Как привязать электронную подпись к приложению MyDSS
Для перехода на новую технологию сдачи отчетности необходимо скачать на ваш смартфон приложение MyDSS. Инструкция ниже:
1. Для загрузки приложения на телефон вы можете либо отсканировать QR-код:
Либо скачать приложение MyDSS в PlayМаркете или App Store со следующей иконкой:
2. После выпуска подписи перейдите в раздел Моя организация — Электронные подписи — QR-код:
Для привязки приложения откройте QR-код в сервисе Небо и с помощью смартфона отсканируйте его:
По смс вам поступит код авторизации , его нужно ввести.
3. Задайте имя ключа, как правило, указывают название организации.
4. Можно задать пароль (не короче 6 символов). Также пароль можно не вводить.
После регистрации устройства ключ будет добавлен и отобразится на экране мобильного приложения.
5. При отправке отчетов, писем и уведомлений о прочтении действие необходимо будет подтверждать в этом мобильном приложении.
Как добавить ключ в mydss
- Регламент ТП
- Регламент установки и обновления
- Регламент обслуживания оборудования
- Регламент проведения аудита программно-аппаратных средств УЦ и средств ЭП
- Форум
- Основной сайт
База знаний
Домашняя страница
Порядок действий по установке ключа myDSS в случае замены мобильного устройство
Опубликовано Андрей Солдатов on 2020-12-09 13:20
Если Вы заменили мобильное устройство — нужно сделать следующее:
1. Установить на новое мобильное устройсто приложение myDSS из официального магазина приложений App Store или Google Play.
2. Отсканировать имеющийся у Вас QR-кода ключа myDSS в приложении myDSS (подробнее — в п.3 руководства).
Примечание №1: если QR-код был потерян — запросите замену в компании, где Вы получали QR-код ранее.
Примечание №2: если при попытке отсканировать имеющийся QR-код в приложении myDSS на новом мобильном устройстве у Вас возникает ошибка, запечатленная ниже — опять же запросите замену в компании, где Вы получали QR-код ранее.
Как добавить ключ в mydss
Совместная разработка компаний КриптоПро и SafeTech на базе программно-аппаратного комплекса КриптоПро DSS 2.0 и платформы аутентификации и подтверждения электронных транзакций PayControl.
ПРЕИМУЩЕСТВА MYDSS 2.0
- использовать myDSS 2.0 гораздо проще и дешевле чем традиционные локальные средства электронной подписи;
- пользователи не привязаны к персональному компьютеру и могут работать с электронными документами где им удобно: на смартфоне, ноутбуке, планшете, на бегу, дома, в командировке и т.п. Подписание происходит при помощи мобильного приложения;
- технология myDSS 2.0 дружелюбна — что-то поломать или испортить практически невозможно;
- технология myDSS 2.0 безопасна и легитимна, так как построена только на сертифицированных средствах электронной подписи в строгом соответствии с правилами их использования.
Общая информация
О myDSS 2.0
- myDSS 2.0 — это совместная разработка компаний КриптоПро и SafeTech на базе ПАК КриптоПро DSS 2.0 и платформы аутентификации и подтверждения электронных транзакций PayControl.
- КриптоПро CSP 5.0 R2 и КриптоПро DSS 2.0 разработаны технологическим лидером на рынке отечественной электронной подписи в строгом соответствии с действующим законодательством.
- myDSS 2.0 разработано на базе средства подтверждения электронных транзакций PayControl, регулярно проходящего аудит безопасности, в том числе по методике ОУД4.
Назначение
- Работа со строгой криптографической электронной подписью УКЭП или УНЭП на смартфоне.
- Расширение клиентской аудитории цифровых сервисов за счет активных пользователей смартфонов с УНЭП или УКЭП.
- Исключение случаев несанкционированного доступа к ключам электронной подписи клиентов.
Сферы применения
- Государственная регистрация юридических лиц, недвижимости, онлайн-касс и т.д.
- Системы сдачи налоговой отчетности
- Электронные торговые площадки
- Системы электронного документооборота
- Дистанционный банкинг
- Банковские гарантии
Особенности
Юридическая значимость
Юридическая значимость обеспечивается за счет использования:
- myDSS 2.0 со встроенным криптопровайдером КриптоПро CSP — сертифицированным по классу КС1 средством электронной подписи;
- myDSS 2.0 в составе КриптоПро DSS 2.0 — сертифицированного по классу КС1 средства электронной подписи.
