЄДРПОУ цієї юридичної особи за допомогою ключа в єдиному державному реєстрі.

Користувач, який аутентифікується в кабінеті отримувача послуг як бізнес-користувач, вносить дані ключа, присутні у ЄДР.

cp auth setup citizens 3

У разі відсутності ключа в ЄДР, система генерує помилку на сторінці аутентифікації:

Не вдалося провести автентифікацію

cp auth setup citizens 4

Детальніше про автентифікацію користувачів ви можете переглянути на сторінці Автентифікація користувачів реєстру та підпис даних.

2. Налаштування автентифікації та підпису даних в Control Plane

Ця інструкція призначена для адміністраторів реєстру та описує процес налаштування автентифікації та підпису даних для отримувачів послуг в адміністративній панелі Control Plane. Ці налаштування забезпечують безпеку та зручність обслуговування отримувачів послуг, дозволяючи вам використовувати різні методи автентифікації та підпису даних.

  • 🧩 Використання IIT-віджета робить процес налаштування параметрів автентифікації та підпису даних простішим та ефективнішим.

  • 🆔 Забезпечення підпису даних через сервіс id.gov.ua гарантує безпеку та надійність підпису.

  • 📲 Автентифікація отримувачів послуг та надання розширених можливостей підпису даних можливі з використанням Дія.підпис.

2.1. Налаштування типу автентифікації "IIT-віджет"

  1. На вкладці Автентифікація отримувачів послуг, виберіть Тип автентифікації.

  2. Щоб скористатись IIT-віджетом, залиште налаштування за замовчуванням. Це дозволить автентифікацію за допомогою ІІТ-віджета та КЕП користувача.

  3. За необхідності, ви можете змінити посилання та висоту віджета. Наприклад, якщо ваші користувачі будуть автентифікуватись за допомогою хмарного ключа, у полі Посилання необхідно прописати таке посилання, яке підтримує функцію хмарного ключа, наприклад:

    https://eu.iit.com.ua/sign-widget/v20200922/
    Якщо посилання не працює, зверніться до вашого провайдера цифрової ідентифікації.

cp registry mgmt 03

Детальніше про використання IIT-віджета: Автентифікація за допомогою КЕП.

2.2. Налаштування типу автентифікації "Платформна інтеграція з id.gov.ua"

  1. Як альтернатива, оберіть тип автентифікації Платформна інтеграція з id.gov.ua.

    cp auth setup citizens 02

  2. При цьому виборі поля Посилання та Висота віджета будуть приховані, і застосовуватимуться налаштування інтеграції з id.gov.ua для всієї Платформи.

    cp auth setup citizens 03

Якщо для надавачів послуг потрібно передбачити можливість автентифікуватись у Кабінеті за допомогою метода Bank-ID, то в посиланні у налаштуваннях Платформи потрібно додати таку можливість.

Передумови

  1. Зареєструйтеся в системі ICEI id.gov.ua.
    Для цього перейдіть за посиланням https://id.gov.ua/connect та укладіть електронний Договір про приєднання до інтегрованої системи електронної ідентифікації (2024).

    Укладання договору та інші супутні юридичні й технічні процедури виконуються на стороні id.gov.ua між власником даних (технічним адміністратором реєстру) та ІСЕІ.

    Пояснення до деяких полів при заповненні договору:

    1. Налаштування перенаправлень та ідентифікації:

      • Зворотне посилання (redirect_uri) визначається в інтерфейсі сервісу Keycloak, залежно від ролі користувача: для надавачів послуг — у реалмі officer для специфічного реєстру; для отримувачів послуг — у реалмі id-gov-ua (у розділі Identity Providers).

        Посилання для надавачів послуг стає доступним після налаштування віджета id-gov-ua в консолі Control Plane, у розділі автентифікації надавачів послуг.

    2. Інформація про ключі шифрування:

      • Серійний номер сертифіката шифрування електронної печатки Інформаційної системи визначається за серійним номером ключа шифрування Key-6.dat, який можна переглянути в секреті digital-signature-data (OpenShift-консоль > Workloads > Secrets) вашого реєстру, у файлі allowed-keys.yml.

    3. Доменні імена:

      • Доменне ім’я для сервісу створення та перевірки електронного підпису корелює з доменним ім’ям Кабінету надавача послуг (користувача).

      • Доменне ім’я Інформаційної системи має відповідати посиланню до Keycloak Платформи.

  2. Після реєстрації клієнта (реєстру), отримайте від ICEI ідентифікатор клієнта в системі id.gov.ua (client_id) та пароль (secret).

  3. Використовуйте отримані дані при налаштуванні автентифікації з id.gov.ua в інтерфейсі Control Plane.

2.3. Налаштування типу автентифікації "Реєстрова інтеграція з id.gov.ua"

Як альтернатива, оберіть тип автентифікації Реєстрова інтеграція з id.gov.ua.

  1. Вкажіть тип автентифікації — Реєстрова інтеграція з id.gov.ua. Цей тип призначений для автентифікації отримувачів послуг за допомогою зовнішнього провайдера на формі входу до Кабінету.

  2. Додайте посилання до ресурсу. Наприклад, URL може виглядати так:

    https://test.id.gov.ua?auth_type=bank_id&dig_sign

    У query-параметрах запита (в URL після ?) необхідно визначити доступні для посадової особи типи автентифікації через id.gov.ua.

