Если вы хотите выполнить вход в какой-либо национальный электронный сервис, вы должны сначала аутентифицировать себя, то есть доказать, что вы тот, за кого себя выдаете. Аутентификация должна быть надежной и безопасной, потому что никто не хочет, чтобы к его данным могли получить доступ незнакомые лица или злоумышленники, выполняющие транзакции от их имени. В национальных электронных услугах идентификация личности происходит через центральный защищенный канал (Государственная служба аутентификации), где вы можете аутентифицировать себя с помощью ID-карты, Mobiil-ID, Smart-ID, а также средств аутентификации стран Европейского Союза.
Что такое SSO и как работает управление сессиями?
Если вы пользуетесь сервисами Google, вы знаете, что для доступа к cвоим данным электронной почты, документов и фотографий достаточно одного входа в систему. При переходе между э-услугами государственного сектора Эстонии вы также можете использовать возможность однократного входа в систему. Как следует из названия, такое решение требует только одной аутентификации: если пользователь вошел в электронную услугу через государственную службу аутентификации, он может также использовать другие электронные услуги без необходимости повторной идентификации во всех из них.
Ниже мы представили пошаговый пример того, как аутентификация работает с управлением сеансом в электронных услугах.
1. Вход в электронную услугу на примере государственного портала eesti.ee
Пользователь переходит на страницу э-услуги (государственный портал) и нажимает «Войти в самообслуживание», чтобы войти в систему.
2. Идентификация личности или аутентификация с помощью Mobiil-ID и создание новой сессии
Пользователь перенаправляется в службу аутентификации для входа, где отображается страница выбора средств аутентификации.
В фоновом режиме служба аутентификации каждый раз проверяет, есть ли у пользователя действительный сеанс на портале состояний для данного веб-браузера. В этом случае действительного сеанса нет, и происходит процесс аутентификации пользователя.
В этом примере пользователь выбирает Mobiil-ID в качестве средства идентификации личности. Для этого пользователь вводит свой персональный код, номер телефона и нажимает «Продолжить».
Затем на мобильный телефон пользователя отправляется проверочное сообщение с проверочным кодом, который пользователь подтверждает, вводя на нем код PIN1.
3. Обзор электронных услуг (государственный портал) для авторизованного пользователя
Успешно завершив процедуру аутентификации, пользователь будет как обычно направлен на домашнюю страницу среды обслуживания/самообслуживания, где ему открывается доступ к ее операциям.
4. Продолжение сеанса в другой электронной услуге (электронный регистр народонаселения)
В этом примере пользователь выбирает действие «Изменение данных в регистре народонаселения» на государственном портале, которое направляет пользователя в среду самообслуживания электронного регистра народонаселения.
В фоновом режиме служба аутентификации проверяет, есть ли у пользователя действительный сеанс для данного веб-браузера. Если у пользователя есть активная сессия в службе аутентификации, пользователю отображается страница, где он может дать согласие на передачу данных в другую электронную услугу. Если пользователь соглашается продолжить сессию, в фоновом режиме создается новая сессия для сервиса электронного регистра народонаселения. Таким образом, пользователю не нужно будет снова входить в систему, и в следующей э-услуге ему будет видно, что он уже выполнил вход.
5. Завершение сеанса или выход из э-услуги
Когда пользователь завершил операции/действия в электронной услуге, для выхода из нее, он нажимает «Выйти» на государственном портале. В фоновом режиме служба аутентификации завершает сессию в этой электронной услуге (государственный портал), и у пользователя в службе аутентификации уточняется о других активных сессиях (в данном примере - электронный регистр народонаселения). Пользователь может выбрать, продолжать ли использовать другие сеансы, нажав «Продолжить сеанс», или завершить все сеансы сразу, нажав «Выйти из всех». Когда пользователь завершает все сеансы, он перенаправляется из службы аутентификации обратно на страницу электронного сервиса, где ему показывается сообщение об успешном выходе. Таким образом, пользователь безопасно выходит из всех ранее подключенных электронных услуг одновременно, и ему не нужно по одной выходить из тех электронных услуг.
Управление активными сеансами пользователей на нескольких устройствах
Среда самообслуживания государственной службы аутентификации https://minuautentimine.ria.ee предлагает обзор активных SSO сеансов единого входа пользователя в государственной службе аутентификации, где пользователь может видеть свои активные сеансы и централизованно завершать те, которые существуют. Для этого пользователю необходимо сначала идентифицировать себя на странице https://minuautentimine.ria.ee, после чего будет отображен список активных сеансов.
Например, если пользователь заходит в несколько электронных услуг на общем компьютере и забывает выйти из системы, у него есть возможность завершить сеанс на любом устройстве (например, на мобильном телефоне).
Пользователь также может перейти в среду самообслуживания по ссылке на страницах аутентификации (входа), продолжения сеанса и выхода из системы государственной службы аутентификации:
Запрос более высокого уровня аутентификации при продолжении аутентификации в электронной услуге
Прежде чем направить пользователя к следующему электронному сервису после продолжения сеанса, во избежание доступа к электронным услугам с помощью средства аутентификации с более низким уровнем безопасности, чем разрешено электронной услугой, служба аутентификации проверит в фоновом режиме используемое для создания существующего сеанса средство аутентификации: соответствует ли оно минимальному уровню безопасности, необходимому для электронной услуги. Если пользователь вошел в электронную услугу с помощью средства аутентификации с более низким уровнем безопасности, чем требуется для электронной услуги, пользователю все равно будет предложено пройти повторную аутентификацию, а ранее действующий сеанс аутентификации будет автоматически завершен в фоновом режиме. После повторной успешной аутентификации будет создан новый сеанс, и пользователь будет перенаправлен к электронной услуге.
Этот особый случай возникает только в аутентификаторах с персональными идентификационными устройствами из некоторых стран Европейского Союза, уровень безопасности которых ниже, чем у используемых в Эстонии аутентификационных устройств (ID-карта, Mobiil-ID и Smart-ID). Список средств аутентификации, признанных в Европейском Союзе в соответствии с требованиями регламента eIDAS, и описания их уровней безопасности (LoA, Level of Assurance), можно найти здесь.
