Регистрация ИП в Томске. Открытие ИП: как оформить ИП (Томск

Запишитесь на консультацию юриста компании АРГУМЕНТ по регистрации ИП в Томске по телефону: 8(3822)507230, или закажите звонок.

Услуги АРГУМЕНТ по регистрации ИП в Томске:

подготовка документов для регистрации ИП (Томск).

услуги по регистрации ИП под ключ (Томск).

подготовка документов для открытия расчетного счета (Томск).

АРГУМЕНТ может отправлять Ваши документы в ФНС через Интернет, тогда Вам НЕ ПРИДЕТСЯ самостоятельно обращаться в налоговый орган или к нотариусу.

Индивидуальным предпринимателем (ИП) признается гражданин, зарегистрированный в таком качестве в установленном порядке и осуществляющий без образования юридического лица предпринимательскую деятельность, самостоятельную, на свой риск деятельность, которая направлена на систематическое получение прибыли от продажи товаров, оказания услуг, пользования имуществом или выполнения разного вида работ.

Регистрация ИП в Томске происходит по месту (постоянной) регистрации гражданина — в Межрайонной ИФНС России № 7 по Томской области.

1. Первый шаг — это заполнение заявления (по форме Р21001) о регистрации в качестве ИП.

2. Второй шаг — перед подачей документов необходимо оплатить государственную пошлину за открытие ИП и приложить документы о её оплате к заявлению (при подаче документов на регистрацию ИП в Томске в электронном виде — госпошлина не оплачивается).

Из документов, которые понадобятся для регистрации ИП в Томске (для предъявления налоговому работнику), Вам необходим только паспорт.

3. Третий шаг — определиться с системой налогообложения перед открытием ИП. В зависимости от выбранных видов деятельности, Вам могут подходить разные налоговые режимы. Изменить вид деятельности и систему налогообложения после регистрации ИП будет сложнее, поэтому желательно заранее проконсультироваться со специалистом и указать в заявлении (по форме Р21001) о регистрации в качестве ИП правильные коды ОКВЭД, тогда у Вас не будет сложностей с переходом на правильный налоговый режим.

Переход на нужную Вам систему налогообложения осуществляется в зависимости от выбранного режима либо после регистрации ИП, либо одновременно с подачей документов на регистрацию ИП.

Обратиться в налоговый орган за регистрацией в качестве предпринимателя Вы можете как лично, так и прибегнув к помощи юридической компании в Томске АРГУМЕНТ, не затрачивая лишнее время на заполнение документов, посещение и отстаивание очередей в банке и налоговой. 

Если Вы хотите сдать документы на регистрацию в налоговый орган самостоятельно, Вам подойдет услуга «Подготовка документов для регистрации ИП».

Если Вы не готовы растрачивать свое время на поездки по инстанциям, воспользуйтесь услугой — «Регистрация ИП под ключ».

Воспользуйтесь сервисом АРГУМЕНТ зарегистрировать ИП онлайн, и приходите один раз за готовыми документами!

Если Вы не знаете, как оформить ИП в Томске, воспользуйтесь опытом и знаниями наших юристов, связанными с открытием ИП в Томске. Также у юристов компании АРГУМЕНТ Вы всегда можете получить консультацию о том, как открыть ИП в Томске, в том числе, получить пошаговую инструкцию о регистрации ИП самостоятельно (если Вы хотите только оформить документы по регистрации ИП в Томске и Томской области, но подавать их в налоговые органы намерены сами).

Запишитесь на консультацию юриста компании АРГУМЕНТ по регистрации ИП в Томске по телефону: 8(3822)507230, или закажите звонок.

Пошаговая инструкция как открыть ИП в 2021 г.

Разберемся с конкретными примерами на практике

Вопрос: иностранный гражданин принимает решение получить статус ИП на территории Российской Федерации. Какие документы ему нужно предоставить в налоговый орган?

Ответ: В таком случае у иностранного гражданина возникает обязанность представить следующие документы:

• Копию документа, удостоверяющего личность, зарубежной страны. Он должен признаваться на территории РФ в соответствии с заключенными между государствами международными соглашениями.
• Копию документа, дающего право иностранному гражданину на законных основаниях находиться на территории нашей страны. Это, как правило, вид на жительство.

Вопрос: Физлицо без гражданства хочет получить статус предпринимателя. Что ему нужно предоставить в налоговый орган для прохождения необходимых регистрационных процедур?

Ответ: Для получения соответствующего статуса данному гражданину нужно будет предоставить копию документа, который будет удостоверять его личность на территории Российской Федерации. К таким документам действующее миграционное законодательство относит: вид на жительство/разрешение на проживание и иные документы, дающие право на законных основаниях лицу без гражданства находиться на территории РФ в соответствии с международными договорами.

Дополнительно в таком случае заявителю придется представить копию документа о временном нахождении на территории России. Как правило, это вид на жительство или иной документ.

При наличии документа, который удостоверяет личность физлица без гражданства, именно там ставится отметка об оформлении. Заявителю нужно только будет предоставить налоговому инспектору копию такого документа вкупе с представлением оригинала на обозрение.

Вопрос: может ли лицо, не достигшее восемнадцатилетнего возраста, получить статус ИП?

Ответ: да, но при соблюдении определенных требований. К ним можно отнести:

• лицо должно вступить в законный брак в соответствии с Семейным кодексом РФ;
• лицо по решению суда объявлено в полном объеме дееспособным;
• несовершеннолетний получает согласие на получение статуса ИП.

Во всех вышеуказанных вариантах на регистрационную процедуру заявитель должен представить определенный документ.

Заключение брака

При вступлении в законный брак лицо, не достигшее возраста восемнадцати лет, становится полностью дееспособным. Отсюда он имеет право и получить статус ИП и заниматься бизнесом в установленном законе порядке.

Такое лицо может вступить в брак при единовременном выполнении ряда требований семейного законодательства:

• гражданин достиг шестнадцатилетнего возраста;
• присутствуют уважительные причины заключения брачного союза;
• гражданин подал заявление о необходимости вступления в брак в орган государственной власти;
• орган государственной власти дал свое согласие в установленном законом порядке.

Законы субъектов РФ могут разрешать заключать брачный союз в отдельных случаях и возрасте до шестнадцати лет. Однако получить статус ИП можно будет все равно не ранее четырнадцатилетнего возраста.

Объявление в полном объеме дееспособным/эмансипация

Если гражданин достиг шестнадцатилетнего возраста и исполняет трудовые обязанности по трудовому договору, то его могут признать в полном объеме дееспособным.

Получение разрешения на получение статуса ИП

Получить данное согласие можно от законных представителей гражданина (родители/усыновители).

Однако получить такое разрешение возможно только при достижении четырнадцатилетнего возраста.

Вопрос: лицо, не достигшее восемнадцатилетнего возраста, подает в налоговый орган документы о получении статуса ИП. Какие документы ему нужно представить налоговому инспектору во избежание получения отказа в совершении регистрационных действий?

Ответ: такому гражданину в обязательном порядке нужно сдать определенные документы.

Если лицо не достигло восемнадцатилетнего возраста, то он представляет:

• согласие законных представителей на осуществление предпринимательской деятельности, оно в обязательном порядке должно быть заверено в нотариальном порядке.
• копия документа о вступлении в законный брак;
• копия разрешения органов государственной власти (как правило, органы опеки), копия судебного акта о признании лица в полном объеме дееспособным.

С такими требованиями можно ознакомиться в соответствующем законе о госрегистрации юрлиц.

Специалисты рекомендуют

При намерении будущего бизнесмена применять упрощенную систему налогообложения, ему будет лучше вместе с документами на регистрации своего нового статуса сдать еще и уведомление о выборе данной системы налогообложения.

Если такие действия не совершать, то у предпримателя будет еще один месяц с момента регистрации ИП в едином государственном реестре. Такое требование закреплено в Налоговом кодексе РФ.

Инструкция по регистрации ИП в электронном виде в налоговой инспекции

пошаговая инструкция, что нужно, сколько стоит — Жиза

Подготовьтесь к подаче документов

Для регистрации ИП нужен паспорт РФ или национальный паспорт вашей страны, если вы иностранец.

Если подаете документы лично, сделайте копии двух страниц — с фотографией и с пропиской. Их вы сдадите в налоговую. Оригинал тоже возьмите с собой — сотрудник налоговой заверит по нему копии и вернет его вам. Если подаете заявление через интернет, отсканируйте все страницы.

ОКВЭД — общероссийский классификатор видов экономической деятельности. Он нужен, чтобы государство видело, чем вы занимаетесь. Каждый код обозначает определенный вид деятельности. Например, 70.10.2 — управление холдинг-компаниями, 74.30 — письменный и устный перевод, а 15.11.1 — выделка и крашение меха. Если вы открыли интернет-магазин без ОКВЭДа 52.61.2, вам сделают предупреждение или оштрафуют на 5000 ₽.

Выбрать ОКВЭДы лучше заранее: они пригодятся, когда будете заполнять заявление Р21001. Вы можете выбрать сколько угодно кодов, но всегда один будет основным, а остальные — дополнительными. Все коды есть в классификаторе.

Дополнительных кодов лучше набрать побольше. Чтобы добавить новый код после регистрации, придется заново подать заявление в налоговую и ждать пять дней. Если впишете дополнительные коды заранее, не упустите интересный заказ из-за того, что у вас нет нужного кода.

Статья «Как выбрать систему налогообложения для ИП»

У ИП есть несколько систем налогообложения. Самые распространенные — ОСНО и УСН.

ОСНО — общая система налогообложения. По ней ИП обязан платить НДС — 18%, НДФЛ — 13%, и налог на имущество — до 2,2%.

УСН — упрощенная система налогообложения. По ней предприниматель платит только один налог: 6% от доходов или от 5 до 15% от разницы между доходами и расходами.

Если при регистрации вы не указали другую систему налогообложения, то налоговая поставит вас на ОСНО. Ее можно поменять в течение 30 дней с даты регистрации. Отчитываться по ОСНО за этот период не нужно: налоги будут начисляться по УСН, как будто вы работали по ней с самого начала.

