Как интегрировать авторизацию через ЕСИА на сайт?

Question

[SciFi]

Для авторизации через ЕСИА (госуслуги) используется протокол SAML. Стандартом для PHP в решении этого вопроса стала библиотека SimpleSAML.
При интеграции пытаюсь следовать этой инструкции. Но очень многие моменты в ней опущены. Например: что делать с файлом метаданных? Куда его класть? Как-то нужно в конфигах указать для него путь?
В настоящий момент делаю так:
1. В simplesaml/metadata/saml20-idp-remote.php пишу данные для подключения:

$metadata['https://esia-portal1.test.gosuslugi.ru/idp/shibboleth'] = array(
    'name' => array(
        'ru' => 'Авторизация ЕСИА'
    ),
    'privatekey' => 'private.key', //путь к файлу закрытого ключа
    'certificate' => 'open.crt', //путь к сертификату открытого ключа
    'SingleSignOnService' => 'https://esia-portal1.test.gosuslugi.ru',
);

2. В файле simplesaml/config/authsources.php в entityID указываю адрес сайта и сертификаты, как сказано по ссылке выше.
3. Сделан alias на папку simplesaml и php_admin_value mbstring.func_overload 0

Теперь при попытке логина через стандартные интерфейсы SimpleSAML происходит переход на страницу авторизации ЕСИА. Я ввожу данные, меня авторизует, но не происходит редиректа обратно на сайт и не передаются данные о пользователе обратно.
Что я упустил?

Comments

[OlegK1974]

Добрый день!
Получилось решить проблему? Если да, то как?

[exman82]

OlegK1974: у меня получилось!

[IBos]

Подскажите, пожалуйста, как решили проблему.
У меня та же проблема

Answer 1

[jerry_ru]

Давайте будем использовать терминологию ЕСИА:
1. файл метаданных отсылается самой ЕСИА при регистрации вашей ИС. Вы это сделали и вашу ИС зарегистрировали?
2. вам самим сертификаты не нужны - вам нужен только закрытый ключ, сертификат открытой части которого вы отправили ЕСИА в файле метаданных
3. как реализовать это в php я, к сожалению, подсказать не могу.

Если в итоге у вас не получится, то есть готовые решения, включающие как консультации, так и програмные модули(в том числе и для php): esia.pro

Answer 2

[IvanVP]

Есть решение для Ruby on Rails + Devise
https://rubygems.org/gems/omniauth-esia
https://github.com/elsant/omniauth-esia

Answer 3

[exman82]

SciFi , удалось победить SimpleSAML?

Answer 4

[Кирилл]

Да, также интересен результат. Насколько мне известно, к ЕСИА подключались и с использованием таких библиотек как SimpleSAML и OIOSAML.
Что касается готовых решений, то помимо упомянутого выше, имеется и решение от команды разработчиков ЕСИА: identityblitz.ru/products/esia-bridge
Оно правда основано не на протоколе SAML, а OAuth 2.0/OpenID Connect, но для ряда организаций это даже лучше.

Comments

[stasmat]

Так вот кто сделал эту систему! Разработчики ЕСИА вместо того, чтобы теперь продавать возможность работать со своей системой могли бы сделать адекватную документацию и прозрачную схему работы. А сейчас ситуация такая, что сторонние организации делают за вас вашу работу: код для работы с ЕСИА и техническую поддержку.

[Кирилл]

На мой взгляд, документация вполне нормальная. Ее никто не скрывает, все подробно расписано вот здесь:
www.minsvyaz.ru/ru/documents/4243
И, насколько я знаю, нет ни одного кейса, чтобы адекватные разработчики не могли бы подключить свою систему к ЕСИА.
Соглашусь только в части технической поддержки, но, увы, разработчики ЕСИА не оказывают поддержку, это делает Эксплуатация ЕСИА.

[stasmat]

Кирилл: А я и не говорил, что документацию скрывают. Если бы документация и сам процесс были понятными, то не появлялось бы сторонних предложений и постоянных вопросов на хабре "как это сделать".

Answer 5

[tatar3005]

У кого получилось поделитесь как вы это сделали