¶ Сервисы
- DCR — динамическая регистрация клиента на стороне ПУ.
- DCM — управление параметрами зарегистрированного клиента.
- SSA — подписанное JWT-заявление о приложении СПУ.
- IAT — initial access token для вызова
/register.
Краткое описание порядка обмена между сторонними поставщиками услуг (СПУ) и е-Каталогом Оператора при выпуске Software Statement Assertion (SSA) и управлении данными клиентских приложений. Материал опирается на документ «Процесс взаимодействия СПУ с е-Каталогом для получения SSA».
SSA используется в процессах DCR/DCM и обеспечивает передачу достоверных сведений о приложении СПУ на сторону поставщика услуг. Настоящее руководство охватывает только взаимодействие с е-Каталогом и не рассматривает шаги регистрации на стороне ПУ.
¶ Термины и сокращения
¶ Технические элементы
- MTLS — двусторонняя TLS-аутентификация.
- JWKS — набор открытых ключей Оператора для проверки подписи.
- software_id — идентификатор приложения в е-Каталоге (client_id).
- software_client_id — уникальный ID инсталляции, формируется в SSA.
¶ Область применения
- Регистрация приложений СПУ в е-Каталоге и получение
software_id. - Формирование и выдача SSA для последующей передачи на сторону ПУ.
- Управление сертификатами, JWKS и метаданными клиентских приложений.
- Поддержка требований информационной безопасности (ГОСТ, УЦ БР, контроль отзывов).
¶ Предусловия и каналы доверия
¶ Сертификаты
- Организация обладает действующим сертификатом УЦ Банка России.
- В поле CN указан
org_id, в SAN — домены, соответствующие данным е-Каталога. - Сертификат проходит проверку цепочки, статуса CRL/OCSP и срока действия.
¶ Защищённые соединения
- Все запросы выполняются через защищённый канал mTLS.
- Доступ к сервисам JWKS и e-Каталога предоставляется по доверенным IP/сертификатам.
¶ Пошаговый процесс получения SSA
- Запрос настроек. СПУ получает конфигурацию сервера авторизации через
/.well-known/openid-configurationи проверяет доступность JWKS. - Обновление сведений в е-Каталоге. Внесите актуальные данные приложения (redirect URI,
контактные лица, роли, jwks_uri). После валидации оператор присваивает
software_id. - Формирование запроса на SSA. ПО инициирует обращение к е-Каталогу по защищённому каналу.
Оператор возвращает подписанное JWT со значениями
software_client_id, списком ролей и допустимыми URI. - Получение IAT. На основании выданных данных организация запрашивает initial access token.
В токен включаются обязательныеclaims:
iss,sub,aud,iat,exp,jti. - Передача на сторону ПУ. СПУ использует IAT и SSA в запросе
/register(DCR) для регистрации приложения в инфраструктуре поставщика услуг.
Документ описывает только взаимодействие с е-Каталогом. Проверки на стороне ПУ включают валидацию подписи JWT, сроков действия и сопоставление данных SSA/IAT.
¶ Контроль и проверки безопасности
- Сервер авторизации сверяет
software_idиorg_idс данными е-Каталога и результатами технических испытаний. - SSA и IAT подписываются ключами Оператора, опубликованными в JWKS; ПУ обязан проверить подпись и срок действия.
- Уникальность
jtiконтролируется сервером авторизации — повторное использование токена отклоняется. - Срок действия IAT ограничен (10–60 минут). Повторный вызов возможен только по защищённому каналу с действующим сертификатом.