Проконсультируйтесь с бухгалтером и определитесь с системой налогообложения до регистрации ИП. Если для вас выгоднее упрощенка, то лучше подать заявление о переходе сразу.

1. Скачайте форму 26.2-1 в формате PDF и заполните по образцу.
2. В полях ИНН и КПП поставьте прочерки (дефисы).
3. Узнайте код вашей налоговой на сайте — он состоит из четырех цифр.
4. В поле «Признак налогоплательщика» поставьте цифру «1».
5. Укажите фамилию, имя и отчество. Во все пустые клетки поставьте прочерки (дефисы).
6. Напротив пункта «переходит на упрощенную систему налогообложения» поставьте цифру «2». В следующей строке во всех полях поставьте прочерки, так как вы переходите на УСН с даты постановки на учет.
7. Напротив пункта «в качестве налогообложения выбраны» поставьте цифру: «1» — доходы, «2» — «доходы минус расходы».
8. Укажите год подачи заявления.
9. Поставьте цифру «1» если подаете заявление сами, и цифру «2», если через представителя.
10. Снова укажите фамилию, имя, отчество. В пустые клетки поставьте прочерки.
11. Укажите номер телефона и дату подачи заявления. Подпись не ставьте, лучше сделать это в налоговой перед подачей.
12. Поля в правом нижнем углу оставьте пустыми.

Если вы переходите на упрощенку после того, как зарегистрировали ИП, некоторые моменты в заполнении будут отличаться. Внимательно прочитайте сноски внизу формы. Подробные правила оформления читайте в статье Regberry или посмотрите видео.

Для регистрации ИП необходимо заплатить пошлину 800 ₽. Это можно сделать в любом банке или на сайте налоговой.

В банке потребуются реквизиты местной налоговой. Найти их можно на сайте ИФНС с помощью специальной формы. Для этого кликните на верхнее поле «Адрес».

В появившемся окне укажите адрес прописки. После заполнения нажмите «ОК».

Сервис определит номер отделения налоговой, к которому вы относитесь. Нажмите «Далее».

Появится список реквизитов вашей налоговой — вам нужны только реквизиты для регистрации ИП. Перепишите их и возьмите с собой в банк. Оплатите пошлину и сохраните квитанцию: ее вы сдадите в налоговую.

Если оплачиваете пошлину через интернет, платите на сайте налоговой:

1. Заполните форму и обязательно укажите ИНН — без него не получится оплатить онлайн.
2. В качестве способа оплаты выберите «Безналичный расчет». Откроется окно с банками и денежными сервисами.
3. Выберите оплату через «Госуслуги».
4. После оплаты на почту вам придет электронная квитанция с печатью. Распечатайте ее и сохраните.

По закону ИП может работать без расчетного счета, но по факту без него не обойтись. Расчетный счет нужен для безналичных операций более 100 000 ₽, подключения онлайн-кассы, создания интернет-магазина.

Есть несколько банков, у которых основное направление — работа с предпринимателями: Альфа-Банк, Модульбанк, Тинькофф и Точка. Чтобы выбрать банк, сравните тарифы по основным параметрам.

• Стоимость обслуживания счета в месяц. Обычно для новых ИП у банков есть специальные предложения и отдельные тарифы. Например, Тинькофф дает молодым ИП полгода бесплатного обслуживания, а Точка — три месяца. За это время вы можете оценить работу банка, понять, насколько вам подходят условия тарифа.
• Количество или сумма снятий в месяц. Изучите свои привычки и поймите, как вы чаще рассчитываетесь: наличными или картой. Обычно на эконом-тарифах банки предлагают до 5 снятий в месяц бесплатно — этого вполне достаточно для начинающего предпринимателя.
• Количество переводов другим ИП и юрлицам. Обычно за денежный перевод клиенту того же банка комиссии нет. Но если вы планируете оплачивать услуги предпринимателей, которые обслуживаются в других банках, изучите условия комиссии за переводы.
• Процент за поступление средств. Некоторые банки берут комиссию не за вывод средств, а за поступления. В таком случае, оцените, сколько примерно денег будет поступать на ваш счет и какой процент придется отдать банку.
• Комиссия за эквайринг. Если планируете принимать платежи по картам, ознакомьтесь с комиссией за эквайринг. Для розничной торговли нужен торговый эквайринг: в этом случае выгоднее выбрать пакет обслуживания с фиксированным платежом. Для интернет-магазинов подходят тарифы с комиссией за каждую операцию. Размер комиссии зависит от вида и источника операции.
• Комиссия за валютные операции. Если работаете с зарубежными компаниями и получаете переводы из-за границы, изучите условия валютных переводов.
• Документы в электронном виде. Это для тех, кто регистрировал ИП удаленно. Не все банки принимают документы в электронном виде. Например, Тинькофф и Точка принимают, а остальные — не факт. Уточните, в каком виде банк принимает документы для открытия расчетного счета.

Статья «Окупится ли эквайринг в вашем бизнесе»

Так как я почти никогда не перевожу деньги другим физлицам и предпочитаю расплачиваться картой, для меня было важно, чтобы поступления на счет были без комиссии. Эквайринг, валютные операции меня не волновали, а пяти бесплатных снятий при обороте в 100 000 ₽ в месяц вполне достаточно.

Если живете в городе прописки — подайте документы лично

Самый быстрый способ открыть ИП — подать документы в налоговую лично. Для этого вы должны заполнить форму Р21001 и записаться в налоговую. Можно подать заявление и по интернету, но тогда вы потратите дополнительные 1000 ₽ на электронную подпись. Распечатать заявление и отнести его в налоговую — дешевле и быстрее.

Заполните заявление Р21001

Заполнить заявление о регистрации ИП можно на «Госуслугах» или самостоятельно на компьютере. Можно заполнить форму и от руки, но лучше этого не делать. Заявление будет читать компьютер, и если он не поймет хотя бы одну букву — придется подавать всё заново.

Чтобы заполнить заявление через «Госуслуги»:

Если у вас плохой интернет, скачайте заявление в PDF или в XLS на компьютер и заполните по образцу.

Лист № 1

Укажите фамилию, имя, отчество и место рождения так же, как в паспорте. Если в паспорте стоит буква «ё», пишите «ё» в заявлении, если слово «город» написано целиком, пишите его в форме целиком, не сокращайте. Все точки и запятые ставьте в отдельные клетки, а между словами оставляйте одну пустую клетку.

Лист № 2

Укажите текущий адрес регистрации. Четыре цифры серии паспорта разделите пробелами по две. Номер паспорта также отделите пустой клеткой.

Лист № 3

Укажите выбранные ОКВЭДы. Пишите номер каждого ОКВЭДа с первой клетки.

Лист № 4

Укажите почту и контактный номер телефона.

Запишитесь в налоговую

Записаться на личную подачу документов можно на «Госуслугах» или на сайте налоговой.

Для личной подачи документов снова зайдите на страницу услуги «Регистрация физического лица в качестве индивидуального предпринимателя» и выберите «Личное посещение налогового органа». Нажмите «Записаться на прием».

Выберите свой регион и отделение налоговой, к которой привязан ваш адрес прописки. Это то же самое отделение, куда вы оплатили госпошлину.

Чтобы записаться на сайте налоговой, перейдите в раздел «Онлайн-запись на прием в инспекцию» и заполните форму.

В обоих случаях на почту вам придет подтверждение — распечатайте его и возьмите с собой. В подтверждении будет указана дата, время и адрес отделения.

В назначенный день приходите в налоговую. Возьмите с собой заполненное заявление Р21001, копии паспорта, квитанцию об оплате госпошлины. Если собираетесь переходить на упрощенку, возьмите заполненное заявление о переходе. Приходите заранее. Если опоздаете хотя бы на 10 минут, запись сгорит. Придется или занимать живую очередь, или записываться снова.

Получите выписку из ЕГРИП

Приняв документы, специалист налоговой назначит день, когда вы получите выписку из ЕГРИП — единого государственного реестра индивидуальных предпринимателей. Это лист формата А4, где перечислена вся информация о вашем ИП: фамилия, имя, отчество, основной государственный регистрационный номер (ОГРНИП), дата регистрации, адрес прописки, отделение налоговой для отчетности, виды деятельности.

До 1 января 2017 года еще выдавали свидетельство о постановке на налоговый учет. Вместо него вам дадут уведомление о постановке на учет в налоговом органе.

Если прописаны в другом городе — подайте документы удаленно

Мой друг Кирилл живет в Тюмени, а прописан в Ханты-Мансийске. Пять лет назад он потратил бы пять дней, чтобы приехать в Ханты-Мансийск и зарегистрироваться там. Сегодня открыть ИП можно удаленно. Это займет пять-шесть дней, но избавит от поездок, походов в налоговую, сэкономит деньги и нервы.

Сделайте электронную подпись

Статья «Какую электронную подпись выбрать для бизнеса»

Электронную подпись для физических лиц можно заказать в СКБ Контур за 1000 ₽ на 1 год. Она пригодится не только для подачи документов, но и для подписания счетов, договоров и актов.

Чтобы получить электронную подпись, нужно отправить заявку. Вам пришлют бланк заявления. Заполните его, подпишите и отсканируйте. Вышлите сканы заявления, паспорта, СНИЛС и ИНН в ответном письме. После этого придите в ближайший пункт подтверждения электронных подписей. Список пунктов есть на сайте СКБ Контур. Через 2-3 дня получите электронную подпись. Уточните пин-код своей подписи, он понадобится для отправки документов в налоговую.

Заказать электронную подпись вы также можете в одном из авторизованных центров, которые указаны на специальном сайте Госуслуг. Уточните, что вам нужна именно усиленная квалифицированная электронная подпись — УКЭП.

Заполните анкету на «Госуслугах»

Если у вас еще нет аккаунта на «Госуслугах», зарегистрируйтесь, заполните профиль и повысьте учетную запись до статуса «Подтвержденная».

Перейдите в раздел «Государственная регистрация физического лица в качестве индивидуального предпринимателя». Выберите опцию «Зарегистрироваться онлайн» и заполните анкету.

