ЦОИД идентификация - подписание документов ЭЦП

В статье описывается процесс подписания документов Пользователя с идентификацией Пользователя в ЦОИД

Для того, чтобы воспользоваться услугой подписания документов ЭЦП с идентификацией Пользователя через ЦОИД системы Aitu Passport необходимо чтобы Партнер:

  • был зарегистрирован в соответствующем окружении Aitu Passport (на тестовой площадке, на продакшн площадке)

  • создал свой сервис в соответствующем окружении Aitu Passport

  • подключил к своему сервису услуги/сервисы Aitu Passport (scope) подписания документов: "sign", "ul_sign". Подробнее о сервисах Aitu Passport см., тут

  • установил на свои ресурсы и настроил приложение "Адаптер ЦОИД"

  • переда сотрудникам Aitu Passport ACCESS_LOGIN и ACCESS_PASSWORD, указанные при настройке Адаптера ЦОИД

В Aitu Passport реализовано несколько вариантов работы с облачной ЭЦП:

  1. Подписание любых файлов и получение результата в формате PKCS7.

  2. Подписание PDF файлов (встраивание подписи прямо в PDF файл).

  3. Подписание XML файлов, получение результата в формате XMLDSIG (встраивание подписи и сертификата пользователя прямо в XML файл).

Как выбрать нужный вам вариант см., раздел "Выбор варианта подписания" в статье "Подписание документов ЭЦП"

Схема процесса подписания документа ЭЦП с ЦОИД идентификацией Пользователя

Описание процесса подписания документа ЭЦП с ЦОИД идентификацией Пользователя

Aitu Passport позволяет осуществлять подписание документа ЭЦП для физических лиц (ЭЦП ФЛ) и ЭЦП для юридических лиц (ЭЦП ЮЛ). Так же доступно множественное подписание документа ЭЦП различными лицами.

Подготовительный этап для подписания документов ЭЦП ЮЛ

Прежде чем инициировать процесс подписания документов ЭЦП ЮЛ информационная система партнера должна передать в Aitu Passport ряд данных. Детальное описание данных и способ их предоставления см. статью Подписание документов ЭЦП

Подписание документа ЭЦП (ЮЛ или ФЛ)

  1. При переходе Пользователя в приложении Партнера к этапу подписания документов ЭЦП, приложение Партнера, до того как начнется процесс подписания, должно загрузить в Aitu Passport документ или документы которые должен подписать Пользователь. Предварительная загрузка применяется для того, чтобы приложение Партнера могло получить signableId. signableId - это уникальный идентификатор документа, присвоенный Aitu Passport, используется в запросе авторизации (см. п.2 настоящего раздела) и в методах получения данных о подписании документа. В зависимости от выбранного варианта подписания (информацию о вариантах подписания см. в разделе "Выбор варианта подписания") используется один из следующих методов загрузки документов:

    • Если выбран вариант PKCS7, то для загрузки документа используется метод api/v2/oauth/signable

    • Если выбран вариант PDF, то для загрузки документа используется метод api/v2/oauth/signable/pdf

    • Если выбран вариант XMLDSIG, то для загрузки документа используется метод api/v2/oauth/signable/xml

В методе загрузки документа, приложение Партнера может передать ссылку на страницу с текстом документа, который должен подписать Пользователь. Если ссылка передана, то в процессе подписания на платформе Aitu Passport, Пользователь сможет ознакомиться с текстом документа.

