Сервис СберБизнес ID
Обратите внимание: для сохранения доступа к тестированию сервисов канала SberBusinessAPI необходимо перейти на новый тестовый контур ИФТ. При переходе на новый тестовый контур с вашей стороны доработок учетной системы не потребуется. TLS сертификат останется прежним. В ближайшее время текущий тестовый контур EDUPIR будет недоступен.
Общая информация
Сервис авторизации СберБизнес ID построен на базе протокола OAuth 2.0, с использованием типа авторизации Authorization Code Flow и с дополнительными параметрами и значениями, определенными протоколом OpenID Connect. Авторизация с помощью СберБизнес ID позволяет Приложению Партнера получить информацию о клиенте банка и выполнять операции от имени клиента банка в системе СберБизнес. Доступ до информации клиента и возможность выполнения действий от его лица предоставляется только с согласия клиента.
Вход через СберБизнес ID позволяет:
Клиентам быстро и без заполнения дополнительных форм регистрации создать учетную запись в Приложении Партнера. При этом Приложении Партнера получит подлинные данные о клиенте, проверенные банком.
Осуществлять безопасный вход с использованием двухфакторной аутентификации.
Осуществлять переход между Партнерскими приложениями, в которых реализован вход через СберБизнес ID, без повторного ввода логина и пароля.
Использовать сервисы SberBusinessAPI, позволяющие клиенту выдавать партнеру право на работу со своими данными и отправку черновиков платежных и других типов документов в адрес клиента.
Вход через СберБизнес ID
Перед изучением раздела рекомендуется ознакомиться с используемой терминологией.
Процесс входа через СберБизнес ID представлен на схеме ниже.
Сценарий использования и возможности входа через СберБизнес ID:
На странице Приложения Партнера размещается кнопка «Войти по СберБизнес ID».
При нажатии на кнопку «Войти по СберБизнес ID» Приложение Партнера осуществляет перенаправления браузера пользователя на страницу авторизации СберБизнес ID. См. описание вызова в разделе Authorization code.
На странице авторизации СберБизнес ID Пользователь выполняет вход в СберБизнес ID и дает разрешение на доступ к ресурсам и сведениям Приложению Партнера (Согласие на передачу данных).
СберБизнес ID перенаправляет авторизованного пользователя обратно в Приложение Партнера вместе с кодом авторизации.
Приложение Партнера обращается к сервису СберБизнес ID и обменивает код авторизации на Access Token. См. описание обмена кода авторизации на токен в разделе Access Token, Refresh Token.
Используя Access Token, Приложение Партнера запрашивает информацию о клиенте. См. описание порядка получения информации о клиенте в разделе User-info.
После получения информации о клиенте Приложение Партнера создает новую учетную запись для пользователя и отображает клиенту страницу своего приложения.
Согласие на передачу данных и подписка
Согласие на передачу данных (оферта) - это документ, который Банк запрашивает у Клиента и подтверждающий право Банка на передачу информации о Клиенте третьему лицу (Партнеру), выполнению операций третьим лицом (Партнером) от лица Клиента. Согласие (оферта) содержит информацию о том к каким данным, операциям и на какой срок предоставлен доступ Партнеру. При предоставлении Партнеру доступа к данным своих счетов клиент в явном виде указывает каждый счет, к которому предоставляет доступ.
Согласие запрашивается при обращении к сервису авторизации СберБизнес ID:
При первичном обращении пользователя к Партнерскому Приложению через сервис СберБизнес ID;
При повторном обращении, в случае если:
Истек срок действия предыдущего согласия;
Предыдущее согласие было отозвано пользователем;
Состав запрашиваемого согласия (scope) изменился относительно принятого ранее согласия и используется вторая версия авторизации /v2/oauth/authorize.
Согласие на передачу данных не требуется, если Приложения Партнера использует получение и отправку документов только по своей организации.
Если пользователь отзывает согласие, то все выданные токены (Access Token, Refresh Token) деактивируются.
Если Приложение Партнера использует устаревшую версию авторизации /v1/oauth/authorize и состав запрашиваемых разрешений в составе scope изменился, то для получения согласия от Пользователя с новыми разрешениями необходимо перейти на вторую версию авторизации /v2/oauth/authorize.
Требования к Приложению Партнера
Для обеспечения взаимодействия Приложения Партнера с сервисом СберБизнес ID:
Приложение Партнера должно быть зарегистрировано в сервисе СберБизнес ID.
Приложение Партнера должно выполнять проверки в соответствии с требованием спецификаций: OAuth 2.0, OpenIDConnect.
Кнопка входа в Приложение Партнера через СберБизнес ID должна отвечать требованиям дизайна пользовательского интерфейса.
Приложение Партнера должно пройти проверку службы безопасности на устойчивость к уязвимостям из перечня OWASP Top 10.
В случае возникновения ошибок работы межсервисного взаимодействия, для анализа вопроса, Банком будут запрошены логи обмена со стороны партнера. Рекомендуем реализовать логирование всех взаимодействий с Банком с фиксацией отправляемых/получаемых пакетов.