Сервис сам cформирует заявление Р21001 и проверит данные.

Прикрепите к анкете сканы паспорта. Если собираетесь работать по УСН, прикрепите еще и заполненное заявление о переходе на упрощенку.

Вставьте в ноутбук флешку с электронной подписью и нажмите кнопку «Подписать документы». После этого оплатите госпошлину тут же на сайте «Госуслуг» и отправьте документы в налоговую.

Получите электронные версии документов

В течение нескольких часов вам на почту придет подтверждение о том, что налоговая получила ваши документы. А через три рабочих дня на почту и в личный кабинет «Госуслуг» придет архив с документами о регистрации ИП. В архиве вы найдете уведомление о постановке на учет в налоговой и выписку из ЕГРИПа, подписанные цифровой подписью.

Вывод

Зарегистрировать ИП можно двумя способами: лично и удаленно.

Если живете в городе прописки, подайте документы в налоговую лично.

1. Документы можно подготовить за два-три часа.
2. Придется потратить 800 ₽ на госпошлину и 20 ₽ на ксерокопию паспорта.
3. Запишитесь в налоговую на удобное время. Можно даже в субботу. Придите вовремя и сдайте документы — это займет 10–15 минут.
4. Заберите документы о регистрации из налоговой через 3 дня. Дату и время сообщают в день подачи.
5. Откройте расчетный счет и начните работать.

Если прописаны в другом городе, удобнее и выгоднее подать документы онлайн.

1. Вам не придется отпрашиваться с работы и тратить деньги на поезд или самолет.
2. Потратите 560 ₽ на госпошлину и 1000 ₽ на электронную подпись.
3. Отсканируйте все документы, переведите в формат .tiff и соедините в многостраничный документ.
4. Сформируйте архив с документами, подпишите его электронной подписью и отправьте в налоговую.
5. Подождите 3 дня и получите на электронную почту документы о регистрации ИП.
6. Откройте расчетный счет и начните работать.

Регистрация ИП через МФЦ — пошаговая инструкция, как открыть ИП в МФЦ, сроки и документы

Оформить индивидуальное предпринимательство можно через многофункциональный центр. Обратиться может сам гражданин, который будет вести бизнес, или его законный представитель.

Расскажем подробнее, что необходимо для открытия ИП в МФЦ, а также определим, каковы преимущества и недостатки данного способа регистрации.

Содержание статьи:

1. Плюсы и минусы открытия ИП через МФЦ
2. Список документов для регистрации ИП в МФЦ
3. Оплата госпошлины и сроки ожидания
4. Как открыть ИП через МФЦ – пошаговая инструкция
5. Как зарегистрировать ИП через МФЦ в Санкт-Петербурге?
6. Чем ещё могут быть полезны МФЦ после регистрации ИП?

Плюсы и минусы открытия ИП через МФЦ

Россияне должны понимать, что многофункциональный центр был создан для того, чтобы «разгрузить» частично государственные органы. Если раньше для регистрации ИП и оформления документов нужно было обращаться напрямую в налоговую службу, теперь же можно подать документацию в МФЦ. Его представители сами отправят бумаги и выдадут их на руки заявителю.

Любой способ оформления имеет преимущества и недостатки.

Перечислим, какие плюсы от того, что открыть индивидуальное предпринимательство можно через многофункциональный центр:

1. Вы сэкономите время. Вам не придется стоять часами в очередях.
2. Вы сможете проконсультироваться со специалистом.
3. Центр работает в оперативном режиме. Срок рассмотрения вашего обращения займет всего лишь 1-3 дня.
4. Пройдете легкий процесс регистрации. Понадобится только паспорт.

У данного способа есть и минусы:

1. Хоть и говорят, что модно выбрать МФЦ, на самом деле это не так. Обычно принимают по месту регистрации.
2. Не всегда можно записаться по интернету на прием. В центр следует приходить лично, брать талон или отсиживать очередь.
3. Можно встретить специалиста низкой профессиональной квалификацией. Такое встречается редко, но бывает.

Если вы еще сомневаетесь, нужно ли вам открывать ИП, рекомендуем почитать нашу статью: что выгоднее и лучше – ООО или ИП? Там вы найдете таблицу с важными особенностями каждой системы.

Список документов для регистрации ИП в МФЦ

Для регистрации предпринимательства подготовьте такие основные документы:

1. Бланк-заявление по форме р21001. Его можно написать самому. Как? Читайте тут.
2. Копия паспорта.
3. Копия ИНН.
4. Оригинальную квитанцию, подтверждающую оплату пошлины.

Могут потребовать дополнительные бумаги. Например:

1. Копию загранпаспорта или другого международного документа, подтверждающего личность. Это в случае, если в МФЦ обращается иностранец.
2. Копию бумаги, подтверждающей право проживания в России.
3. Документ из УФМС, где будет прописан российский адрес, где проживает иностранец.
4. Согласие родителей на оформление документов по предпринимательству, если заявителю меньше 21 года.
5. Доверенность, если обращается не будущий предприниматель, а его представитель. Документ обязательно должен быть заверен у нотариуса.
6. Согласие от опекунов или попечителей, если заявителю нет 21 года и у него нет родителей.

Юристы рекомендуют подавать в МФЦ копии документов. Если потребуются оригиналы, специалист вам об этом сообщит.

Оплата госпошлины за открытие ИП через МФЦ и сроки ожидания регистрации

Государственный сбор за то, что вам откроют и оформят предпринимательство, равен 800 рублям.

Дополнительных средств специалисты центров не должны начислять, это противозаконно.

Например, за то, что они составят документы, впишут туда все ваши данные и т.п.

Заметьте, что инвалиды, имеющие 3 группу, освобождаются от оплаты госпошлины за открытие ИП. Кроме того, у них есть другие льготы

После подачи документов вы должны будете оплатить пошлину либо через банк, либо через онлайн сервис. Специалист должен вам сообщить реквизиты для оплаты. Квитанцию следует сохранить и предоставить в центр.

Срок ожидания готовых документов по ИП составляет 3-5 дней. Учитываются только рабочие дни.

Как открыть ИП через МФЦ – пошаговая инструкция

Чтобы оформить предпринимательство через многофункциональный центр, следуйте инструкции:

Шаг 1. Соберите документационный пакет. Учтите все моменты, когда могут понадобиться дополнительные бумаги.

Шаг 2. Зарегистрируйтесь на сайте налоговой службы и оформите там анкету-заявление. Блан могут выдать в МФЦ, но можно его заполнить заранее.

Шаг 3. Посетите МФЦ. Предоставьте все документы и узнайте, по каким реквизитам оплачивать госпошлину.

Шаг 4. Оплатите госсбор. Сделайте копию квитанции, оставьте ее себе. Оригинал отнесите в центр.

Шаг 5. Получите готовые документы – свидетельство о регистрации ИП.

Когда забирать свидетельство, вам сообщит консультант центра.

Читайте другую нашу статью о том, как определиться с видом деятельности ИП, что делать после регистрации и какие интернет-сервисы могут помочь в дальнейшей работе бизнесмена.

Как зарегистрировать ИП через МФЦ в Санкт-Петербурге?

Для того чтобы оформить документы на предпринимателя в Санкт-Петербурге, вы должны узнать адрес МФЦ, в который вам нужно подать документы. Вот несколько способов:

1. По карте

Как правило, обращаться следует по месту жительства.

Найти адрес центра можно по карте. Она расположена на официальном сайте госуслуг Санкт-Петербурга: https://gu.spb.ru/

СОВЕТ: Вы можете ввести в поисковую строку названием вашего района, чтобы быстрее найти адрес центра.

Кроме того, на карте можно посмотреть загруженность в каждом МФЦ. Это очень удобно.

2. Через поисковые системы

Вбейте в поиск название вашего районного МФЦ, должен высветиться адрес и контактные телефоны.

Далее вам следует:

1. Подготовить документы. Их мы указали выше.
2. Отнести их в центр лично, либо пусть это за вас сделает законный представитель.
3. Оплатить госпошлину. Отнести квитанцию в центр.
4. Прийти за свидетельством.

Специалист центра должен будет назначить вам день, когда нужно будет забрать готовое свидетельство о регистрации.

Чем ещё могут быть полезны МФЦ предпринимателю после регистрации ИП?

Бизнесмен может обращаться в многофункциональный центр для следующих целей:

1. Изменения кода деятельности. Специалист должен будет предоставить форму Р24001 и помочь предпринимателю ее заполнить.
2. Открытия компании.
3. Внесения новой информации в Устав.
4. Новых сведений ЕГРЮЛ по формам Р13001 и Р14001.
5. Открытия расчетного счета.
6. Создания печати.
7. Проведения отчетности.
8. Закрытия ИП.

Об услугах, которые могут предоставить предпринимателю, следует узнавать лично в МФЦ.

Некоторые услуги платные.

Принцип проведения процедур такой же — как, например, при регистрации предпринимательства. Гражданин должен будет подать заявление, составленное по определенной форме, и предоставить личные документы.

Читайте также обо всех изменениях в работе ИП в 2018 году

Санкт-Петербург

Зарегистрировать ИП или ООО и открыть счет бесплатно онлайн. Пошаговая инструкция.

1. Начните вводить ваш адрес в строку как обычно. Если вашего адреса нет в списке, нажмите на пункт «Укажите адрес вручную» в самом низу списка:

2. После клика откроется окно с подробным вводом адреса, в который автоматически подтянутся уже введенные данные:

3. Если вашего варианта в предложенном списке нет, то у вас есть возможность нажать на стрелочку и выбрать из выпадающего списка пункт «Ввести вручную»:

4. А затем в поле «Значение» введите наименование объекта, а в поле «Номер значения» — его номер. Пример как ввести адрес: Московская обл, Раменский р-н, г Раменское, ул Красноармейская, участок 5:

5. Вручную можно ввести значения также и в полях «Корпус» и «Квартира. После ввода всех необходимых данных нажмите на кнопку «Да, адрес верный» и введенный вами адрес сохранится в системе:

6. Выбранный адрес будет указан на желтом поле, как указано на примере.