Класс сертификации КС1 позволяет работать с электронными подписями уровней УКЭП и УНЭП, и обеспечивает:
- авторство — принадлежность совершенной подписи владельцу сертификата;
- целостность — отсутствие искажения в подписанном документе;
- неотказуемость — невозможность отречения от факта совершения подписи.
Безопасность
- В режиме дистанционной подписи ключи ЭП пользователей защищены аппаратными модулями КриптоПро HSM, сертифицированными по классу KB.
- В режиме мобильной подписи ключи ЭП хранятся в смартфонах пользователей под защитой КриптоПро CSP, сертифицированного ФСБ криптопровайдера для iOS и Android.
- Пользователь myDSS 2.0 контролирует содержание подписываемого документа на экране смартфона и ни одна операция не может быть подписана без его согласия.
- Каждая операция подписи подтверждается в myDSS 2.0 с контролем авторства и целостности, ключами аутентификации, которые хранятся в мобильном приложении в защищенном виде.
- Централизованное управление мобильными средствами подтверждения позволяет в случае инцидента оперативно блокировать доступ к средству подписи, не дожидаясь обновления списка отзывов сертификатов.
- Передача данных между сервисом электронной подписи и мобильным приложением происходит по зашифрованному ГОСТ-TLS каналу.
Как добавить ключ в mydss
Раздел содержит руководство разработчика по работе с myDSS на Сервисе Управления Пользователями. В разделе приведены основные сценарии использования, примеры HTTP-запросов и ответов REST Сервиса Управления Пользователями.
Так же в разделе приведены рекомендации Администраторам по настройке DSS для реализации различных сценариев работы с myDSS.
Перед началом интеграции с Сервисом Управления Пользователями Администратору DSS необходимо:
- Выпустить и зарегистрировать на DSS cертификат аутентификации Оператора DSS
- Настроить сервер myDSS
- Включить метод аутентификации myDSS на Центре Идентификации
- Ввести лицензию на модуль аутентификации myDSS на Центре Идентификации
Сценарии должны выполняться учётной записью с ролью Оператора DSS.
Аутентификация Операторов DSS на Сервисе Управления Пользователями осуществляется по сертификату (двухстороннее TLS-соединение).
Последовательность шагов по регистрации пользователя:
- Регистрация логина пользователя.
- Назначение метода первичной аутентификации.
- Получение QR-кода с ключом аутентификации myDSS.
- Назначение myDSS в качестве второго фактора аутентификации.
- Назначение операций, требующие подтверждения через myDSS.
- Обновление ключа аутентификации пользователя
- Поиск пользователя
- Получение сведенией о myDSS
- Отключение аутентификации через myDSS
- Задание отпечатка устройства
Регистрация логина пользователя
В качестве идентификатора (логина) пользователя могут выступать:
- логин
- адрес электронной почты
- номер телефона
Внимание!
По умолчанию на DSS в качестве идентификатора разрешён только Логин.
Разрешить/запретить другие идентификаторы пользователя может Администратор DSS выполнив команду в консоли PowerShell:
Set-DssStsProperties -AvailableIdentitifers Login,Email,PhoneNumber
Примеры запросов
- Регистрация пользователя по логину
POST https://host/STS/ums/user HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 28 Expect: 100-continue
- Регистрация пользователя по логину, email и номеру телефона
POST https://host/STS/ums/user HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 92 Expect: 100-continue Connection: Keep-Alive
Пример ответа
В ответ DSS вернёт идентификатор созданного пользователя (DssUserId). DssUserId используется при вызове любых методов Сервиса Управления Пользователями:
- возвращающих сведения об учётной записи пользователя
- изменяющих учётную запись пользователя.
Вызывающая система может сохранить DssUserId. Это позволит ускорить последующие обращения к Сервису Управления Пользователями, так как не потребуется получать DssUserId повторно.
