Войти как партнер
Войти как партнер
Перейти к содержанию

Создание и настройка приложений в Trusted.ID#

В этом руководстве вы узнаете, как создавать и настраивать OAuth 2.0 и OIDC приложения в Trusted.ID. Мы подробно разберём создание web и native приложений, настройку виджета входа, управление пользователями и доступом.

Содержание:

⚠️ Ограничение: Управление приложениями доступно в кабинете администратора, организации или приложения (малом кабинете) в зависимости от вашей роли.

Создание приложения#

Создание веб-приложения OAuth#

Веб-приложение — это стандартное приложение, которое работает в браузере пользователя и взаимодействует с Trusted.ID по протоколам OAuth 2.0 и OpenID Connect.

Чтобы создать веб-приложение:

  1. Перейдите в кабинет администратора, организации или приложения (малый кабинет).
  2. Откройте вкладку Приложения.
  3. Нажмите кнопку Создать Кнопка создания приложения.
  4. Откроется форма создания приложения.

  5. Укажите обязательные параметры приложения:

    • Название приложения,
    • Адрес приложения в формате протокол://доменное имя:порт,
    • Возвратный URL # (redirect_uris) — адрес, на который пользователь переадресовывается после авторизации,
    • URL выхода из системы # (post_logout_redirect_uris) — адрес, на который переадресовывается пользователь после выхода.

  6. Нажмите Создать.

💡 При создании формируются дополнительные поля приложения, которые можно посмотреть и отредактировать в настройках приложения:

  • Идентификатор (client_id) — используется для идентификации приложения;
  • Секретный ключ (client_secret) — используется для аутентификации подлинности приложения, когда приложение запрашивает доступ к аккаунту пользователя. Секретный ключ должен быть известен только приложению.

Создание нативного OAuth-приложения#

Нативное приложение — это приложение, которое разработано специально для определённой операционной системы.

Чтобы создать нативное приложение:

  1. Перейдите в кабинет администратора, организации или приложения (малый кабинет).
  2. Откройте вкладку Приложения.
  3. Нажмите кнопку Создать Кнопка создания приложения.
  4. Откроется форма создания приложения.

  5. Укажите обязательные параметры приложения:

    • Название приложения,
    • Адрес приложения — локальный адрес приложения в формате myapp://callback (требуется для завершения создания, но не используется в нативных приложениях,),
    • Возвратный URL # (redirect_uris) — локальный адрес, на который будет возвращён пользователь после авторизации, например, myapp://callback,
    • URL выхода из системы # (post_logout_redirect_uris) — локальный адрес переадресации после выхода (например: myapp://logout).

  6. Нажмите Создать.

  7. Откройте созданное приложение и нажмите на Редактировать Переход в настройки приложения по кнопке.

  8. В открывшейся форме редактирования:

    • Выберите native в настройке Тип приложения;
    • Выберите none в настройках с методами аутентификации.

    Создание нативного приложения OAuth в Trusted.ID

  9. Сохраните изменения.

Дальше настройте авторизацию на стороне вашего приложения:

  • используйте PKCE (Proof Key for Code Exchange) при запросе авторизационного кода;
  • используйте ранее указанный redirect_uri для обработки результата авторизации;
  • выполняйте обновление токена по протоколу OAuth 2.0.

Управление приложениями#

Просмотр приложения#

  1. Перейдите в кабинет администратора, организации или приложения (малый кабинет).
  2. Откройте вкладку Приложения.

  3. Нажмите на панель с приложением, профиль которого необходимо просмотреть.

    Список OAuth приложений в Trusted.ID

  4. Откроется форма с профилем приложения.

    Просмотр OAuth приложения в Trusted.ID

Редактирование приложения#

  1. Перейдите в кабинет администратора, организации или приложения (малый кабинет).
  2. Откройте вкладку Приложения.
  3. Нажмите на панель с приложением, которое необходимо отредактировать.
  4. Откроется форма просмотра приложения.
  5. Нажмите на кнопку Редактировать Переход в настройки приложения по кнопке.
  6. Откроется форма редактирования приложения.
  7. Внесите необходимые изменения в параметры приложения.
  8. Сохраните изменения.