7. Если вы допустили ошибку, нажмите кнопку «Редактировать» и исправьте ее.

Список сокращений, которые мы рекомендуем использовать для поля квартира:

• блок-секц — блок-секция
• ком/пом — комната/помещение
• ком/офис — комната/офис
• пом/ком — помещение/комната
• пом/ком/оф — помещение/комната/офис
• пом/офис — помещение/офис
• цок. пом. — цокольное помещение
• эт/ком — этаж/комната
• эт/пом — этаж/помещение
• эт/пом/ком — этаж/помещение/комната
• э/пом/к/оф — этаж/помещение/комната/офис

Примеры ввода других адресов:

Респ Дагестан, Докузпаринский р-н, с Авадан

Рязанская обл, Рязанский р-н, д Агарково

Респ Татарстан, г Казань, ул Вишневского, Дом 8

г Москва, Измайловское шоссе, д 71 к В стр 7, помещение 25

Обращаем ваше внимание, что наши рекомендации основаны на опыте проведенных регистраций, но решение о регистрации бизнеса принимается конкретным регистрирующим органом территориальной ИФНС. Если у вас возникают сомнения по заполнению того или иного поля — проконсультируйтесь, пожалуйста, в вашей ИФНС.

Если вам необходимо приложить дополнительные документы, например договор аренды, то это можно сделать, загрузив их в поле «Дополнительные документы», которое находится около поля «Гарантийное письмо». Загружать дополнительные документы необязательно.

В сервисе РБиДОС для регистрации ООО формируется следующий пакет документов:

• Заявление о государственной регистрации юридического лица при создании по форме № Р11001;
• Уведомление о переходе на упрощенную систему налогообложения (форма 26.2-1), при соответствующем выборе;
• Сопроводительное письмо на выдачу оригиналов по ООО;
• Сканированные копии паспорта и СНИЛС;
• Решение №1;
• Устав;

Скачать заявление: шаблон, заполненный образец.

Скачать уведомление: шаблон, заполненный образец.

Скачать сопроводительное письмо по ООО: шаблон, заполненный образец.

Скачать решение №1: шаблон, заполненный образец.

Скачать устав: шаблон, заполненный образец.

Как подать самооценку NIST SP 800-171 в SPRS

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Это попытка помочь обычным подрядчикам Министерства обороны США описать очень простые способы выполнения процесса. Если у вас есть вопросы, обратитесь за помощью к своему сотруднику по контрактам или в службу поддержки SPRS / PIEE!

Официальные инструкции см. В следующих источниках:

Дополнение к Правилам федеральных закупок в сфере обороны: Оценка выполнения подрядчиком требований кибербезопасности (дело DFARS 2019-D041)

Методология оценки NIST SP 800-171, версия 1.2.1 (см. Приложение B)

SPRS 800-171 Краткое руководство по вводу

SPRS 800-171 Часто задаваемые вопросы

DoD Acquisition Cyber ​​FAQs

Веб-сайт DoD Acquisition & Sustainment с дополнительными инструкциями для сотрудников по контракту

Поставщик PIEE Шаг «Начало работы» пошаговая регистрация

Служба поддержки PIEE: +1 866-618-5988. Для нас сработали следующие пункты меню: 2 — Пользователь продавца, 1 — Активация учетной записи, 3 — Техническая поддержка активации учетной записи.

В. Если в моей организации нет CUI в наших системах, следует ли что-то отправлять?

Что такое CUI? Это категория очень конфиденциальной, но несекретной информации, которая называется «Контролируемая несекретная информация».

Если вы не знаете, что такое CUI, обратитесь к этой статье: Глоссарий, термины и определения CMMC. Кто есть кто в CMMC

У меня было несколько подрядчиков, которые спрашивали меня, что делать, если у них нет контролируемой несекретной информации (CUI).

Если для заключения контракта требуется самооценка, и у вас нет самооценки в системе, потому что у вас нет CUI, означает ли это, что вы потеряете контракт? Высокий риск!

Аргументы против проведения самооценки, если вы не обрабатываете CUI

Роберт Метцгер (адвокат | Соавтор MITER «Доставить бескомпромиссно») дает следующий совет:

252.204-7019 (b): «Для рассмотрения вопроса о присуждении контракта, ЕСЛИ Претендент должен внедрить NIST SP 800-171, Претендент должен иметь текущую оценку…». Я выделил слово «если». Компании, которые не имеют дело с CUI, не подпадают под действие -171, и, следовательно, условие не выполняется, и нет требования иметь «текущую оценку».

Другой аргумент заключается в том, что в соответствии с методологией самооценки NIST SP 800-171 DoD вы не можете выполнить самооценку, не имея плана безопасности системы, который описывает вашу систему.Исходя из этого, подрядчики, у которых нет SSP, не должны даже выставлять неудовлетворительную оценку.

Отсутствие плана обеспечения безопасности системы приведет к выводу, что «оценка не может быть завершена из-за неполной информации и несоответствия пункту 252.204-7012 DFARS».

Методология самооценки NIST SP 800-171 DoD

Дополнительную информацию о планах безопасности системы можно найти здесь.

Аргументы в пользу предоставления самооценки, если вы не обрабатываете CUI

Кэти Аррингтон (директор по информационной безопасности помощника министра обороны по вопросам приобретения: ion), похоже, утверждает, что все подрядчиков с DFARS 252.204-7012 необходимо записать самооценку в SPRS для рассмотрения для заключения контракта.

Она приводит пример двух небольших компаний, участвующих в торгах по контракту. Оба представили свои самооценки, но у одного из них 80 баллов, а у другого — высший балл. Само по себе самооценка делает вас «технически приемлемым». Компания с более низкой оценкой будет иметь более низкую ставку [накладные расходы], потому что их безопасность стоит меньше. По контракту с наименьшей технически приемлемой ценой (LPTA) обе компании являются технически приемлемыми, а компания, получившая 80 баллов, выигрывает благодаря LPTA.

Пожалуйста, укажите этот кофе и разговор с Кэти Аррингтон от 17 ноября 2020 года. Метки времени 3:30, 13:00 и 23:19.

Обновление за февраль 2021 г. — без различия на основе CUI

За последние четыре месяца мы наблюдали за фактическим развертыванием и интерпретацией новых правил DFARS. Офицеры по закупкам и контрактам Министерства обороны применяют эти положения ко всем закупкам, не связанным с COTS, и ко всем немикропокупкам.

Требование для самооценки NIST SP 800-171 DoD соблюдается независимо от того, есть у вас CUI или нет.

В этом меморандуме, выпущенном ВМФ, описывается, как требование будет добавлено ко всем контрактам, за исключением COTS и микропокупок.

Даже если у вас нет CUI, вам, вероятно, следует подать самооценку.

Меня беспокоит, что сотрудник по контракту может случайно дисквалифицировать компанию из-за отсутствия оценки, не осознавая, что недостающая оценка связана с тем, что компания не планирует обрабатывать CUI. Также существует вероятность того, что сотрудник по контракту может посчитать, что компании действительно требуется для обработки CUI для выполнения контракта.Общение — это ключ!

Похоже, самооценка — это вариант с наименьшим риском, даже если NIST SP 800-171 к вам не относится.

[email protected] нет указаний

Один из моих клиентов попытался связаться с [email protected] и получил ответ, что «мы не можем отвечать на вопросы политики из этого офиса…. предложение отправить электронное письмо вашему представителю DCMA или их общий почтовый ящик. В этом случае вы также можете проконсультироваться с генеральным подрядчиком, чтобы узнать направление.”

В: Как мне провести самооценку и получить балл для отправки?

Посетите нашу страницу в DFARS 252.204-7012, где есть ссылки на ресурсы, необходимые для создания программы безопасности и проведения самооценки. Примечание. Если у вас нет в штате эксперта по кибербезопасности (или консультанта), у вас нет необходимых знаний для этого. Получить помощь.

Необязательно: пришлите мне электронное письмо, если вам нужны рекомендации по консультационным решениям.

Шаги по отправке напрямую в SPRS с использованием учетной записи на PIEE

Если вы отправите напрямую в свою учетную запись в SPRS, вы сможете избежать задержек со стороны Министерства обороны, поскольку они пытаются вручную переместить тысячи оценок в SPRS.

Перейдите в веб-браузере к Интегрированной корпоративной среде закупок (PIEE)

Если у вас уже есть учетная запись для PIEE, вы можете пропустить следующие шаги регистрации. Войдите в систему и добавьте роль пользователя SPRS Cyber ​​Vendor. ComplyUP предоставил здесь шаги для существующих учетных записей.

Если у вас еще нет учетной записи, нажмите кнопку Зарегистрироваться (вверху справа)

Принять (или не принимать) положения и положения Закона о конфиденциальности

Выбрать поставщика (другие варианты, похоже, для администраторов PIEE, таких как сотрудники по контракту)

Если у вас есть карта общего доступа или сертификат, не стесняйтесь выбирать их.Для большинства людей просто введите желаемое имя пользователя и пароль.

Введите контрольные вопросы…

Введите свое имя и контактную информацию. Это будет рассмотрено как часть вашей заявки, поэтому убедитесь, что она соответствует действительности. Я ожидаю, что это поможет, если ваша организация будет соответствовать коду CAGE, который вы введете позже.

Введите информацию о качестве в поля компании. Руководитель не требуется, хотя он может быть полезен при рассмотрении вашей заявки.

Следующий бит — сложная часть.На шаге 1 щелкните стрелку вниз и выберите SPRS — Supplier Performance Risk System

. На шаге 2 выберите SPRS Cyber ​​Vendor User

. На шаге 3 нажмите + Добавить роли . Внизу появится строка с полем кода местоположения *. Введите код CAGE для своей организации (он должен соответствовать коду CAGE, связанному с контрактом, для которого вы подаете заявку)

Обновление: Если ваш код CAGE не распознается, просмотрите шаги в этом PIEE шаг за шагом. страница инструкции.Большинству компаний необходимо выполнить Шаг 3 (и последующие шаги), если отображается сообщение «В системе нет администраторов подрядчика для кода местоположения».

