Как оформить ип пошаговая: Как открыть ИП в 2021 году пошаговая инструкция для начинающих

Содержание

Регистрация ИП в Томске. Открытие ИП: как оформить ИП (Томск

Запишитесь на консультацию юриста компании АРГУМЕНТ по регистрации ИП в Томске по телефону: 8(3822)507230, или закажите звонок.

Услуги АРГУМЕНТ по регистрации ИП в Томске:

подготовка документов для регистрации ИП (Томск).

услуги по регистрации ИП под ключ (Томск).

подготовка документов для открытия расчетного счета (Томск).

АРГУМЕНТ может отправлять Ваши документы в ФНС через Интернет, тогда Вам НЕ ПРИДЕТСЯ самостоятельно обращаться в налоговый орган или к нотариусу.

 

Индивидуальным предпринимателем (ИП) признается гражданин, зарегистрированный в таком качестве в установленном порядке и осуществляющий без образования юридического лица предпринимательскую деятельность, самостоятельную, на свой риск деятельность, которая направлена на систематическое получение прибыли от продажи товаров, оказания услуг, пользования имуществом или выполнения разного вида работ.

Регистрация ИП в Томске и оформление документов

Регистрация ИП в Томске происходит по месту (постоянной) регистрации гражданина — в Межрайонной ИФНС России № 7 по Томской области.

Регистрация ИП в Томске: пошаговая инструкция (2019 г.)

1. Первый шаг — это заполнение заявления (по форме Р21001) о регистрации в качестве ИП.

2. Второй шаг — перед подачей документов необходимо оплатить государственную пошлину за открытие ИП и приложить документы о её оплате к заявлению (при подаче документов на регистрацию ИП в Томске в электронном виде — госпошлина не оплачивается).

Из документов, которые понадобятся для регистрации ИП в Томске (для предъявления налоговому работнику), Вам необходим только паспорт.

3. Третий шаг — определиться с системой налогообложения перед открытием ИП. В зависимости от выбранных видов деятельности, Вам могут подходить разные налоговые режимы. Изменить вид деятельности и систему налогообложения после регистрации ИП будет сложнее, поэтому желательно заранее проконсультироваться со специалистом и указать в заявлении (по форме Р21001) о регистрации в качестве ИП правильные коды ОКВЭД, тогда у Вас не будет сложностей с переходом на правильный налоговый режим.

Переход на нужную Вам систему налогообложения осуществляется в зависимости от выбранного режима либо после регистрации ИП, либо одновременно с подачей документов на регистрацию ИП.

Обратиться в налоговый орган за регистрацией в качестве предпринимателя Вы можете как лично, так и прибегнув к помощи юридической компании в Томске АРГУМЕНТ, не затрачивая лишнее время на заполнение документов, посещение и отстаивание очередей в банке и налоговой. 

Если Вы хотите сдать документы на регистрацию в налоговый орган самостоятельно, Вам подойдет услуга «Подготовка документов для регистрации ИП».

Если Вы не готовы растрачивать свое время на поездки по инстанциям, воспользуйтесь услугой — «Регистрация ИП под ключ».

 

Воспользуйтесь сервисом АРГУМЕНТ зарегистрировать ИП онлайн, и приходите один раз за готовыми документами!

Если Вы не знаете, как оформить ИП в Томске, воспользуйтесь опытом и знаниями наших юристов, связанными с открытием ИП в Томске. Также у юристов компании АРГУМЕНТ Вы всегда можете получить консультацию о том, как открыть ИП в Томске, в том числе, получить пошаговую инструкцию о регистрации ИП самостоятельно (если Вы хотите только оформить документы по регистрации ИП в Томске и Томской области, но подавать их в налоговые органы намерены сами).

Запишитесь на консультацию юриста компании АРГУМЕНТ по регистрации ИП в Томске по телефону: 8(3822)507230, или закажите звонок.


Пошаговая инструкция как открыть ИП в 2021 г.

Разберемся с конкретными примерами на практике

Вопрос: иностранный гражданин принимает решение получить статус ИП на территории Российской Федерации. Какие документы ему нужно предоставить в налоговый орган?