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Content-Type: application/json; charset=utf-8 Expires: -1 Date: Thu, 23 Aug 2018 14:59:09 GMT Content-Length: 38 "264caee9-b77c-4b8c-b52a-ef9dd502f959" Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | invalid_identifiers | Переданный идентификатор запрещённый на DSS. |
| 400 | invalid_phone | Пользователь с указанным номер телефона уже зарегистирован. |
| 400 | invalid_email | Пользователь с указанным email уже зарегистирован. |
| 400 | invalid_login | Пользователь с указанным логином уже зарегистирован. |
| 500 | An error has occurred | 1. В поле Login указан номер телефона или email. 2. Неверно сформирован email. 3. Неверно сформирован номер телефона. |
Назначение метода первичной аутентификации
После регистрации логина пользователя необходимо назначить метод первичной аутентификации. Пользователю может быть назначен один или несколько методов первичной аутентификации:
| Метод | Описание |
|---|---|
| /user//authmethod/idonly | Только идентификация |
| /user//authmethod/password | Аутентификация по паролю |
| /user//authmethod/cert | Аутентификация по сертификату |
| /user//authmethod/external | Аутентификация через сторонний Центр Идентификации |
Чаще всего при использовании myDSS в качестве метода первичной аутентификации назначают «Только идентификация».
Внимание!
Назначаемый метод аутентификации должен быть разрешён на DSS. Включить или отключить метод аутентификации должен Администратор на сервере DSS.
Разрешить/запретить метод аутентификации можно на Сервере DSS командами:
Enable-DssAuthenticationMethod -Id
Disable-DssAuthenticationMethod -Id
Внимание!
Совместное включение методов idonly и password допустимо, но использоваться будет метод «Только идентификация».
Примеры запросов
Назначение метода первичной аутентификации «Только идентификация»
POST https://host/STS/ums/user/d0bfa4e1-808d-4c28-b3cb-0dc5a591d300/authmethod/idonly HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 2 Expect: 100-continue <> Пример ответа
Назначение метода аутентифиации не имеет возвращаемого значения.
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Expires: -1 Date: Thu, 23 Aug 2018 16:35:38 GMT Content-Length: 0 Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | wrong_operation | Метод аутентификации уже назначен. |
| 400 | invalid_authn_method | Метод аутентификации запрещён на сервере DSS. |
| 404 | user_not_found | Пользователь не найден. |
Получение QR-кода с ключом аутентификации myDSS
Перед назначением пользователю метода аутентификации myDSS необходимо получить QR-код, содержащий ключ аутентификации пользователя. QR-код должнен быть передан пользователю. Отсканировав QR-код пользователь загрузит ключ аутентификации в мобильное приложение myDSS.
Ключ аутентификации, передаваемый в QR-коде, может быть защищён на коде активации. Код активации передаётся пользователю в SMS или email сообщении.
Требование защиты ключа аутентификации на коде активации настраивается Администратором на сервере DSS и распространяется на всех пользователей.
Set-DssMobileAuthProperties -KeyInfoDivideRequired 1
Код активации состоит из цифр. Минимальная длина кода — 6 цифр.
Изменить длину кода активации может Администратор DSS выполнив команду в консоли PowerShell:
Set-DssMobileAuthProperties -SecondKeyPartLength 8
Примечание
Для отправки кода активации в SMS или Email Администратору необходимо подключить и настроить соответствующий модуль оповещения на сервере DSS.
Примеры запросов
- Пример получения QR-кода без кода активации
POST https://host/STS/ums/user/29665c07-e0e1-496a-b8f6-96ac5f59501b/mobileauth HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 50 Expect: 100-continue
- Пример получения QR-кода с кодом активации, доставляемом в SMS или Email
Для передачи кода активации в SMS или Email необходимо указать параметр UserContactInfoType , который может принимать значение
- EmailAddress
- PhoneNumber
В параметре UserContactInfo передаётся адрес электронной почты или номер телефона.
POST https://host/STS/ums/user/3901bd80-0cc4-4011-b197-3064dc41d626/mobileauth HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 119 Expect: 100-continue
- Пример получения ключа аутентификации в виде XML
Если используется собственное мобильное приложение на основе PayControl SDK, то ключ аутентификации можно запросить в виде XML. Для получения ключа аутентификации в виде XML в запросе необходимо указать параметр NeedXmlKeyInfo со значением true и код активации KeyInfoPinCode
POST https://host/STS/ums/user/a3c1fda4-857b-45f3-b45d-8567e1d62318/mobileauth HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 146 Expect: 100-continue
Пример ответа
Сервер возвращает следующие данные:
- QrCode — изображение в формате gif в кодировке Base64
- KeyExpirationTime — срок действия ключа пользователя
- ExternalUserId — идентификатор пользователя на сервере myDSS. Идентификатор может быть использован для получения сведений о ключе аутентификации пользователя.