Если у вас есть несколько кодов CAGE, связанных с контрактами DoD, повторите шаг 3 + Добавить роли , чтобы добавить дополнительные строки и ввести коды CAGE.

Введите обоснование для счета. Приложения будут использоваться для обоснования и / или идентификации. Не прилагайте сюда свою самооценку.

Отображается сводка регистрации.

Я выбыл на этом этапе, потому что я не производил фактическую регистрацию. Надеюсь, вы сможете пройти следующий шаг (Соглашение) самостоятельно.

Ваш администратор подрядчика должен утвердить отображение SPRS

ОБНОВЛЕНО 12 февраля 2021 г.

Следующим шагом будет ваш администратор подрядчика для кода CAGE, который должен будет утвердить вашу роль.

Если у вас крупный бизнес, вы можете найти этого человека, перейдя на страницу PIEE Find Government / Contractor Account Administrator.Вам нужно ТОЛЬКО ввести код местоположения с помощью КЛЕТКИ. Остальные фильтры оставьте пустыми.

Вы также являетесь администратором подрядчика для своего кода CAGE? На этом вы застрянете. Система не одобрит вас, и вы не сможете одобрить себя.

Вам необходимо позвонить в службу поддержки PIEE по телефону +1 866-618-5988. Для нас сработали следующие пункты меню: 2 — Пользователь продавца, 1 — Активация учетной записи, 3 — Техническая поддержка активации учетной записи.

Быстрый разговор со службой поддержки PIEE и идентификация учетной записи и кода CAGE позволили нам получить одобрение.Значок SPRS теперь будет отображаться, когда мы войдем в PIEE.

Теперь, когда у меня есть доступ к SPRS, как мне подать самооценку?

В этом NIST SP 800-171 Quick Entry Guide от SPRS есть инструкции по отправке оценки.

Я не могу создать учетную запись SPRS. Что теперь?

В некоторых случаях создать учетную запись SPRS невозможно. Кажется, это сильно зависит от кода CAGE вашей организации и от того, был ли этот код CAGE зарегистрирован для использования в контракте DoD ранее.

Если ваш код CAGE не распознается, просмотрите шаги на этой странице с пошаговыми инструкциями PIEE. Большинству компаний необходимо выполнить Шаг 3 (и последующие шаги), если отображается сообщение «В системе нет администраторов подрядчика для кода местоположения».

Альтернативный метод — отправить свою самооценку на адрес электронной почты [email protected] . Ваше сообщение должно быть отправлено по зашифрованной электронной почте. Как ты делаешь это?

Винсент Скотт из Defense CyberSecurity Group отправил следующее:

Не знаете, как отправить зашифрованное электронное письмо для проведения базовой самооценки DFAR 7019/20? Если у вас нет их сертификата, это невозможно.Я отправил им электронное письмо и запросил сертификат. Они прислали мне один. Рекомендую это как подход.

Дополнительная информация от Винсента Скотта :

Новое примечание об отправке по электронной почте базовой самооценки. Я обнаружил, что полученная мною подпись предназначена не для группового ящика, а для человека, который ответил от имени группового ящика [email protected]. Это не позволило бы мне отправить зашифрованное электронное письмо из-за несоответствия адреса подписи. Я попросил помощи у военно-морского флота, обслуживающего почтовый ящик.Она провела небольшое исследование и ответила, что НЕВОЗМОЖНО получить сертификат для группового почтового ящика. Следовательно, НЕВОЗМОЖНО отправить зашифрованное электронное письмо в групповой ящик, только физическому лицу. Теперь я рекомендую отправить электронное письмо в почтовый ящик, если вы отправляете электронное письмо, запрашиваете цифровую подпись и отвечаете зашифрованным лицом на подписи, а не на электронное письмо, указанное в правиле.

Примечание Амиры: как только вы получите электронное письмо от [email protected] с его сертификатом открытого ключа, вам может потребоваться установить корневые сертификаты DoD на свой компьютер и доверять им, чтобы отправить обратно зашифрованное письмо.На этом веб-сайте DoD есть ресурсы для корневых сертификатов.

Дополнительные советы по отправке по электронной почте

От Уэйна Болина (Raytheon Technologies): «Не пытайтесь отправить информацию через один из защищенных порталов, где получатель должен перейти на сайт https и получить сообщение. Это не будет принято «.

От Тимоти Фосетта:

«Вчера я отправил свои результаты для оценки # nist800171 согласно« Приложению B »по электронной почте (webptsmh @ navy.мил). Я получил ответ от сотрудников SPRS с просьбой изменить формат. Если вы не смогли отправить свои результаты через SPRS и отправляете их по электронной почте, просмотрите отрывок из электронного письма от SPRS: «

Здравствуйте! Результаты вашей оценки NIST имеют неправильный формат. Воспользуйтесь приведенным ниже примером для отправки.

Чтобы опубликовать результаты базовой оценки, ответьте, пожалуйста, со следующим:
1. Дата оценки
2. Оценка оценки (<или = 110)
3.Объем оценки (выберите одно: Enterprise, Enclave, Contract), определения из системы:
Contracts — Проверка SSP для конкретного контракта
Enterprise — Вся сеть компании в списке CAGE
Enclave — Автономно в Enterprise CAGE как бизнес-единица (тестовый анклав, размещенные ресурсы и т. д.)
4. Дата завершения Плана действий (конкретная календарная дата, на которую вы прогнозируете достижение 110 баллов)
5. Включенные CAGE (CAGE, о которых вы сообщаете, которые охватываются SSP)
Ваша заявка должна быть в указанном выше формате и заполните для каждой КЛЕТКИ.

Нужно ли нам отправлять план обеспечения безопасности системы или POA & M?

На данный момент, похоже, все согласны с тем, что с вашей самооценкой не нужно подавать никаких документов. DoD хочет только точную информацию, которая указана в правилах DFARS 252.204-7019 и 7020 (см. Рисунок вверху страницы).

Как обрабатываются несколько кодов CAGE или несколько контрактов?

Винс Скотт из Defense CyberSecurity Group отправил следующее:

Q: Если несколько кодов CAGE или несколько контрактов используют одну и ту же информационную систему, как мы объясним это в заявке?

На основе

«(ii) Если в электронном письме, описанном в параграфе (d) (1) (i) данного раздела, указано несколько планов безопасности системы, Претендент должен использовать следующий формат для отчета:

Поскольку это позволяет «поддерживать код клетки», я бы использовал этот формат для нескольких планов или нескольких кодов клетки с точки зрения отправки электронной почты.Я планирую ввести нашу в SPRS на этой неделе, так что я дам вам знать, как это происходит.

Обновление: я слышал из нескольких источников, что приведенная выше таблица (из Временного правила DFARS) не является приемлемым форматом для отправки вашей оценки по адресу [email protected]

Этот формат, приведенный ниже, может быть лучше. Прокомментируйте, если знаете больше.

Могут ли субподрядчики получить доступ к SPRS или только простые числа? Предполагается ли, что праймы подаются от имени субподрядчиков?

Похоже, что субподрядчики могут получить доступ к SPRS и могут представить свои собственные самооценки.

Что делать, если оценка моей организации ниже 110?

Вы в хорошей компании. Если у вас нет штатных специалистов по кибербезопасности, занимающихся соблюдением нормативных требований, ваша оценка, вероятно, будет между -1 и -100. Идите вперед и представьте истинный счет.

Затем начните исправлять свою среду, обновите план безопасности системы, выполните еще одну оценку и загрузите улучшенную оценку в SPRS. Вы можете добавлять новые самооценки с течением времени, пока не достигнете 110.

Следует ли включать в самооценку облака, используемые для хранения, обработки или передачи CUI?

Поскольку NIST SP 800-171 применяется только к внутренним сетям подрядчика, а самооценка Министерства обороны требует NIST SP 800-171, а не DFARS 252 в целом.204-7012, некоторые люди могут интерпретировать свое облако как выходящее за рамки.

Это неверно. Согласно часто задаваемым вопросам DoD Acquisition Cyber, Министерство обороны не только ожидает, что ваше облако будет авторизовано на уровне FedRAMP medium или эквивалентном, но вы по-прежнему несете ответственность за некоторые безопасные конфигурации. Примеры: управление учетными записями и ролями пользователей. Применение надежных паролей и настроек блокировки. Проверка вашего персонала проверяется. Дополнительные сведения см. В нашем блоге о поставщиках CMMC, CUI и облачных сервисов. Вам нужен FedRAMP?

Q127: Каким образом решения «Программное обеспечение как услуга» будут оцениваться по шкале NIST SP 800-171 DoD Assessment ? Например: интеграция с Office 365, который содержит умеренный сертификат FedRAMP, может создать проблему, поскольку поставщик не будет делиться конкретными деталями с клиентами.

A127: Для облачных решений (например, SaaS, Office 365), если они авторизованы в FedRAMP medium или эквивалентном, предполагается, что решения соответствуют требованиям NIST SP 800-171. Однако обычно за определенные параметры конфигурации остается ответственность подписчик / клиент, и когда они связаны с конкретными требованиями NIST SP 800-171, они подлежат оценке и выставлению баллов.

Со временем будут добавлены новые ответы. Прокомментируйте или напишите нам, если у вас есть какие-либо советы или рекомендации!

Остающиеся вопросы по отправке самооценки

• Если нам удастся правильно отправить зашифрованное электронное письмо, сколько времени займет его размещение в SPRS?

Подпишитесь на нашу рассылку, чтобы получить полезную информацию о соответствии CMMC и DFARS и стать профессионалом в этой области.Отправьте мне ссылку на LinkedIn для обсуждения сообществом CMMC и 800-171.

В. Амира Армонд (CISSP, CISA, PMP, MBA) — архитектор компьютерных систем, консультант по кибербезопасности и владелец Kieri Solutions LLC. Kieri Solutions специализируется на подготовке CMMC и соблюдении требований DFARS 252.204-7012, а также на разработке безопасных и отказоустойчивых корпоративных систем для частного сектора и Министерства обороны. Амира — главный редактор cmmcaudit.org, общедоступного ресурса новостей и информационных статей о сертификации модели зрелости кибербезопасности.