Удаление приложения#

⚠️ Внимание: Удаление приложения — необратимая операция. Все связанные данные будут удалены из системы.

Чтобы удалить приложение:

  1. Перейдите в кабинет администратора, организации или приложения (малый кабинет).
  2. Откройте вкладку Приложения.
  3. Нажмите на панель с приложением, которое необходимо отредактировать.
  4. Откроется форма просмотра приложения.
  5. Нажмите на кнопку Удалить Кнопка Удалить.

  6. Подтвердите действие в модальном окне.

    Удаление OAuth приложения в Trusted.ID

После подтверждения действия приложение удалится из Trusted.ID.

Приглашения в приложения#

Механизм приглашений позволяет ограничить доступ к приложению и предоставлять его только заранее выбранным пользователям. Это удобно, если приложение предназначено для закрытого круга пользователей.

Включение ограничения доступа#

Чтобы сделать приложение доступным только для приглашенных пользователей:

  1. Откройте форму редактирования приложения. Как открыть форму редактирования →
  2. Включите настройку Запрет доступа для внешних пользователей
  3. Сохраните изменения.

Что происходит после включения:

  • Участники приложения — могут войти как обычно.
  • Неприглашенные пользователи — видят сообщение об отказе в доступе.
  • Новые пользователи — могут войти только после получения приглашения.

Отправка приглашений пользователям#

📌 Отправка приглашений доступна пользователям с ролями: Администратор сервиса, Управленец, Администратор приложения.

🚨 Настройка шаблона письма с приглашением доступна пользователям с полномочиями Администратор сервиса в кабинете администратора, в разделе Шаблоны писем.

Чтобы отправить приглашение пользователю:

  1. Откройте форму просмотра приложения. Как открыть форму просмотра →.

  2. Нажмите кнопку Пригласить.

  3. В открывшемся окне укажите email-адреса пользователей:

    • введите email и нажмите Enter;
    • для добавления нескольких адресов используйте разделители: пробел, запятую ,, точку с запятой ;.

💡 Email-адреса проверяются по правилам валидации. Неправильные адреса будут отклонены.

  1. Нажмите Отправить.

На указанные email-адреса отправляется письмо с ссылкой для быстрого перехода в приложение.

💡 Приглашения будут активны до отмены или принятия.

Что видят пользователи#

Пользователь, получивший приглашение, получает email с письмом, содержащим ссылку для входа в приложение. Приглашение также отображается в разделе Запросы личного профиля пользователя. Принять приглашение можно двумя способами: перейдя по ссылке из письма или выбрав приглашение в разделе «Запросы» профиля.

Как принять приглашение в приложение →

Приглашение защищено механизмом проверки: оно действует только для того email-адреса, на который было отправлено. Пользователь должен войти в систему именно под этим адресом, чтобы принять приглашение. Это предотвращает передачу доступа другим лицам.

Если пользователь еще не зарегистрирован в системе, ему необходимо зарегистрироваться, указав тот же email, на который пришло приглашение. После успешной регистрации доступ к приложению предоставляется автоматически.

Управление приглашениями#

Просмотр списка отправленных приглашений#

  1. Откройте форму просмотра приложения. Как открыть форму просмотра →.
  2. Раскройте раздел Список отправленных приглашений в приложение

Для каждого приглашения в списке отображается:

  • Email получателя
  • Дата отправки

Отмена приглашения#

Если нужно отозвать отправленное приглашение:

  1. Найдите приглашение в списке отправленных.
  2. Нажмите кнопку Удалить Кнопка Удалить на панели с приглашением.
  3. Подтвердите отмену приглашения.