Процесс загрузки документов обозначен стрелками 1 и 2 на схеме

2. После того, как Пользователь в приложении Партнера нажмет на кнопку или ссылку подписи документа (стрелка 3 на схеме), Приложение партнера формирует ссылку-запрос авторизации. С методом генерации ссылки-запроса авторизации oauth2/auth можно ознакомиться здесь, процесс авторизации детально описан в статье "Авторизация" -> глава "Авторизация в Aitu Passport". Важные моменты при формировании параметров для ссылки-запроса авторизации в процессе подписания документов ЭЦП:

  • В случае, если по условиям договора на оказание услуг Aitu Passport, номер мобильного телефона Пользователя верифицирует:

    • Партнер самостоятельно, то приложение Партнера должно в ссылке-запросе авторизации (oauth2/auth) передать параметр otp_confirmation. Чтобы получить значение для параметра otp_confirmation, приложение Партнера должно вызвать метод api/v1/trusted-phone. Значение для параметра otp_confirmation передается в параметре secret ответа метода api/v1/trusted-phone. Внимание! secret, а соответственно и значение в параметре otp_confirmation является одноразовым, его необходимо получать для каждого запроса авторизации заново!

    • Aitu Passport, то параметр otp_confirmation в ссылке-запросе на авторизацию (oauth2/auth) не передается, метод api/v1/trusted-phone вызывать не нужно.

    Процесс получения значения для параметра otp_confirmation обозначен стрелками 4 и 5 на схеме

  • В параметре scope обязательно указывается значение sign - приложение Партнера запрашивает от Aitu Passport услугу электронного подписания документа. Параметр sign должен передаваться следующим образом: sign.1,2,3,где 1, 2 и 3 это signableId, полученные от метода загрузки документа (описание методов загрузки см., п.1 настоящего раздела);

  • Если известен ИИН Пользователя в параметре iin ссылки-запроса авторизации указывается значение ИИН.

3. После того, как приложением Партнера была сгенерирована ссылка-запрос на авторизацию (стрелка 6 на схеме), происходит редирект Пользователя на принимающую страницу Aitu Passport, где Пользователь проходит процессы авторизации, идентификации в Aitu Passport. Путь пользователя в Aitu Passport определяется параметрами, переданными в ссылке-запросе авторизации. Стрелки 7 - 16 на схеме

Для успешного прохождения этапа биометрической идентификации скорость подключения устройства Пользователя к сети интернет должна быть не менее 100кб/сек

4. Aitu Passport проводит проверку ИИН и фотографии с изображением лица Пользователя, полученной при биометрической идентификации, в ЦОИД через Адаптер ЦОИД (стрелки 17 - 22 на схеме

5. Aitu Passport предлагает Пользователю подписать документ, Пользователь подписывает документ ЭЦП (стрелки 23 - 28 на схеме)

6. Aitu Passport генерирует код авторизации и передает его приложению Партнера. Описание данного процесса см. в статье "Авторизация" -> глава "Авторизация в Aitu Passport. Стрелки 29 и 30 на схеме

7. Приложение Партнера (серверная часть приложения) обменивает полученный код авторизации на токены (access_token, id_token). Описание данного процесса см. в статье "Авторизация" -> глава "Авторизация в Aitu Passport. Стрелки 31 и 32 на схеме

Получение данных (подписанного документа)

Как получить подписанный документ см, раздел Получение документов, подписанных ЭЦП в статье Подписание документов ЭЦП

Множественное подписание документа ЭЦП

Как организовать процесс множественного подписания документов см., раздел Множественное подписание документа ЭЦП в статье Подписание документов ЭЦП

Сроки действия объектов

Внимание:

  • Период хранения не подписанных документов, переданных на подписание (signableId) 24 часа с момента генерации signableId;

  • Параметр otp_confirmation действителен в течение 60 минут с момента генерации;

  • Код авторизации (code) действителен в течение 5 минут с момента генерации;

  • Токен авторизации (access_token ) действителен в течение 30 дней с момента генерации;

  • Токен пользователя на устройстве действителен 1 год с момента генерации.

Проверка валидности подписи

Как проверить валидность ЭЦП см, раздел "Проверка валидности подписи" в статье Подписание документов ЭЦП

Связанные статьи

PreviousПолучение данных пользователя из ЦОИДNextAitu Passport SDK

Last updated

#407:

Change request updated