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Content-Type: application/json; charset=utf-8 Expires: -1 Content-Length: 7711
Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | invalid_contact_info | 1. Требуется предоставить номер телефона или email для отправки кода активации. 2. Указан неверный тип данных для отправки кода активации. |
| 404 | user_not_found | Пользователь не найден. |
| 400 | wrong_operation | Попытка повторно получить QR-код. Для обнолвения ключа пользователя необходимо отправить PATCH запрос. |
| 500 | An error has occurred | 1. Метод аутентификации myDSS запрещен на сервере DSS. 2. Истекла лицензия на myDSS на сервере DSS. |
Назначение myDSS в качестве второго фактора аутентификации
После того как пользователю создан ключ аутентификации необходимо назначить метод аутентификации myDSS.
Пример запроса
POST https://host/STS/ums/user/44cdb94b-7168-4b26-b02a-a734510873e8/authmethod/mobileauth?level=1 HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 2 Expect: 100-continue <> Внимание!
Значение параметра level должно быть равно 1
Пример ответа
Метод не имеет возвращаемого значения.
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Expires: -1 Date: Thu, 23 Aug 2018 21:02:26 GMT Content-Length: 0 Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | invalid_authentication_scheme | Указан неверный уровень метода аутентификации. |
| 404 | user_not_found | Пользователь не найден. |
| 400 | authn_method_not_confirmed | Попытка назначить метод аутентификации не получив QR-код. |
Назначение операций, требующие подтверждения через myDSS
После получения QR-кода и назначения пользователю myDSS необходимо задать список операций требующий подтверждения с помощью myDSS.
Про типы операций, для которых можно настроить подтверждение, и их идентифкаторы можно прочитать на странице Типы Операций. В запросе необходимо перечислить коды операций, которые будет подтверждать пользователь.
Пример запроса
POST https://host/STS/ums/user/b33f2148-70de-4e2b-b508-db3f8bf72a7e/operationpolicy HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 5 Expect: 100-continue [2, 16, 1024] Пример ответа
Метод не имеет возвращаемого значения
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Expires: -1 Content-Length: 0 Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | invalid_authentication_scheme | Указан неверный уровень метода аутентификации. |
| 404 | user_not_found | Пользователь не найден. |
| 400 | wrong_operation | Оператору запрещено изменять список операций, требующих подтверждения. |
Обновление ключа аутентификации пользователя
Ключ аутентификации пользователя имеет ограниченный срок действия. Ключ аутентификации необходимо переодически обновлять. Процедура смены ключа аналогична получению первого ключа аутентификации
Примечание
Отличие в используемом HTTP-методе — для обновления ключа используется метод PATCH.
Флаг DelayedActivation отвечает за режим активации нового ключа пользователя:
- Если флаг отсутствует в запросе или равен false, то новый ключ пользователя вступает в действие немедленно. Пользователь не сможет подтверждать операции пока не отсканирует QR-код с новым ключом.
- Если флаг указан в запросе со значением true, то новый ключ пользователя вступит в действие в момент, когда пользователь отсканирует QR-код с новым ключом. Пользователь сможет продолжить использование текущего ключа до истечения срока его действия.
Пример запроса
PATCH https://host/STS/ums/user/d217ee28-0f04-45d2-b71a-0ebb50ee7573/mobileauth HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 119 Expect: 100-continue
Пример запроса с отложенной активацией ключа
PATCH https://host/STS/ums/user/6b33998b-ae10-4132-9291-9fbc97aa0942/mobileauth HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 118 Expect: 100-continue
Пример ответа
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Content-Type: application/json; charset=utf-8 Expires: -1 Content-Length: 7687
Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | invalid_authentication_scheme | Указан неверный уровень метода аутентификации. |
| 404 | user_not_found | Пользователь не найден. |
| 400 | wrong_operation | Оператора запрещено изменять список операций, требующий подтверждения. |
Повторная отправка кода активации пользователю
Если ключ аутентификации уже назначен пользователю и защищён на коде активации, то можно сделать повторную отправку кода активации ключа.