Последствия отмены:

  • Ссылка в письме становится недействительной
  • Пользователь не сможет принять приглашение

Настройка виджета входа в приложение#

Виджет входа — это форма авторизации, которую видят пользователи при попытке войти именно в это приложение. Его настройки позволяют адаптировать внешний вид и способы входа под бренд и потребности вашего сервиса.

Как найти настройки виджета#

  1. Откройте форму редактирования приложения. Как открыть форму редактирования →
  2. Найдите блок Способы входа и нажмите Настроить.

Что можно настроить:

  • Заголовок и обложка — адаптируйте под бренд приложения,
  • Цветовая схема — цвета кнопок, соответствующие вашему дизайну,
  • Способы входа — выберите, какие провайдеры показывать,
  • Информационные блоки — добавьте правила использования или ссылки.

📚 Полное руководство по всем настройкам:
Для детального ознакомления со всеми параметрами и возможностями кастомизации перейдите к полному руководству по настройке виджета входа →.

Пользователи приложения#

Пользователи приложения (участники) — это пользователи системы Trusted.ID, которые предоставили вашему приложению разрешение на доступ к своим данным.

Как пользователь становится участником:

  1. Пользователь впервые обращается к вашему приложению.
  2. Система перенаправляет его на виджет входа Trusted.ID.
  3. Пользователь проходит аутентификацию и дает согласие на доступ к запрашиваемым данным.
  4. Приложение получает токен доступа, а пользователь добавляется в список участников.

Где управлять участниками:

  • Кабинет администратора — для управления всеми приложениями сервиса
  • Кабинет организации — для приложений, принадлежащих организации
  • Малый кабинет (приложения) — для управления конкретным приложением

💡 Важно: Управление участниками происходит на уровне приложения. Действия не влияют на глобальный аккаунт пользователя в Trusted.ID, а только на его связь с конкретным приложением.

Просмотр участников приложения#

  1. Перейдите в кабинет администратора, организации или приложения (малый кабинет).
  2. Откройте вкладку Приложения.
  3. Нажмите на панель с нужным приложением.

  4. Откроется профиль приложения с общей информацией.

    Профиль приложения с общей информацией в Trusted.ID

  5. В профиле приложения найдите раздел с участниками.

  6. Нажмите на панель с пользователем, профиль которого необходимо просмотреть.

  7. Откроется профиль пользователя, содержащий перечень данных, доступ к которым предоставил пользователь.

    Профиль пользователя в Trusted.ID

Назначение администратора приложения#

Когда это нужно: Чтобы делегировать права управления приложением доверенным пользователям. Администраторы приложения могут управлять его настройками и пользователями.

Чтобы назначить администратора приложения:

  1. Перейдите в кабинет администратора, организации или приложения (малый кабинет).
  2. Откройте вкладку Приложения.
  3. Нажмите на панель с приложением.
  4. Откроется профиль приложения.

  5. Вызовите меню действий для пользователя, которому необходимо изменить полномочия.

    Меню действий пользователя в Trusted.ID

  6. Выберите действие Изменить права.

  7. В появившемся окне выберите уровень полномочий Администратор.

    Окно выбора полномочий пользователя в Trusted.ID

  8. Нажмите Сохранить.

После сохранения изменений полномочия пользователя в приложении будут изменены.

✅ Что изменится:

  • Пользователь получит доступ к Малому кабинету этого приложения
  • Сможет управлять настройками приложения и его пользователями
  • Не получит доступ к другим приложениям или настройкам организации/сервиса

⚠️ Безопасность: Назначайте права администратора только доверенным пользователям. Администратор приложения может удалять других пользователей и изменять настройки интеграции.

Завершение сеансов пользователя в приложении#

Когда это нужно: При подозрении на компрометацию аккаунта, утечке устройства или для принудительного обновления токенов доступа.

Чтобы завершить сеансы пользователя:

  1. Перейдите в кабинет администратора, организации или приложения (малый кабинет).
  2. Откройте вкладку Приложения.
  3. Нажмите на панель с приложением.
  4. Откроется профиль приложения.
  5. Вызовите меню действий для пользователя, которому необходимо завершить все сеансы.
  6. Выберите действие Завершить сеансы.

