ym88659208ym87991671
Сервис СберБизнес ID | Документация для разработчиков

Сервис СберБизнес ID

Обновлено 13 июля 2023

Обратите внимание: для сохранения доступа к тестированию сервисов канала SberBusinessAPI необходимо перейти на новый тестовый контур ИФТ. При переходе на новый тестовый контур с вашей стороны доработок учетной системы не потребуется. TLS сертификат останется прежним. В ближайшее время текущий тестовый контур EDUPIR будет недоступен.

Общая информация

Сервис авторизации СберБизнес ID построен на базе протокола OAuth 2.0, с использованием типа авторизации Authorization Code Flow и с дополнительными параметрами и значениями, определенными протоколом OpenID Connect. Авторизация с помощью СберБизнес ID позволяет Приложению Партнера получить информацию о клиенте банка и выполнять операции от имени клиента банка в системе СберБизнес. Доступ до информации клиента и возможность выполнения действий от его лица предоставляется только с согласия клиента.

Вход через СберБизнес ID позволяет:

  • Клиентам быстро и без заполнения дополнительных форм регистрации создать учетную запись в Приложении Партнера. При этом Приложении Партнера получит подлинные данные о клиенте, проверенные банком.

  • Осуществлять безопасный вход с использованием двухфакторной аутентификации.

  • Осуществлять переход между Партнерскими приложениями, в которых реализован вход через СберБизнес ID, без повторного ввода логина и пароля.

  • Использовать сервисы SberBusinessAPI, позволяющие клиенту выдавать партнеру право на работу со своими данными и отправку черновиков платежных и других типов документов в адрес клиента.

Вход через СберБизнес ID

Перед изучением раздела рекомендуется ознакомиться с используемой терминологией.

Процесс входа через СберБизнес ID представлен на схеме ниже.

Схема процесса

Сценарий использования и возможности входа через СберБизнес ID:

  • На странице Приложения Партнера размещается кнопка «Войти по СберБизнес ID».

  • При нажатии на кнопку «Войти по СберБизнес ID» Приложение Партнера осуществляет перенаправления браузера пользователя на страницу авторизации СберБизнес ID. См. описание вызова в разделе Authorization code.

  • На странице авторизации СберБизнес ID Пользователь выполняет вход в СберБизнес ID и дает разрешение на доступ к ресурсам и сведениям Приложению Партнера (Согласие на передачу данных).

  • СберБизнес ID перенаправляет авторизованного пользователя обратно в Приложение Партнера вместе с кодом авторизации.

  • Приложение Партнера обращается к сервису СберБизнес ID и обменивает код авторизации на Access Token. См. описание обмена кода авторизации на токен в разделе Access Token, Refresh Token.

  • Используя Access Token, Приложение Партнера запрашивает информацию о клиенте. См. описание порядка получения информации о клиенте в разделе User-info.

  • После получения информации о клиенте Приложение Партнера создает новую учетную запись для пользователя и отображает клиенту страницу своего приложения.

Согласие на передачу данных и подписка

Согласие на передачу данных (оферта) - это документ, который Банк запрашивает у Клиента и подтверждающий право Банка на передачу информации о Клиенте третьему лицу (Партнеру), выполнению операций третьим лицом (Партнером) от лица Клиента. Согласие (оферта) содержит информацию о том к каким данным, операциям и на какой срок предоставлен доступ Партнеру. При предоставлении Партнеру доступа к данным своих счетов клиент в явном виде указывает каждый счет, к которому предоставляет доступ.

Согласие на передачу данных

Согласие запрашивается при обращении к сервису авторизации СберБизнес ID:

  • При первичном обращении пользователя к Партнерскому Приложению через сервис СберБизнес ID;

  • При повторном обращении, в случае если:

    • Истек срок действия предыдущего согласия;

    • Предыдущее согласие было отозвано пользователем;

    • Состав запрашиваемого согласия (scope) изменился относительно принятого ранее согласия и используется вторая версия авторизации /v2/oauth/authorize.

Согласие на передачу данных не требуется, если Приложения Партнера использует получение и отправку документов только по своей организации.

Если пользователь отзывает согласие, то все выданные токены (Access Token, Refresh Token) деактивируются.

Если Приложение Партнера использует устаревшую версию авторизации /v1/oauth/authorize и состав запрашиваемых разрешений в составе scope изменился, то для получения согласия от Пользователя с новыми разрешениями необходимо перейти на вторую версию авторизации /v2/oauth/authorize.

Требования к Приложению Партнера

Для обеспечения взаимодействия Приложения Партнера с сервисом СберБизнес ID:

  • Приложение Партнера должно быть зарегистрировано в сервисе СберБизнес ID.

  • Приложение Партнера должно выполнять проверки в соответствии с требованием спецификаций: OAuth 2.0, OpenIDConnect.

  • Кнопка входа в Приложение Партнера через СберБизнес ID должна отвечать требованиям дизайна пользовательского интерфейса.

  • Приложение Партнера должно пройти проверку службы безопасности на устойчивость к уязвимостям из перечня OWASP Top 10.

  • В случае возникновения ошибок работы межсервисного взаимодействия, для анализа вопроса, Банком будут запрошены логи обмена со стороны партнера. Рекомендуем реализовать логирование всех взаимодействий с Банком с фиксацией отправляемых/получаемых пакетов.

ПАО Сбербанк использует cookie для персонализации сервисов и удобства пользователей.
Вы можете запретить сохранение cookie в настройках своего браузера.