Ответ: В таком случае у иностранного гражданина возникает обязанность представить следующие документы:

  • Копию документа, удостоверяющего личность, зарубежной страны. Он должен признаваться на территории РФ в соответствии с заключенными между государствами международными соглашениями.
  • Копию документа, дающего право иностранному гражданину на законных основаниях находиться на территории нашей страны. Это, как правило, вид на жительство.
Вопрос: Физлицо без гражданства хочет получить статус предпринимателя. Что ему нужно предоставить в налоговый орган для прохождения необходимых регистрационных процедур?

Ответ: Для получения соответствующего статуса данному гражданину нужно будет предоставить копию документа, который будет удостоверять его личность на территории Российской Федерации. К таким документам действующее миграционное законодательство относит: вид на жительство/разрешение на проживание и иные документы, дающие право на законных основаниях лицу без гражданства находиться на территории РФ в соответствии с международными договорами.

Такое положение содержится в соответствующем законе, регулирующем правоотношения в области миграционного законодательства.

Дополнительно в таком случае заявителю придется представить копию документа о временном нахождении на территории России. Как правило, это вид на жительство или иной документ.

При наличии документа, который удостоверяет личность физлица без гражданства, именно там ставится отметка об оформлении. Заявителю нужно только будет предоставить налоговому инспектору копию такого документа вкупе с представлением оригинала на обозрение.

Вопрос: может ли лицо, не достигшее восемнадцатилетнего возраста, получить статус ИП?

Ответ: да, но при соблюдении определенных требований. К ним можно отнести:

  • лицо должно вступить в законный брак в соответствии с Семейным кодексом РФ;
  • лицо по решению суда объявлено в полном объеме дееспособным;
  • несовершеннолетний получает согласие на получение статуса ИП.

Во всех вышеуказанных вариантах на регистрационную процедуру заявитель должен представить определенный документ.

Заключение брака

При вступлении в законный брак лицо, не достигшее возраста восемнадцати лет, становится полностью дееспособным. Отсюда он имеет право и получить статус ИП и заниматься бизнесом в установленном законе порядке.

Такое лицо может вступить в брак при единовременном выполнении ряда требований семейного законодательства:

  • гражданин достиг шестнадцатилетнего возраста;
  • присутствуют уважительные причины заключения брачного союза;
  • гражданин подал заявление о необходимости вступления в брак в орган государственной власти;
  • орган государственной власти дал свое согласие в установленном законом порядке.

Законы субъектов РФ могут разрешать заключать брачный союз в отдельных случаях и возрасте до шестнадцати лет. Однако получить статус ИП можно будет все равно не ранее четырнадцатилетнего возраста.

Объявление в полном объеме дееспособным/эмансипация

Если гражданин достиг шестнадцатилетнего возраста и исполняет трудовые обязанности по трудовому договору, то его могут признать в полном объеме дееспособным.

Получение разрешения на получение статуса ИП

Получить данное согласие можно от законных представителей гражданина (родители/усыновители).

Однако получить такое разрешение возможно только при достижении четырнадцатилетнего возраста.

Вопрос: лицо, не достигшее восемнадцатилетнего возраста, подает в налоговый орган документы о получении статуса ИП. Какие документы ему нужно представить налоговому инспектору во избежание получения отказа в совершении регистрационных действий?

Ответ: такому гражданину в обязательном порядке нужно сдать определенные документы.

Если лицо не достигло восемнадцатилетнего возраста, то он представляет:

  • согласие законных представителей на осуществление предпринимательской деятельности, оно в обязательном порядке должно быть заверено в нотариальном порядке.
  • копия документа о вступлении в законный брак;
  • копия разрешения органов государственной власти (как правило, органы опеки), копия судебного акта о признании лица в полном объеме дееспособным.

С такими требованиями можно ознакомиться в соответствующем законе о госрегистрации юрлиц.

Специалисты рекомендуют

При намерении будущего бизнесмена применять упрощенную систему налогообложения, ему будет лучше вместе с документами на регистрации своего нового статуса сдать еще и уведомление о выборе данной системы налогообложения.

Если такие действия не совершать, то у предпримателя будет еще один месяц с момента регистрации ИП в едином государственном реестре. Такое требование закреплено в Налоговом кодексе РФ.