Требование защиты ключа аутентификации на коде активации настраивается Администратором на сервере DSS и распространяется на всех пользователей.
Set-DssMobileAuthProperties -KeyInfoDivideRequired 1
Для передачи кода активации в СМС или по адресу электронной почты необходимо указать параметр UserContactInfoType , который может принимать значение
- EmailAddress
- PhoneNumber
В параметре UserContactInfo передаётся адрес электронной почты или номер телефона пользователя.
Пример запроса
Метод не имеет возвращаемого значения.
POST /STS/ums/user/0a0eaf08-665e-452c-a5b0-e342b3c43a3c/mobileauth/activationcode HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host
Пример ответа
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Expires: -1 Content-Length: 0 Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | invalid_contact_info | 1. Нет возможности отправить вторую часть ключевой информации: не задана контактная информация пользователя. 2. Неизвестный тип контактной информации: «EmailAddrfess». |
| 400 | wrong_operation | Код активации не требуется в соответствии с настройками сервиса. |
| 404 | user_not_found | Пользователь не найден. |
Поиск пользователя
Сервис Управления пользователями предоставляет несколько возможностей поиска пользователя:
- По логину, номеру телефона или email
- По логину пользователя во внешнем ЦИ
- По идентификатору DssUserId
- Расширенный поиск
По логину, номеру телефона или email
Пример запроса
Тип ключа поиска может принимать значения (значение параметра type ):
GET https://host/STS/ums/user?type=Login&value=DssTest-dc3bf3f5 HTTP/1.1 Accept: application/json Host: host Пример ответа
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Content-Type: application/json; charset=utf-8 Expires: -1 Content-Length: 334
По логину пользователя во внешнем ЦИ
Сервис управления Пользователями предоставляет возможность поиска Пользователей в DSS по внешнему логину. В данном случае в запросе необходимо указать имя внешнего ЦИ, под которым он зарегистрирован в ЦИ КриптоПро DSS. Получить имя внешнего ЦИ можно в выводе командлета Get-DssIdentityProvider. Имя ЦИ соответствует информации, выведенной в поле IssuerName .
Пример запроса
GET https://host/STS/ums/user?type=Login&value=DssTest-dc3bf3f5&issuerName=ADFS HTTP/1.1 Accept: application/json Host: host Пример ответа
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Content-Type: application/json; charset=utf-8 Expires: -1 Content-Length: 334
По идентификатору DssUserId
Пример запроса
GET https://host/STS/ums/user/d1831dea-985f-4df1-a54b-2497eeace2f2 HTTP/1.1 Accept: application/json Host: host Пример ответа
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Content-Type: application/json; charset=utf-8 Expires: -1 Content-Length: 334
Расширенный поиск
Расширенный поиск позволяет применять различные фильтры для поиска пользователей. Результатом выполнения метода может быть группа пользователей, отвечающая параметрам фильтра.
Поиск пользователей можно выполнить по одному или нескольким параметрам:
| Параметр | Код | Описание |
|---|---|---|
| Login | 0 | Логин пользователя |
| PhoneNumber | 1 | Номер телефона |
| 2 | Адрес электронной почты | |
| CreateDate | 3 | Дата создания учётной записи |
| GroupId | 4 | Идентификаторы группы пользователя |
Код параметра указывается в поле Column
Операции сравнения могут быть следующих типов:
| Тип | Код | Описание |
|---|---|---|
| Equal | 0 | Строгое равенство |
| NotEqual | 1 | Не равно |
| Like | 2 | Содержит |
| Greater | 3 | Больше |
| Less | 4 | Меньше |
Код операции указывается в поле Operation
Тип cравнения Like определяет, совпадает ли указанная символьная строка с заданным шаблоном. Шаблон может включать обычные символы и символы-шаблоны. Во время сравнения с шаблоном необходимо, чтобы его обычные символы в точности совпадали с символами, указанными в строке. Символы-шаблоны могут совпадать с произвольными элементами символьной строки.