Следующие статьи:

Шаблоны политик и инструменты для CMMC и 800-171

CMMC, CUI и Cloud Vendors — вам нужен FedRAMP?

Накопительный пакет новостей CMMC — 25 октября 2020 г.

sql server — sp_send_dbmail, выполняемый из задания, не выполняется с результатом запроса, прикрепленным в виде файла

Я нашел решение этой проблемы. Не знаю, почему это сработает, но тем не менее. 🙂 Это определенно о безопасности.

Я исследовал, что агент SQL работает от имени пользователя домена, например DOMAIN \ User .Он имеет полный набор прав администратора на сервере (роль сервера «sysadmin» и т. Д.). Сам SQL Server работает под тем же пользователем.

Шаг задания, который содержит вызов sp_send_dbmail , выполняется под тем же DOMAIN \ User .

Также я проследил, что при выполнении части запроса sp_send_dbmail он пытается выполнить exec xp_logininfo ‘DOMAIN \ User’ , чтобы проверить Active Directory, если этот пользователь в порядке. И сюрприз: что-то точно не в порядке.Эта проверка заканчивается на:

  Msg 15404, уровень 16, состояние 19, сервер SQLC002INS02 \ SQLC002INS02, строка 1
Не удалось получить информацию о группе / пользователе Windows NT "DOMAIN \ User.", Код ошибки 0x2.
  

Это с некоторой вероятностью может означать, что срок действия пароля этого пользователя истек, или пользователь заблокирован, или любые другие неприятные вещи для этого парня.

Я решил, что менять пользователя на Агента рискованно. Итак, я подошел к отправке почты от имени «sa», который имеет ту же роль сервера «sysadmin», но авторизацию SQL и пропускает этот шаг проверки AD.

Похоже, один пользователь, который притворяется админом, просит настоящего админа запустить для него опасный код 🙂

Итак, окончательный код первого и единственного шага этого задания выглядит следующим образом:

  выполнить как login = 'sa'
exec msdb.dbo.sp_send_dbmail
    @profile_name = 'имя_профиля',
    @recipients = '[email protected]',
    @body = 'тело',
    @subject = 'subj',
    - Параметры, относящиеся к прикрепленному файлу
    @attach_query_result_as_file = 1,
    @query_result_header = 0,
    @query_result_no_padding = 1,
    @query = 'выберите 1',
    @query_attachment_filename = 'test.csv '
возвращаться
  

Руководство для любителей пива по SAML

Что такое SAML и почему он существует?

В ИТ-организациях часто возникает пробел в знаниях, когда дело доходит до понимания того, как именно работает SAML. Многие администраторы и инженеры знакомы с традиционными сетевыми протоколами аутентификации, такими как RADIUS, LDAP и SSH, но использование SAML будет расти по мере того, как организации будут продолжать переходить к поставщикам и услугам, основанным на облачных технологиях.

Этот пост в блоге призван раскрыть тайну SAML, объяснить механизмы, лежащие в основе некоторых из наиболее распространенных вариантов использования SAML, и провести параллели с, к сожалению, вымышленным BaaS — пивом как услугой.

Проще говоря, язык разметки утверждения безопасности (более известный как его акроним, SAML) — это протокол для аутентификации в веб-приложениях. Объединение удостоверений — это обычная практика, которая сводится к хранению удостоверений пользователей в отдельных приложениях и организациях.SAML позволяет этим федеративным приложениям и организациям общаться и доверять пользователям друг друга.

SAML обеспечивает способ аутентификации пользователей в сторонних веб-приложениях (например, Gmail для бизнеса, Office 365, Salesforce, Expensify, Box, Workday и т. Д.) Путем перенаправления браузера пользователя на страницу входа в компанию, а затем после успешной аутентификации на эта страница входа в систему, перенаправляя браузер пользователя обратно в то стороннее веб-приложение, к которому ему предоставлен доступ. Ключ к SAML — это перенаправления браузера!

Чтобы объединить аналогии, если вы думаете о едином входе (SSO) как о «едином пароле для управления ими всеми», подумайте о SAML как о связующем их всех.

SAML чаще всего является основным протоколом, который делает возможной единый вход через Интернет. Компания поддерживает единую страницу входа — за ней хранилище идентификационных данных и различные правила аутентификации — и может легко настроить любое веб-приложение, поддерживающее SAML, позволяя своим пользователям входить во все веб-приложения с одного экрана входа с одним паролем. Он также имеет преимущество безопасности, так как не заставляет пользователей сохранять (и потенциально повторно использовать) пароли для каждого веб-приложения, к которому им нужен доступ, и не раскрывает пароли для этих веб-приложений.

SAML в действии

Давайте начнем с примера любителя пива Боба, который хочет купить пиво на концерте. Пиво как услуга:

1. Боб сначала подходит к палатке с браслетами, где его удостоверение личности проверяется и выдается браслет.

   • The Wristband Tent — поставщик удостоверений личности; его цель — проверить личность Боба и убедиться, что он соответствует необходимым критериям для получения браслета.

2. Затем Боб идет к пивной палатке.Парень из пивной палатки видит браслет Боба и протягивает ему пиво.

   • The Beer Tent — поставщик услуг; это то, к чему Боб в конечном итоге хочет получить доступ: пиво!

Теперь рассмотрим пример пользователя программного обеспечения Стю, который хочет войти в систему Salesforce. Программное обеспечение как услуга:

1. Стью сначала переходит на панель управления, настроенную его компанией, где ему предлагается пройти аутентификацию (имя пользователя + пароль + двухфакторный), а затем он может увидеть все приложения, к которым у него есть доступ.

   • Процесс входа в систему и информационная панель являются частью провайдера идентификации; его основная цель — установить личность Стью

2. Затем Стью щелкает значок Salesforce и входит в Salesforce.

   • Salesforce — поставщик услуг; это то, к чему Стю в конечном итоге хочет получить доступ.

Вот и SAML в действии! Стю вошел в личный кабинет своей компании и автоматически получил доступ ко всем облачным приложениям, которые использует его компания, включая Salesforce.Когда Стью щелкнул значок Salesforce, провайдер удостоверений его компании сгенерировал утверждение SAML (сообщение, подтверждающее его личность), его браузер перешел к Salesforce, и, наконец, Salesforce подтвердил это утверждение SAML и предоставил ему доступ.

За кулисами с SAML

Что произошло на жаргоне SAML? Начнем с определения терминов:

• Поставщик идентификационной информации (IdP) — программный инструмент или услуга (часто визуализируемая на странице входа и / или информационной панели), которая выполняет аутентификацию; проверка имен пользователей и паролей, проверка статуса учетной записи, двухфакторный вызов и т. д.Это была палатка с браслетом.

• Поставщик услуг (SP) — веб-приложение, к которому пользователь пытается получить доступ. Это была пивная палатка.

• SAML Assertion — сообщение, подтверждающее личность пользователя и часто другие атрибуты, отправляемое через HTTP через перенаправления браузера. Это был сам браслет.

Шаг 1 Объяснение: пьющий пиво Боб идет к палатке с браслетом, а пользователь программного обеспечения Стю идет к панели управления компании

На этом этапе происходит аутентификация IdP.

Для Боба аутентификация заключалась в том, что палатка с браслетом проверяла, является ли он тем, кем он себя назвал (его лицо совпадает с изображением на его удостоверении личности), и удостоверяется, что он соответствует требованиям (он был в возрасте для питья).

Для пользователя программного обеспечения Стью аутентификация заключалась в проверке его имени пользователя и пароля, проверке активности его учетной записи и использовании двухфакторной аутентификации, чтобы убедиться, что он действительно был тем, кем себя назвал.

Это хорошее время, чтобы объяснить, что лучше всего рассматривать IdP как роль в рабочем процессе аутентификации SAML по отношению к SP.IdP — это просто орган, которому доверяет SP. Что конкретно делает IdP для проверки пользователя, SP не волнует. SP заботится только о том, одобряет ли его единственный IdP пользователя и выдает подтверждение SAML.

То, что делает палатка с браслетом для проверки личности пьющего перед выдачей браслета, не имеет значения для пивной палатки — их волнует только то, есть ли у пьющего браслет или нет. Палатка с браслетом может потребовать от каждого пьющего предъявить водительские права, паспорт, подтверждение места жительства, вывернуть свою одежду наизнанку, а затем сделать 20 отжиманий.

Для этого может даже потребоваться, чтобы они посетили другую палатку — возможно, Палатку с ожерельем — а затем вернулись в палатку с браслетами, надев ожерелье, чтобы получить браслет. The Beer Tent ни о чем из этого не подозревает, и ей все равно. Единственная забота пивной палатки — приходит ли пьющий с браслетом.

Опять же, то, что IdP делает для проверки личности пользователя, не имеет значения для SP, Salesforce. Как правило, IdP запрашивают учетные данные пользователя, но они также могут запрашивать сертификаты, вызывать двухфакторную аутентификацию, требовать, чтобы пользователь находился в определенной сети — и, как вы уже догадались, они могут даже перенаправить пользователя в другое место, чтобы пользователь пройти еще больше испытаний.Действия IdP для проверки личности пользователя настраиваются компанией пользователя и могут зависеть (или ограничиваться) возможностями самого решения IdP.

Рассмотрение IdP как роли может быть полезным для понимания того, что многие продукты, представленные сегодня на рынке, выполняют роль IdP. Duo Access Gateway, Microsoft AD FS, Okta, OneLogin, Ping, Centrify и Shibboleth — все они выполняют роль IdP, и это лишь некоторые из них.

После успешной аутентификации пользователя многие продукты IdP отображают информационную панель с плитками или значками всех SP, доступных для этого пользователя, чтобы щелкнуть по ним и войти в систему.В нашем примере Стью щелкнул значок Salesforce, который приказал его IdP сгенерировать утверждение SAML для Salesforce, которое соответствует всем требованиям Salesforce: какие атрибуты необходимо включить в это утверждение и как оно должно быть отформатировано, чтобы Стью успешно получил доступ к Salesforce.