Инструкция по регистрации ИП в электронном виде в налоговой инспекции

Для формирования заявления на государственную регистрацию физического лица в качестве индивидуального предпринимателя необходимо скачать и установить программу подготовки документов для государственной регистрации с официального сайта налоговой службы. По ссылке https://www.nalog.ru/rn77/program/5961277/ выбираем установочный файл, скачиваем, совершаем стандартную установку: В результате успешной установки на рабочем столе появится ярлык программы. Запускаем двойным кликом: В открывшемся окне нажимаем кнопку «Новый документ». После нажатия появляется перечень доступных форм. Выбираем заявление по форме Р21001 и нажимам кнопку «Выбрать»: После окончания загрузки открывается форма регистрации ИП. Приступаем к заполнению. Проверьте сформировался ли индекс после введения адреса. Если индекс автоматически не сформировался, его необходимо ввести вручную. После заполнения всех необходимых полей первого листа заявления, переходим к заполнению дополнительных листов А и Б. Программа не позволит перейти на дополнительные листы, если на основном содержатся ошибки. Поля, содержащие ошибки, будут подсвечены красным цветом. Лист А предполагает заполнение данных по основному и дополнительному коду ОКВЭД. Для появления полей заполнения следует нажать кнопку «Добавить лист» в правом верхнем углу формы. Появятся поля для ввода. Обязательным является только основной ОКВЭД (должно быть указано не менее 4х символов). Дополнительные ОКВЭД заполняются при необходимости начиная с первой ячейки последовательно с лева на право до заполнения первой строки (если требуется), далее переходим во вторую строку (если требуется). Не по столбцам (!) Если ОКВЭД введен не верно, он также будет подсвечен красным: Справочные материалы по выбору кодов ОКВЭД можно посмотреть здесь и здесь. На листе Б указываем способ получения документов после успешно пройденной процедуры регистрации, контактные данные заявителя. После заполнения всех полей, сохраняем заявление в формате многостраничного TIF. Для этого необходимо нажать на кнопку  «Печать». Выбираем параметр сохранения «Многостраничный TIF».

пошаговая инструкция, что нужно, сколько стоит — Жиза

Подготовьтесь к подаче документов

Сделайте копию или сканы паспорта

Для регистрации ИП нужен паспорт РФ или национальный паспорт вашей страны, если вы иностранец.

Если подаете документы лично, сделайте копии двух страниц — с фотографией и с пропиской. Их вы сдадите в налоговую. Оригинал тоже возьмите с собой — сотрудник налоговой заверит по нему копии и вернет его вам. Если подаете заявление через интернет, отсканируйте все страницы.

Выберите ОКВЭДы

ОКВЭД — общероссийский классификатор видов экономической деятельности. Он нужен, чтобы государство видело, чем вы занимаетесь. Каждый код обозначает определенный вид деятельности. Например, 70.10.2 — управление холдинг-компаниями, 74.30 — письменный и устный перевод, а 15.11.1 — выделка и крашение меха. Если вы открыли интернет-магазин без ОКВЭДа 52.61.2, вам сделают предупреждение или оштрафуют на 5000 ₽.

Выбрать ОКВЭДы лучше заранее: они пригодятся, когда будете заполнять заявление Р21001. Вы можете выбрать сколько угодно кодов, но всегда один будет основным, а остальные — дополнительными. Все коды есть в классификаторе.

Дополнительных кодов лучше набрать побольше. Чтобы добавить новый код после регистрации, придется заново подать заявление в налоговую и ждать пять дней. Если впишете дополнительные коды заранее, не упустите интересный заказ из-за того, что у вас нет нужного кода.

Я редактор, код основной деятельности 90. 03 — деятельность в области художественного творчества. К нему я подобрал 13 дополнительных кодов в сфере дизайна, перевода и маркетинга

Выберите систему налогообложения

Статья «Как выбрать систему налогообложения для ИП»

У ИП есть несколько систем налогообложения. Самые распространенные — ОСНО и УСН.

ОСНО — общая система налогообложения. По ней ИП обязан платить НДС — 18%, НДФЛ — 13%, и налог на имущество — до 2,2%.