  7. Подтвердите действие в модальном окне.

    Завершение сеансов пользователя в Trusted.ID

После подтверждения все сессии и токены для пользователя будут удалены.

✅ Что происходит после подтверждения:

  • Все активные сессии пользователя в этом приложении завершаются
  • Токены доступа (access_token) становятся недействительными
  • Токены обновления (refresh_token) аннулируются
  • Пользователю потребуется войти заново при следующем обращении к приложению

📌 Эта операция не блокирует пользователя. Он сможет авторизоваться снова.

Удаление пользователя из приложения#

Когда это нужно: Когда пользователю больше не нужен доступ к приложению, при увольнении сотрудника или по запросу пользователя.

Чтобы удалить пользователя из приложения:

  1. Перейдите в кабинет администратора, организации или приложения (малый кабинет).
  2. Откройте вкладку Приложения.
  3. Нажмите на панель с приложением.
  4. Откроется профиль приложения.
  5. Вызовите меню действий для пользователя, которого необходимо удалить из приложения.
  6. Выберите действие Удалить пользователя.

  7. Подтвердите действие в модальном окне.

    Удаление пользователя в Trusted.ID

После подтверждения пользователь будет удален из приложения.

✅ Что происходит после удаления:

  • Пользователь исчезает из списка участников приложения
  • Все его токены доступа к этому приложению аннулируются
  • При следующем обращении к приложению ему снова покажут запрос на согласие
  • Глобальный аккаунт пользователя в Trusted.ID остается нетронутым

Блокировка пользователя в приложении#

Когда это нужно: Для полного и постоянного запрета доступа пользователя к приложению без возможности восстановления.

Блокировка — это более серьезное действие, чем удаление. Заблокированный пользователь не сможет получить доступ к приложению даже с новым согласием.

Полное руководство по изменению статуса пользователя, включая блокировку, разблокировку и управление глобальным доступом, доступно в отдельной статье: 📚 Изменение статуса пользователя →

Полный справочник параметров приложения#

Основная информация#

Базовые сведения для отображения в интерфейсе и на виджете входа.

Параметр Описание Тип Обязательность
Название приложения Отображается в интерфейсе личного кабинета и виджете входа Текст (до 64 символов)
Описание приложения Краткое описание, отображаемое в интерфейсе сервиса Trusted.ID Текст (до 255 символов)
Логотип приложения Отображается в интерфейсе сервиса Trusted.ID и виджете входа Изображение в формате JPG, GIF, PNG, WEBP. Максимальный размер - 1 МБ.
Отображать в мини-виджете Добавляет приложение в мини-виджет для быстрого перехода к нему.
🔍 Подробнее читайте в инструкции Настройки мини-виджета.		 Переключатель (Вкл/Выкл) -

Каталог#

Настройки публикации приложения в Каталоге.

Параметр Описание Тип По умолчанию
Отображать в каталоге Добавляет приложение в Каталог Переключатель (Вкл/Выкл) Выкл
Тип приложения Категория, к которой относится приложение в Каталоге.
Создание типов доступно Администратору сервиса.
🔍 Подробнее читайте в инструкции Типы приложений.		 Выпадающий список Прочие

Обязательные поля#

Поля профиля пользователя, необходимые для работы приложения.

Параметр Описание
Основные поля профиля Определяет список основных и дополнительных полей профиля пользователя, наличие и доступ к которым необходим приложению.
- Если поля отсутствуют в профиле пользователя, то их заполнение будет запрошено при авторизации в приложении
- Если поля присутствуют в профиле, но для них установлен уровень публичности Доступно только вам, пользователю будет предложено изменить этот уровень на Доступно по запросу

Параметры приложения#

Технические параметры, влияющие на взаимодействие приложения с Trusted.ID.