Объяснение шага 2: Боб идет в пивную, а Стью идет в Salesforce

На этом этапе выполняется проверка утверждения SAML поставщиком услуг.

Для Боба проверка заключалась в проверке пивной палатки, чтобы убедиться, что его браслет был законным и выдан той палаткой, которой они доверяют.

Для Стю проверка заключалась в том, что Salesforce проверяла утверждение SAML, чтобы убедиться, что оно пришло от IdP, которому Salesforce доверяет. Помимо проверки подлинности и действительности утверждения SAML, Salesforce также просматривает утверждение SAML, чтобы узнать, кто такой Стю и под кем он должен войти в Salesforce.

Часто для одного IdP настроено несколько SP. Итак, хотя на этот раз Стью перешел в Salesforce, возможно, в следующий раз он перейдет в Gmail, и его корпоративная панель управления (IdP) сгенерирует другое утверждение SAML, соответствующее требованиям Gmail.Это как иметь много разных палаток — винную палатку, палатку с ликером и нашу любимую пивную палатку — всех, кто доверяет одной палатке с браслетом. Палатка с браслетом может выдавать разные браслеты для каждой палатки с вином, спиртным или пивом в зависимости от того, куда пьющий хочет пойти.

Инициировано IdP и инициировано SP

Инициировано IdP по сравнению с инициированным SP указывает на то, где начинается рабочий процесс аутентификации. Об этом часто спрашивают, потому что одни поставщики услуг поддерживают вход в систему, инициированный SP, а другие — нет.Уникальность входа в систему, инициированного SP, — это запрос SAML .

Вход в систему, инициированный IdP, начинается с того, что пользователь сначала переходит к IdP (обычно это страница входа или информационная панель), а затем переходит к SP с подтверждением SAML . Это как сначала пойти в палатку с браслетом, а затем в пивную, получив браслет. Приведенные выше примеры, когда пользователь входит в систему Salesforce и получает пиво, были инициированы IdP.

Инициированный SP вход в систему начинается с того, что пользователь сначала переходит к SP , перенаправляется к IdP с запросом SAML , а затем перенаправляется обратно к SP с подтверждением SAML .Это как сначала пойти в пивную палатку, потом вас отправят в палатку с браслетами, потому что у вас нет браслета, а затем вернуться в пивную палатку, когда у вас есть браслет.

Почему это важно и что это значит? Что такое запрос SAML? Это важно, потому что эти перенаправления (переход в палатку с браслетом, затем возвращение в палатку с пивом) требуют, чтобы SP выдавал запрос SAML. В запросе SAML говорится: «Этот пользователь пытается войти в систему, но у него еще нет подтверждения SAML. Пожалуйста, помогите им получить подтверждение SAML, а затем отправьте их сюда.”

Однако не все SP могут отправлять запросы SAML, что ограничивает вход в этот SP только по инициативе IdP. (И серьезно, SP, если это вы, то пора присоединиться к вечеринке.) Запрос SAML похож на то, как кто-то идет в пивную палатку без браслета, когда в пивной палатке пишут записку, в которой говорится: «Этот парень хочет пива. Дайте ему браслет и отправьте его обратно », прикрепив записку к рубашке и толкнув его к палатке с браслетами. Это облегчает жизнь людям, которые любят пить пиво, и именно поэтому мы его предпочитаем.

Настройка SAML

Мы рассмотрели основы того, что такое SAML, как работает вход с помощью SAML, а также несколько наиболее распространенных сценариев SAML. Теперь поговорим об особенностях конфигурации: установка палаток.

Конфигурация SAML должна выполняться в двух местах: на IdP и на SP.

IdP необходимо настроить таким образом, чтобы он знал, куда и как отправлять пользователей, когда они хотят войти в конкретный SP. Это похоже на установку палатки с браслетами и обеспечение того, чтобы ее сотрудники знали, что они проверяют удостоверения личности, чтобы людям можно было подать пиво (и что они не должны позволять несовершеннолетним носить браслет), и после того, как они выпустят браслет, чтобы указать людям на пивная палатка (а не, скажем, палатка с футболкой или вне места проведения концерта).

SP необходимо настроить так, чтобы он знал, что может доверять утверждениям SAML, подписанным IdP. Это все равно, что установить пивную палатку и убедиться, что ее работники знают, что нужно искать браслеты, соответствующие браслетам, которые выпускает их надежная палатка с браслетами (в отличие от браслета дружбы, который кто-то просто носит).

Конфигурация IdP

Спецификации для утверждения SAML — что оно должно содержать и как должно быть отформатировано — предоставляются поставщиком SP и устанавливаются в IdP.Это похоже на то, как пивная палатка диктует, что они ожидают от браслета, а палатка с браслетом осознает эти ожидания.

Следующие значения должны быть установлены в IdP для каждого SP, а их часто довольно много. Это похоже на пивную палатку, палатку для виски и винную палатку, все они доверяют одной и той же палатке с браслетами. Часто продукты IdP могут устанавливать их автоматически за кулисами, но как администратор вам нужно будет предоставить как минимум или этой информации:

EntityID — глобально уникальное имя для SP.Форматы различаются, но все чаще можно увидеть это значение в формате URL.

• Реальный пример:
• Пиво Пример: «Концертное пиво Грега»

Служба потребителей утверждений (ACS) — URL-адрес, по которому отправляется утверждение SAML.

• Реальный пример: https://beertent.com/saml/consume/
• Пиво Пример: «Подойдите к левой стороне пивной палатки.https: \ / \ / beertent \ .com \ / saml \ / consumer \ / $
• Пиво Пример: «Убедитесь, что вы идете в эту пивную палатку, а не в другую».

Атрибуты — количество и формат атрибутов могут сильно различаться. Обычно существует по крайней мере один атрибут, nameID, который обычно представляет собой имя пользователя, пытающегося войти в систему.

• Реальные примеры:
  Формат NameID
  Атрибут NameID

• Примеры пива:
  «На браслете указано, что вас зовут Боб Бузер.
  «На браслете указано ваше имя и фамилия».

RelayState — Не требуется. Ссылки на SAML. Это сообщает SP, куда направить пользователя после успешного входа в систему.

• Реальный пример: https://beertent.com/taps/lager/
• Пиво Пример: «После того, как пивная палатка одобрит ваш браслет, попросите лагер».

Алгоритм подписи SAML — SHA-1 или SHA-256.Реже SHA-384 или SHA-512. Этот алгоритм используется вместе с сертификатом X.509, упомянутым ниже.

• Реальный пример: SHA-256
• Пиво Пример: «На браслете есть голограмма, поэтому вы знаете, что она настоящая».

Конфигурация SP

Этот раздел, обратный приведенному выше разделу, относится к информации, предоставленной IdP и установленной в SP. Это будет информация, которую мы предоставляем пивной палатке, чтобы дать им возможность подтвердить, что браслеты, с которыми приходят пьющие, действительно были выпущены палаткой с браслетами, которой они доверяют.

Сертификат X.509 — Сертификат, предоставляемый IdP, используемый для проверки открытого ключа, переданного IdP в метаданных утверждения SAML. Это позволяет SP проверить, что утверждение SAML — это на самом деле , исходящее от IdP, которому он доверяет. Утверждения SAML обычно подписываются, однако запросы SAML также могут быть подписаны. Обычно он загружается или копируется из IdP и настраивается путем загрузки или вставки в SP.

URL-адрес эмитента — Уникальный идентификатор IdP.Отформатирован как URL-адрес, содержащий информацию об IdP, чтобы поставщик SP мог проверить, что утверждения SAML, которые он получает, отправлены правильным IdP.

• Реальный пример: https://access.wristbandtent.com/saml2/idp/metadata.php
• Пиво Пример: «Принимайте только утверждения SAML, которые исходят от палатки с браслетом, соответствующей этому описанию».

SAML SSO Endpoint / Service Provider Login URL — Конечная точка IdP, которая инициирует аутентификацию при перенаправлении сюда поставщиком SP с запросом SAML.

SAML SLO (Single Log-out) Endpoint — конечная точка IdP, которая закроет сеанс IdP пользователя при перенаправлении сюда SP, обычно после того, как пользователь нажимает «Log out».

• Реальный пример: https://access.wristbandtent.com/logout
• Пиво Пример: «Зайдите в это место в палатке с браслетами, чтобы снять браслет».

Чем SAML отличается от Oauth и федерации веб-служб?

Мы случайно слышим об этих других альтернативах SAML, но чем они отличаются? Должны ли вы иметь мнение о том, какой из них лучше? Поймите, что SAML, OAuth и Федерация веб-сервисов (WS-Fed) различаются как технически, так и по тому, как их лучше всего использовать.

• SAML — чаще всего используется предприятиями, чтобы предоставить своим пользователям доступ к услугам, за которые они платят. Salesforce, Gmail, Box и Expensify — все это примеры поставщиков услуг, к которым сотрудник получит доступ после входа в систему SAML. SAML сообщает поставщику услуг, кем является пользователь; это аутентификация.

• WS-Fed — Федерация веб-служб используется для тех же целей, что и SAML, для федеративной аутентификации от поставщиков услуг к общему поставщику удостоверений.Он хорошо поддерживается некоторыми IdP, такими как Microsoft Active Directory Federation Services (AD FS), но не распространен среди поставщиков облачных услуг. WS-Fed, возможно, проще в реализации разработчикам, чем SAML, но его ограниченная поддержка среди IdP и SP делает его трудную продажу.

• OAuth — чаще всего используется потребительскими приложениями и службами, поэтому пользователям не нужно регистрироваться для получения нового имени пользователя и пароля. «Войти через Google» и «Войти через Facebook» являются примерами OAuth в реальном мире.OAuth делегирует доступ к учетной записи Google или Facebook третьему лицу.

Обычно приложение, в которое входит пользователь, может напрямую считывать информацию из профиля пользователя или выполнять действия (например, публиковать изображения или делать обновления) от его имени; это авторизация. Это было бы похоже на поход в пивную палатку, и вместо того, чтобы из пивной палатки отправить Боба в палатку с браслетами, они просят Боба передать им свое удостоверение личности и подписать, что работники пивной палатки могут перейти к палатке с браслетами от его имени и представлять ему; он их разрешает.