    Можливі значення для параметра auth_type:

    • dig_sign — автентифікація з цифровим підписом;

    • bank_id — автентифікація через BankID;

    • diia_id — автентифікація через Дія.Підпис.

    Для отримувачів послуг варто врахувати, що автентифікація за допомогою Bank-ID та Дія.Підпис доступна лише фізичним особам та користувачам-ФОП.

  3. Вкажіть ідентифікатор клієнта (client_id), отриманий в системі id.gov.ua. Наприклад, 17f33242543e4340b690391d6f1d1513.

    Ідентифікатор клієнта в системі id.gov.ua подібний до формату UUID, але визначається без тире (-) між символами.

  4. Вкажіть клієнтський секрет (secret), отриманий у системі id.gov.ua.

    Це може бути будь-який випадково згенерований пароль у системі id.gov.ua.

  5. Оберіть ключ шифрування зі списку доступних. Ключі шифрування налаштовуються адміністратором Платформи у розділі Керування ключами. Якщо потрібно додати інший ключ шифрування, зверніться до адміністратора Платформи.

    Відповідно до політик безпеки, адміністратор реєстру має бачити лише ключі, які дозволені для його реєстру адміністратором Платформи.

    Див. детальніше про налаштування ключів шифрування — Оновлення ключів та сертифікатів цифрового підпису для Платформи.

cp auth setup citizens 10

2.4. Налаштування віджета підпису документів

Ви можете у Control plane на рівні реєстру налаштувати спосіб підпису даних для отримувачів послуг. Для цього:

  1. На вкладці Автентифікація отримувачів послуг перейдіть до Віджет підпису документів.

  2. Якщо обрано Платформну інтеграцію з id.gov.ua, ви зможете налаштувати посилання та висоту віджета.

  3. За замовчуванням, посилання встановлено на IIT-віджет, з висотою 720 px. За потреби, ці налаштування можна змінити на id.gov.ua:

    https://id.gov.ua/sign-widget/v20220527/

    cp auth setup citizens 04

Не рекомендується використовувати посилання, яке підтримує Bank-ID, оскільки Bank-ID — це лише спосіб автентифікації.

2.5. Синхронізація налаштувань автентифікації та підпису

Якщо тип автентифікації обрано як ІІТ-віджет, можна синхронізувати налаштування автентифікації та підпису. Для цього активуйте перемикач Використовувати налаштування віджета автентифікації.

cp auth setup citizens 05

Поля Посилання та Висота віджета будуть приховані та автоматично заповнені налаштуваннями з розділу Тип автентифікації.

cp auth setup citizens 06

Насамкінець натисніть кнопку Підтвердити, щоб зберегти зміни.

У результаті сформується запит на оновлення конфігурації реєстру (див. детальніше у розділі Підтвердження запита на оновлення та розгортання змін).

2.6. Особливості автентифікації у Кабінеті отримувача послуг

Якщо в адмін-панелі Control Plane налаштовано тип автентифікації Віджет, то сторінка користувача виглядатиме, наприклад, наступним чином:

cp auth setup citizens 07
Зображення 1. Автентифікація через ІІТ-віджет
Детальніше про використання IIT-віджета: Автентифікація за допомогою КЕП.

Якщо в Control Plane буде обрано значення Платформна інтеграція з id.gov.ua, користувачі Кабінету отримувача послуг бачитимуть наступну сторінку для автентифікації:

cp auth setup citizens 08
Зображення 2. Автентифікація через id.gov.ua
Зверніть увагу, що користувач більше не може обирати спосіб автентифікації на одній сторінці. В один момент часу доступний лише один з двох способів автентифікації, налаштований адміністратором реєстру — IIT-віджет або id.gov.ua.
Більш детально про автентифікацію у Кабінеті отримувача послуг див. на у розділі Автентифікація отримувачів послуг.

2.7. Налаштування інтеграції із зовнішнім провайдером для адміністраторів Платформи

Щоб забезпечити можливість інтегрувати майбутні реєстри Платформи з ID.GOV.UA, необхідно внести специфічні налаштування в Keycloak у реалмі id.gov.ua. Конкретно, поряд з даними Client ID та Client Secret, слід додати актуальне посилання до системи id.gov.ua у полі Actual url of id.gov.ua system.

Більше контексту ви можете отримати на сторінці Налаштування взаємодії з ІСЕІ ID.GOV.UA.

cp auth setup citizens 09

2.8. Важливі зауваження

  • При використанні Bank-ID для автентифікації зверніть увагу, що це лише спосіб автентифікації, не підпису.

  • Переконайтеся, що посилання для підпису даних підтримують необхідні функції.

3. Підтвердження запита на оновлення та розгортання змін

У результаті виконаних налаштувань у розділах Перевірка запису в ЄДР та Налаштування автентифікації та підпису, система сформує запит на оновлення конфігурації реєстру, який необхідно підтвердити. Для цього:

  1. Поверніться до розділу Реєстри > Запити на оновлення та перегляньте новий запит, натиснувши іконку перегляду — 👁.

    cp cidr 8

  2. У новому вікні перегляньте зміни та натисніть Підтвердити.

    Запропоновані зміни вносяться до конфігурації реєстру у файлі deploy-templates/values.yaml у разі підтвердження.

  3. Дочекайтеся, доки Jenkins виконає застосування конфігурації за допомогою пайплайну MASTER-Build-<назва-реєстру>. Це може зайняти декілька хвилин.