Сервис авторизации СберБизнес ID

Общая информация

Сервис авторизации СберБизнес ID построен на базе протокола OAuth 2.0, с использованием типа авторизации Authorization Code Flow и с дополнительными параметрами и значениями, определенными протоколом OpenID Connect. Авторизация с помощью СберБизнес ID позволяет Приложению Партнера получить информацию о клиенте банка и выполнять операции от имени клиента банка в системе СберБизнес. Доступ до информации клиента и возможность выполнения действий от его лица предоставляется только с согласия клиента.

Вход через СберБизнес ID позволяет:

  • Клиентам быстро и без заполнения дополнительных форм регистрации создать учетную запись в Приложении Партнера. При этом Приложении Партнера получит подлинные данные о клиенте, проверенные банком.
  • Осуществлять безопасный вход с использованием двухфакторной аутентификации.
  • Осуществлять переход между Партнерскими приложениями, в которых реализован вход через СберБизнес ID, без повторного ввода логина и пароля.
  • Использовать сервисы SberBusinessAPI, позволяющие клиенту выдавать партнеру право на работу со своими данными и отправку черновиков платежных и других типов документов в адрес клиента.

Вход через СберБизнес ID

Перед изучением раздела рекомендуется ознакомиться с используемой терминологией.

Процесс входа через СберБизнес ID представлен на схеме ниже.

Схема процесса

Сценарий использования и возможности входа через СберБизнес ID:

  • На странице Приложения Партнера размещается кнопка «Войти по СберБизнес ID».
  • При нажатии на кнопку «Войти по СберБизнес ID» Приложение Партнера осуществляет перенаправления браузера пользователя на страницу авторизации СберБизнес ID. См. описание вызова в разделе Authorization code.
  • На странице авторизации СберБизнес ID Пользователь выполняет вход в СберБизнес ID и дает разрешение на доступ к ресурсам и сведениям Приложению Партнера (Согласие на передачу данных).
  • СберБизнес ID перенаправляет авторизованного пользователя обратно в Приложение Партнера вместе с кодом авторизации.
  • Приложение Партнера обращается к сервису СберБизнес ID и обменивает код авторизации на Access Token. См. описание обмена кода авторизации на токен в разделе Access Token, Refresh Token.
  • Используя Access Token, Приложение Партнера запрашивает информацию о клиенте. См. описание порядка получения информации о клиенте в разделе User-info.
  • После получения информации о клиенте Приложение Партнера создает новую учетную запись для пользователя и отображает клиенту страницу своего приложения.

Согласие на передачу данных и подписка

Согласие на передачу данных (оферта) - это документ, который Банк запрашивает у Клиента и подтверждающий право Банка на передачу информации о Клиенте третьему лицу (Партнеру), выполнению операций третьим лицом (Партнером) от лица Клиента. Согласие (оферта) содержит информацию о том к каким данным, операциям и на какой срок предоставлен доступ Партнеру. При предоставлении Партнеру доступа к данным своих счетов клиент в явном виде указывает каждый счет, к которому предоставляет доступ.

Согласие на передачу данных

Согласие запрашивается при обращении к сервису авторизации СберБизнес ID:

  • При первичном обращении пользователя к Партнерскому Приложению через сервис СберБизнес ID;
  • При повторном обращении, в случае если:

    • Истек срок действия предыдущего согласия;
    • Предыдущее согласие было отозвано пользователем;
    • Состав запрашиваемого согласия (scope) изменился относительно принятого ранее согласия и используется вторая версия авторизации /v2/oauth/authorize.

Согласие на передачу данных не требуется, если Приложения Партнера использует получение и отправку документов только по своей организации.

Если пользователь отзывает согласие, то все выданные токены (Access Token, Refresh Token) деактивируются.

Если Приложение Партнера использует устаревшую версию авторизации /v1/oauth/authorize и состав запрашиваемых разрешений в составе scope изменился, то для получения согласия от Пользователя с новыми разрешениями необходимо перейти на вторую версию авторизации /v2/oauth/authorize.

Требования к Приложению Партнера

Для обеспечения взаимодействия Приложения Партнера с сервисом СберБизнес ID:

  • Приложения Партнера должно быть зарегистрировано в сервисе СберБизнес ID.
  • Приложение партнера должно выполнять проверки в соответствии с требованием спецификаций: OAuth 2.0, OpenIDConnect.
  • Кнопка входа в Приложение Партнера через СберБизнес ID должна отвечать требованиям дизайна пользовательского интерфейса.
  • Приложение Партнера, должно пройти проверку службы безопасности на устойчивость к уязвимостям из перечня OWASP Top 10.
  • В случае возникновения ошибок работы межсервисного взаимодействия, для анализа вопроса, Банком будут запрошены логи обмена со стороны партнера. Рекомендуем реализовать логирование всех взаимодействий с Банком с фиксацией отправляемых/получаемых пакетов.

Заметили ошибку?

Выделите текст и нажмите Ctrl + Enter, чтобы сообщить нам о ней