Сервис авторизации-SberBusiness ID

Общая информация

API сервиса авторизации реализован по Authorization Code Flow. Авторизация и аутентификация выполняется путем переадресации пользователя с запросом /authorize на страницу входа в Сбербанк Бизнес Онлайн и запроса /token для получения Access token.

Возможности сервиса

1. Единая аутентификация SberBusinessAPI позволяет пользователю, аутентифицированному в АС СББОЛ, получить доступ к сервису без повторной аутентификации.

2. Авторизация

SberBusinessAPI позволяет клиенту выдавать партнеру право на работу со своими данными и отправку черновиков платежных документов в адрес клиента. Доступ к данным клиента осуществляется только при наличии согласия клиента на передачу данных партнеру (например, в виде подписанной клиентом оферты).

Согласие на передачу данных и документарных операций (оферта) может быть отозвано по инициативе пользователя, по причине окончания срока ее действия.

3. Доступ к пользовательским данным

SberBusinessAPI позволяет идентифицировать пользователя для его последующей авторизации. Получение данных о пользователе позволяет сервису выполнять упрощенную регистрацию для новых пользователей своих сервисов.

Точный набор передаваемых атрибутов пользователя формируется для каждого сервиса индивидуально.

Требования к сервису

Для обеспечения взаимодействия партнера с клиентом должно быть разработано и зарегистрировано в банке приложение партнера (внешний сервис), соответствующее определенным требованиям.

Приложение должно быть реализовано с поддержкой OpenIDConnect/OAuth 2.0 и обеспечивать следующую функциональность:

  • Проверка подлинности клиента (формирование и проверка параметров State и Nonce).
  • Распознавание перехода клиента по ссылке из банка (в том числе определение типа клиента WEB/TOKEN).
  • Формирование запроса кода авторизации (Authorization Code).
  • Обработка ответа ресурса /v2/oauth/authorize.
  • Формирование запроса на получение авторизационного токена для доступа к данным клиента (Access Token).
  • Обработка ответа ресурса /v2/oauth/token (в том числе расшифровка ID Token).
  • Формирование запроса на получение нового авторизационного токена для доступа к данным клиента (с помощью Refresh Token).
  • Формирование запроса на получение информации о пользователе.
  • Обработка ответа ресурса /v1/oauth/user-info.
  • Подпись запросов (опционально).

Кроме того, сервис партнера проходит проверку службы безопасности на устойчивость к уязвимостям из перечня OWASP Top 10.

В случае возникновения ошибок работы сервиса Банком будут запрошены логи обмена со стороны сервиса для выявления причины ошибок. Рекомендуем реализовать логирование всех взаимодействий с Банком с фиксацией отправляемых/получаемых пакетов.

Заметили ошибку?

Выделите текст и нажмите Ctrl + Enter, чтобы сообщить нам о ней