Основные идентификаторы#

Название Параметр Описание Тип Обязательность
Идентификатор (client_id) client_id Уникальный идентификатор приложения Текст Генерируется автоматически
Секретный ключ (client_secret) client_secret Приватный ключ клиента. Необходимо хранить в безопасности. Текст Генерируется автоматически
Адрес приложения - URL веб-ресурса, на котором будет использоваться вход через Trusted.ID Текст в формате протокол://доменное имя:порт

Настройки доступа#

Название Параметр Описание Тип По умолчанию
Ограниченный доступ - Если включено, вход в приложение будет доступен только для пользователей с правами Администратор Переключатель (Вкл/Выкл) Выкл
Запрет доступа для внешних пользователей - Если включено, доступ к приложению будет только у участников или по приглашениям Переключатель (Вкл/Выкл) Выкл

Возвратный URL#

Название Параметр Описание Обязательность
Возвратный URL # Redirect_uri URL, на который Trusted.ID будет перенаправлять пользователя после аутентификации. После того как пользователь аутентифицируется и даст согласие на доступ к своим данным, сервер перенаправляет пользователя обратно на Redirect_uri с кодом авторизации, ID токеном или другой информацией, в зависимости от запрошенного response_type.

URL выхода из системы#

Название Параметр Описание Обязательность
URL выхода из системы # post_logout_redirect_uri URL, на который сервис будет перенаправлять пользователя после выхода. Если значение не указано, то используется Возвратный URL (Redirect_uri)

URL запроса аутентификации#

Название Параметр Описание Обязательность
URL запроса аутентификации или восстановления после аутентификации # request_uris Список URL, где размещены JWT-запросы авторизации. Когда система отправляет запрос на авторизацию серверу, она может просто указать параметр request_uri, который ссылается на один из URL-адресов, определенных в этом списке. Сервер затем извлекает объект запроса JWT по этому URL для обработки запроса.

Тип ответов#

Название Параметр Описание
Тип ответов (response_types) response_types

Определяет, какие токены возвращаются клиенту.

- code — только код авторизации;
- id_token — только ID токен;
- code id_token — код и ID токен;
- code token — получит код авторизации и токен доступа;
- code id_token token — полный набор;
- none — используется, когда не требуется получения кода авторизации, токена доступа или ID токена через перенаправление. Может быть полезным в случаях, когда необходимо подтвердить аутентификацию пользователя, но не требуется доступ к его данным.

Типы предоставления доступа#

Название Параметр Описание
Типы предоставления доступа (grant_types) grant_types

Cпособ получения авторизации для доступа к защищенным ресурсам.

- authorization code — стандартный и безопасный метод;
- implicit — устаревающий вариант без серверного обмена;
- refresh_token — обновление токена без повторного входа.

Методы аутентификации#

Название Параметр Описание
Метод аутентификации клиента для конечной точки получения токена (token_endpoint_auth_method) token_endpoint_auth_method

Метод, который клиент использует для аутентификации при обращении к token endpoint сервера авторизации.

- none - не предоставляет учетные данные при обращении к token endpoint. Этот метод используется, когда клиент не может конфиденциально хранить учетные данные или когда аутентификация не требуется;
- client_secret_post - отправляет свои учетные данные в теле запроса;
- client_secret_basic - использует HTTP Basic Authentication, отправляя свои учетные данные в заголовке запроса;
- client_secret_jwt - подписывает JWT (JSON Web Token) с использованием своего секрета и отправляет его в качестве учетных данных;
- private_key_jwt - подписывает JWT с использованием своего приватного ключа и отправляет его в качестве учетных данных.

Выбор метода аутентификации зависит от требований безопасности приложения и способности клиента безопасно хранить свои учетные данные. Например, методы client_secret_jwt и private_key_jwt обеспечивают более высокий уровень безопасности, так как используют асимметричное шифрование и позволяют избежать передачи секретов клиента через сеть.