Поддерживаются следующие символы шаблоны:
| Символ-шаблон | Описание | Пример |
|---|---|---|
| % | Любая строка, содержащая ноль или более символов. | %вано% |
| (подчеркивание) | Любой одиночный символ. | _етров |
| [ ] | Любой одиночный символ, содержащийся в диапазоне ([a-f]) или наборе ([abcdef]). | [Л-С]омов |
| [^] | Любой одиночный символ, не содержащийся в диапазоне ([^a-f]) или наборе ([^abcdef]). | ‘ив[^а]% |
Параметры StartPosition и EndPosition определяют начальную и конечную позицию из итоговой выборки. Данные параметры могут быть использованы для постраничной выборки пользователей
При поиске пользователей по времени создания значение фильтра должно иметь следующий формат: yyyy-MM-ddThh:mm:ss
Общее количество элементов подпадающих под критерии фильтра возвращается в параметре TotalCount . Количество элементов отданных методом возвращается в параметре AffectedCount : AffectedCount
Примеры запросов
Получить пользователя с заданным логином:
POST https://host/STS/ums/users HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 101 Expect: 100-continue <"StartPosition":1,"EndPosition":1,"Filters":[<"Column":0,"Operation":0,"Value":"DssTest-dc3bf3f5">]> Проверка были ли создан пользователь с заданным логином в указанным промежуток времени:
POST https://host/STS/ums/users HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 172 Expect: 100-continue <"StartPosition":1,"EndPosition":1,"Filters":[<"Column":0,"Operation":0,"Value":"DssTest-2fa204c5">,]> Получить пользователей созданных в указанный промежуток времени:
POST https://host/STS/ums/users HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 161 Expect: 100-continue <"StartPosition":1,"EndPosition":10,"Filters":[<"Column":3,"Operation":4,"Value":"2018-08-25T04:24:50">,]> Пример ответа
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Content-Type: application/json; charset=utf-8 Expires: -1 Content-Length: 386 <"UserInfos":[<"UserId":"d1831dea-985f-4df1-a54b-2497eeace2f2","Login":"DssTest-dc3bf3f5","PhoneNumber":null,"Email":null,"PhoneConfirmed":false,"EmailConfirmed":false,"DisplayName":null,"DistinguishName":"","AccountLocked":false,"Group":"Default","CreationDate":"2018-08-24T14:36:33.02","LockoutDate":null,"LastLoginDate":"2018-08-24T14:36:33.02">],"TotalCount":2047,"AffectedCount":1> Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 404 | user_not_found | Пользователь не найден. |
| 500 | An error has occurred | Неверно указано значение или тип фильтра. |
Получение сведенией о myDSS
Ниже приведён список методов, которые позволяют проверить:
- назначен ли пользователю ключ аутентификации myDSS
- срок действия ключа аутентификации myDSS
- назначен ли пользователю метод аутентификации myDSS
- список действий требующих подтверждения
Проверка назначен ли ключ аутентификации myDSS пользователю
Пример запроса
GET https://host/STS/ums/user/c9b4b217-edc1-4329-be4d-1cddaecdea4d/mobileauth HTTP/1.1 Accept: application/json Host:host Примеры ответов
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Content-Type: application/json; charset=utf-8 Expires: -1 Content-Length: 91
Если ключ аутентификации не назначен пользователю ответ сервиса будет содержать null:
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Content-Type: application/json; charset=utf-8 Expires: -1 Content-Length: 4 null Получение схемы аутентификации пользователя
Пример запроса
GET https://host/STS/ums/user/01df2040-3e16-4405-9947-fc4152448c13/authmethod HTTP/1.1 Accept: application/json Host: host Пример ответа
Сервис возвращает список элементов содержащих:
- Идентификатор метода аутентификации
- Уровень метода аутентификации
Методы первичной аутентификации имеют уровень 0.
Методы вторичной аутентификации имеют уровень 1.