Что еще более важно, так это посмотреть на распространенность каждой технологии для каждого варианта использования. SAML повсеместно используется на рабочих местах для облачных приложений, в то время как WS-Fed — нет. И наоборот, OAuth широко распространен среди потребительских приложений.

Терминология Microsoft и AD FS

Службы Microsoft Active Directory Federation Services имеют свою собственную терминологию и подход к SAML, поэтому требует краткого пояснения. Microsoft AD FS — поставщик удостоверений. Думайте об этом как о решении Microsoft для палатки с браслетом: сложно понять, если вы новичок в мире палаток с браслетом, но очень легко настраиваемый.

• Проверяющая сторона — это термин, который Microsoft AD FS использует для обозначения поставщика услуг.

• Правила утверждений — это еще один термин, который используется только в Microsoft AD FS. Правила утверждений — это всего лишь правила, которые вы можете применять для изменения того, как и когда вызывать аутентификацию. Например, администратор может настроить правило утверждений, которое применяется только тогда, когда пользователь заходит в AD FS, когда он пытается получить доступ к Dropbox. Кроме того, он не позволяет им использовать мобильное устройство, позволяя этому пользователю входить в систему с ноутбука или настольного устройства, но не с Android или iPhone.Некоторые IdP, отличные от AD FS, могут создавать аналогичные правила, но AD FS позволяет создавать одни из самых надежных и сложных правил.

• ImmutableID является эквивалентом ObjectGUID в Microsoft Azure AD. Это не относится к AD FS, но о нем стоит упомянуть.

• WS-Fed похож на SAML и подчиняется многим из тех же правил. Это протокол, специально созданный Microsoft и широко не поддерживаемый IdP, кроме AD FS.

Основы поиска и устранения неисправностей

Лучший способ устранения проблем с SAML — тот же способ, которым я рекомендую устранять большинство проблем: начните с основ.

1. Область действия — Проблема затрагивает всех пользователей или только некоторых? Если ни один пользователь не может войти в систему, это сразу свидетельствует о прерывании обслуживания или неправильной конфигурации. Если вы настраиваете IdP и SP впервые, возможно, это неверная конфигурация.

2. Experience — Что испытывает пользователь, что указывает на проблему? Пользователь получает сообщение об ошибке на странице входа в IdP? Или пользователь получает ошибку, сгенерированную SP после успешной аутентификации в IdP?

Поскольку SAML «реализуется» через переадресацию браузера, обычно довольно просто определить, где возникла проблема, — достаточно взглянуть на URL-адрес.Если проблема возникает при использовании URL-адреса, принадлежащего вашему IdP, возможно, это проблема IdP. То же самое и с URL-адресом целевой SP.

Ошибка на IdP

Для нескольких пользователей:

• Есть сообщение об ошибке? Дает ли это ключ к разгадке?
• Действительны ли имя пользователя и пароль?
• Разблокирована ли учетная запись пользователя?
• Успешно ли пользователь прошел двухфакторную аутентификацию или какие-либо другие шаги аутентификации?
• Попробуйте еще раз.Очистить кэш. Попробуйте в окне инкогнито. Попробуйте на другой машине. Есть ли способ изолировать и идентифицировать проблему?
• Что показывают журналы?

Для всех пользователей:

• Есть сообщение об ошибке? Дает ли это ключ к разгадке?
• Может ли пользователь разрешить URL-адрес IdP и фактически просмотреть страницу входа?
• Может ли ваш IdP взаимодействовать с вашим хранилищем идентификационных данных (например, Active Directory)?
• Если настраивается, сохраняйте простой процесс аутентификации и выполняйте по одному шагу за раз, т.е.е. убедитесь, что первичная аутентификация работает успешно, прежде чем переходить к устранению неполадок двухфакторной аутентификации.

при поступлении на SP

Для нескольких пользователей:

• В чем ошибка? Дает ли это ключ к разгадке?
• Есть ли у пользователя действительное имя пользователя в SP?
• Убедитесь, что имя пользователя, хранящееся в SP, совпадает с тем, что передается в утверждении SAML. Мой любимый инструмент для этого — SAML Tracer, который позволяет легко просматривать содержимое утверждения SAML.
• Должен ли пользователь входить в определенную группу?

Для всех пользователей:

• В чем ошибка? Дает ли это ключ к разгадке?
• Предоставлены ли какие-либо пользователей в рамках SP?
• Как SP ожидает, что утверждение SAML будет выглядеть? Какие обязательные атрибуты и их форматы?
• Должны ли все пользователи входить в определенную группу?

Теперь, когда мы поговорили о тонкостях SAML, осталось сказать только одно: Ура!

Настройте Auth0 в качестве поставщика услуг SAML

Настройте Auth0 для работы в качестве поставщика услуг (SP) в федерации SAML.Auth0 поддерживает использование Auth0 в качестве поставщика услуг только в конфигурациях SAML с SAML 1.1 или SAML 2.0.

 
 http: // idp_server: порт / affwebservices / public / saml2sso? SPID = SP_ID &
ProtocolBinding = URI_for_binding
 
 

 
 http: // idp-ca: 82 / affwebservices / public / saml2sso? SPID = http% 3A% 2F% 2Ffedsrv.acme.com
% 2Fsmidp2for90 & ProtocolBinding = urn: oasis: names: tc: SAML: 2.0: привязки: HTTP-Artifact 
 

 
 http://ca.sp.com:90/affwebservices/public/saml2authnrequest?ProviderID=
http% 3A% 2F% 2Ffedsrv.acme.com% 2Fsmidp2for90 &
RelayState = http% 3A% 2F% 2Fwww.spdemo.com% 2Fapps% 2Fapp.jsp 
 

 
 http: // SP_server: порт / affwebservices / public / saml2authnrequest?
ProviderID = IdP_ID & ProtocolBinding = URI_of_binding
 
 

 
 http://ca.sp.com:90/affwebservices/public/saml2authnrequest?ProviderID=
http% 3A% 2F% 2Ffedsrv.acme.com% 2Fsmidp2for90
 
 

 
 http://www.spdemo.com:81/affwebservices/public/saml2authnrequest?
ProviderID = idp.demo & RelayState = http% 3A% 2F% 2Fwww.spdemo.com% 2Fapps% 2Fapp.jsp 
 

 
 http: //www.spdemo.com: 81 / affwebservices / public / saml2authnrequest?
ProviderID = idp.demo & RelayState = http% 3A% 2F% 2Fwww.spdemo.com%
2Fapps% 2Fapp.jsp & IsPassive = true 
 

  cd / etc / shibboleth
кошка> sp-cert.cnf << КОНЕЦ
# Файл конфигурации OpenSSL для создания sp-cert.pem
[req]
подсказка = нет
default_bits = 2048
encrypt_key = нет
default_md = sha1
отличительное_имя = dn
Только # PrintableStrings
string_mask = МАСКА: 0002
x509_extensions = ext
[дн]
CN = ВАШ.HOST.ncsu.edu
[доб]
subjectAltName = DNS: ВАШ.ХОСТ.ncsu.edu
subjectKeyIdentifier = хэш
КОНЕЦ
vi sp-cert.cnf
    # теперь отредактируйте две записи "YOUR.HOST" выше
  

  cp sp-cert.pem sp-cert.old.pem
openssl req -new -x509 -days 3652 -key sp-key.pem \
        -config sp-cert.cnf> sp-cert.new.pem
  

  cp sp-cert.new.pem sp-cert.pem
перезапуск службы shibd
перезапуск службы httpd
  

  Кому: [email protected]
Тема: Обновите метаданные для https://your.host.ncsu.edu/sp/shibboleth

Недавно мы обновили сертификат на нашем SP. Пожалуйста, скачайте
обновленные метаданные из:
    https://your.host.ncsu.edu/Shibboleth.sso/Metadata
и обновите нашу запись в Федерации NCSU.
  

  cd / tmp
/etc/shibboleth/keygen.sh -y 10 \
  -h ваш.host.ncsu.edu \
  -e https://your.host.ncsu.edu/sp/shibboleth
        # h - имя хоста
        # e - entityID
ls / tmp / sp- *
    /tmp/sp-cert.pem /tmp/sp-key.pem
  

  cd / tmp
cp sp-cert.pem /etc/shibboleth/sp-cert-2017.pem
cp sp-key.pem /etc/shibboleth/sp-key-2017.pem
cd / etc / shibboleth
chown shibd.shibd sp-cert-2017.pem sp-key-2017.pem
ls -l sp *
    -rw-r - r-- 1 shibd shibd 1159 16 июля 2014 sp-cert.pem
    -rw-r - r-- 1 шибд шибд 1505 31 мая 09:48 sp-cert-2017.pem
    -rw ------- 1 shibd shibd 1675 9 октября 2009 г. sp-key.pem
    -rw ------- 1 shibd shibd 2484 31 мая 09:48 sp-key-2017.pem
  

  vi /etc/shibboleth/shibboleth3.xml
    # найти тег CredentialResolver со старыми сертификатами
    # продублируйте его и измените имена для второго сертификата.
    # затем оберните обе записи в тег Chaining CredentialResolver

    # как это:
    
        
        
        
        
    
  

  перезапуск службы shibd
меньше /var/log/shibboleth/shibd.log
    # должны увидеть строки загрузки для обеих пар ключ / сертификат
  

  Кому: [email protected]
Тема: Обновите метаданные для https://your.host.ncsu.edu/sp/shibboleth

Заменяем ключ / сертификат на нашем ИП. Пожалуйста, скачайте
обновленные метаданные из:
    https://your.host.ncsu.edu/Shibboleth.sso/Metadata
и обновите нашу запись в Федерации NCSU.
  

  cd / etc / shibboleth
vi shibboleth3.xml
 # изменить порядок двух сертификатов, поставив на первое место сертификат 2017 г.     
Навигация по записям
Пред.
След.
Добавить комментарий Отменить ответ
Ваш адрес email не будет опубликован. Обязательные поля помечены *
Комментарий *
Имя * 
Email * 
Сайт