Метод аутентификации, используемый при доступе к конечной точке проверки токена (introspection_endpoint_auth_method) introspection_endpoint_auth_method

Метод, который клиент использует при обращении к introspection endpoint. Эта конечная точка используется для проверки состояния токена доступа и получения информации о нем.

- none - не предоставляет учетные данные при обращении к introspection endpoint;
- client_secret_post - отправляет свои учетные данные в теле запроса;
- client_secret_basic - использует HTTP Basic Authentication, отправляя свои учетные данные в заголовке запроса;
- client_secret_jwt - подписывает JWT (JSON Web Token) с использованием своего секрета и отправляет его в качестве учетных данных;
- private_key_jwt - подписывает JWT с использованием своего приватного ключа и отправляет его в качестве учетных данных.

Выбор метода зависит от требований безопасности и возможностей клиента. Например, методы, использующие JWT, обеспечивают дополнительный уровень безопасности за счет использования подписанных токенов, что предотвращает необходимость передачи секретов клиента через сеть.

Метод аутентификации, используемый при доступе к конечной точке отзыва токенов (revocation_endpoint_auth_method) introspection_endpoint_auth_method

Определяет метод аутентификации, который клиент использует при обращении к revocation endpoint. Эта конечная точка используется для отзыва токенов доступа или обновления токенов. Этот метод обычно совпадает с методами, используемыми для token endpoint и introspection endpoint.

- none - не предоставляет учетные данные при обращении к revocation endpoint;
- client_secret_post - отправляет свои учетные данные в теле запроса;
client_secret_basic - использует HTTP Basic Authentication, отправляя свои учетные данные в заголовке запроса;
- client_secret_jwt - подписывает JWT (JSON Web Token) с использованием своего секрета и отправляет его в качестве учетных данных;
- private_key_jwt - подписывает JWT с использованием своего приватного ключа и отправляет его в качестве учетных данных.

Алгоритм подписи ID токена#

Название Параметр Описание
Алгоритм подписи, используемый при создании подписанного ID-токена (id_token_signed_response_alg) id_token_signed_response_alg Указывает алгоритм, который используется для подписи ID токена. ID токен — это JSON Web Token (JWT), который содержит утверждения (claims) о аутентификации пользователя

Проверка наличия времени аутентификации#

Название Параметр Описание
Проверка наличия времени Аутентификации (require_auth_time) require_auth_time Указывает, должен ли сервер авторизации предоставить время аутентификации пользователя в ID токене. Если этот параметр включен, сервер авторизации включает в ID токен утверждение auth_time, которое представляет собой время, когда пользователь в последний раз выполнил аутентификацию

Способ передачи ID пользователя#

Название Параметр Описание
Способ передачи ID пользователя в идентификационном токене (subject_type) subject_type

Определяет способ, которым идентификатор пользователя (sub claim) представляется клиенту. Этот параметр влияет на то, как пользовательские идентификаторы генерируются и управляются.

- public - идентификатор пользователя является одинаковым для всех клиентов. Это означает, что каждый клиент будет видеть один и тот же sub claim для пользователя;
- pairwise - идентификатор пользователя уникален для каждого клиента. Это обеспечивает большую конфиденциальность, так как разные клиенты не смогут связать активность пользователя между собой. pairwise часто используется в сценариях, где необходимо защитить приватность пользователя от различных клиентов.

Тип приложения#

Название Параметр Описание
Тип приложения (application_type) application_type

Определяет платформу, для которой предназначено приложение:

- web - веб-приложение, выполняемое в браузере;
- native - нативное приложение, установленное на устройстве.

Токен доступа#

Название Параметр Описание
Токен доступа (access_token_ttl) access_token_ttl Время жизни access_token в секундах

Токен обновления#

Название Параметр Описание
Токен обновления (refresh_token_ttl) refresh_token_ttl Время жизни refresh_token в секундах

Смотрите также#

Для повышения удобства работы и хранения данных веб-сайт TRUSTED.RU использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.