Список идентификаторов методов первичной аутентификации:
| Идентификатор | Описание |
|---|---|
| http://schemas.microsoft.com/ws/2012/09/identity/authenticationmethod/none | Только идентификация |
| http://dss.cryptopro.ru/identity/authenticationmethod/password | По паролю |
| http://dss.cryptopro.ru/identity/authenticationmethod/certificate | По сертификату |
| http://dss.cryptopro.ru/identity/authenticationmethod/saml | Через сторонний Центр Идентификации |
Список идентификаторов методов вторичной аутентификации:
| Идентификатор | Описание |
|---|---|
| http://dss.cryptopro.ru/identity/authenticationmethod/mobile | Аутентификация через мобильное приложение myDSS 1.0 |
| http://dss.cryptopro.ru/identity/authenticationmethod/otpviasms | Одноразовые пароли по SMS |
| http://dss.cryptopro.ru/identity/authenticationmethod/otpviaemail | Одноразовые пароли по Email |
| http://dss.cryptopro.ru/identity/authenticationmethod/oath | Аутентификация по протоколу Oath |
| http://dss.cryptopro.ru/identity/authenticationmethod/simauth | Аутентификация на SIM-карте |
| http://dss.cryptopro.ru/identity/authenticationmethod/airkey | Аутентификация через мобильное приложение Indeed AirKey |
| http://dss.cryptopro.ru/identity/authenticationmethod/mydss | Аутентификация через мобильное приложение с DSS SDK |
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Content-Type: application/json; charset=utf-8 Expires: -1 Content-Length: 189 [,] Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 404 | user_not_found | Пользователь не найден. |
Получение списка операций, требующих подтверждения
Пример запроса
GET https://host/STS/ums/user/8386abb0-b3d0-44c0-96a7-90d635e45d21/operationpolicy HTTP/1.1 Accept: application/json Host: 192.168.109.149 Пример ответа
Описание операций приведено в разделе выше
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Content-Type: application/json; charset=utf-8 Expires: -1 Content-Length: 679 [,,,,,,,,,,,] Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 404 | user_not_found | Пользователь не найден. |
Отключение myDSS
Отключение аутентификации через myDSS состоит из последовательности шагов:
- Отключить требования подтверждения операций
- Отключить метода аутентификации myDSS
- Удалить ключ аутентификации пользователя
Отключение требований подтверждения операций
Примечание
Отключение методов аутентификации требуется, если myDSS является единственным способом вторичной аутентификации. Если пользователю назначены другие способы аутентификации (например, одноразовые пароли по SMS), то отключение методов не требуется.
Примечание
Если отключить метод аутентификации myDSS, не отключив требование подтверждения операций операций, то пользователь не сможет выполнить данные операции.
Пример запроса
POST https://192.168.109.149/STS/ums/user/206adc4f-3262-469c-9871-b7a7cabaa979/operationpolicy HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: 192.168.109.149 Content-Length: 2 Expect: 100-continue [] Пример ответа
Метод не имеет возвращаемого значения
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Expires: -1 Content-Length: 0 Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 404 | user_not_found | Пользователь не найден. |
Отключение метода аутентификации
Пример запроса
DELETE https://host/STS/ums/user/e06a4bc1-4c31-4f8d-a7a7-920b66ca4ad6/authmethod/mobileauth HTTP/1.1 Accept: application/json Host: host Content-Length: 0 Пример ответа
Метод не имеет возвращаемого значения
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Expires: -1 Content-Length: 0 Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 404 | user_not_found | Пользователь не найден. |
Удаление ключа аутентификации
Пример запроса
DELETE https://host/STS/ums/user/a17efd43-181a-45b7-8d60-088b6889480c/mobileauth HTTP/1.1 Accept: application/json Host: host Content-Length: 0 Пример ответа
Методе не имеет возвращаемого значения.
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Expires: -1 Content-Length: 0 Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 404 | user_not_found | Пользователь не найден. |
| 400 | wrong_operation | Нельзя удалить ключ аутентификации пользователя не отключив метод аутентификации myDSS |
Задание отпечатка устройства
Отпечаток устройство однозначно связывает ключ аутентификации и мобильное устройство пользователя. В типовом сценарии отпечаток устройство регистрируется автоматически в момент сканирования QR-кода с ключом аутентификации.
Требуется ли привязка ключа аутентификации к устройству пользователя задаётся Администратором на сервере DSS:
Set-DssMobileAuthProperties -DeviceFingerprintRequired 1 Пример запроса
POST https://host/STS/ums/user/78d9d77b-6b76-4045-a8e0-579e70fba468/mobileauth/thumbprint HTTP/1.1 Accept: application/json Content-Type: application/json; charset=utf-8 Host: host Content-Length: 8 Expect: 100-continue "abcdef" Пример ответа
Метод не имеет возвращаемого значения.
HTTP/1.1 200 OK Cache-Control: no-cache Pragma: no-cache Expires: -1 Content-Length: 0 Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 404 | user_not_found | Пользователь не найден. |