УСН — упрощенная система налогообложения. По ней предприниматель платит только один налог: 6% от доходов или от 5 до 15% от разницы между доходами и расходами.

Если при регистрации вы не указали другую систему налогообложения, то налоговая поставит вас на ОСНО. Ее можно поменять в течение 30 дней с даты регистрации. Отчитываться по ОСНО за этот период не нужно: налоги будут начисляться по УСН, как будто вы работали по ней с самого начала.

Проконсультируйтесь с бухгалтером и определитесь с системой налогообложения до регистрации ИП. Если для вас выгоднее упрощенка, то лучше подать заявление о переходе сразу.

Как заполнить заявление о переходе на упрощенку
  1. Скачайте форму 26.2-1 в формате PDF и заполните по образцу.
  2. В полях ИНН и КПП поставьте прочерки (дефисы).
  3. Узнайте код вашей налоговой на сайте — он состоит из четырех цифр.
  4. В поле «Признак налогоплательщика» поставьте цифру «1».
  5. Укажите фамилию, имя и отчество. Во все пустые клетки поставьте прочерки (дефисы).
  6. Напротив пункта «переходит на упрощенную систему налогообложения» поставьте цифру «2». В следующей строке во всех полях поставьте прочерки, так как вы переходите на УСН с даты постановки на учет.
  7. Напротив пункта «в качестве налогообложения выбраны» поставьте цифру: «1» — доходы, «2» — «доходы минус расходы».
  8. Укажите год подачи заявления.
  9. Поставьте цифру «1» если подаете заявление сами, и цифру «2», если через представителя.
  10. Снова укажите фамилию, имя, отчество. В пустые клетки поставьте прочерки.
  11. Укажите номер телефона и дату подачи заявления. Подпись не ставьте, лучше сделать это в налоговой перед подачей.
  12. Поля в правом нижнем углу оставьте пустыми.

Если вы переходите на упрощенку после того, как зарегистрировали ИП, некоторые моменты в заполнении будут отличаться. Внимательно прочитайте сноски внизу формы. Подробные правила оформления читайте в статье Regberry или посмотрите видео.

Оплатите госпошлину

Для регистрации ИП необходимо заплатить пошлину 800 ₽. Это можно сделать в любом банке или на сайте налоговой.

В банке потребуются реквизиты местной налоговой. Найти их можно на сайте ИФНС с помощью специальной формы. Для этого кликните на верхнее поле «Адрес».

В появившемся окне укажите адрес прописки. После заполнения нажмите «ОК».

Сервис определит номер отделения налоговой, к которому вы относитесь. Нажмите «Далее».

Появится список реквизитов вашей налоговой — вам нужны только реквизиты для регистрации ИП. Перепишите их и возьмите с собой в банк. Оплатите пошлину и сохраните квитанцию: ее вы сдадите в налоговую.

Если оплачиваете пошлину через интернет, платите на сайте налоговой:

  1. Заполните форму и обязательно укажите ИНН — без него не получится оплатить онлайн.
  2. В качестве способа оплаты выберите «Безналичный расчет». Откроется окно с банками и денежными сервисами.
  3. Выберите оплату через «Госуслуги».
  4. После оплаты на почту вам придет электронная квитанция с печатью. Распечатайте ее и сохраните.
Я оплатил госпошлину на сайте налоговой и распечатал дома на принтере. Идти в Сбербанк не обязательно

Выберите банк, в котором откроете расчетный счет

По закону ИП может работать без расчетного счета, но по факту без него не обойтись. Расчетный счет нужен для безналичных операций более 100 000 ₽, подключения онлайн-кассы, создания интернет-магазина.

Есть несколько банков, у которых основное направление — работа с предпринимателями: Альфа-Банк, Модульбанк, Тинькофф и Точка. Чтобы выбрать банк, сравните тарифы по основным параметрам.

  • Стоимость обслуживания счета в месяц. Обычно для новых ИП у банков есть специальные предложения и отдельные тарифы. Например, Тинькофф дает молодым ИП полгода бесплатного обслуживания, а Точка — три месяца. За это время вы можете оценить работу банка, понять, насколько вам подходят условия тарифа.
  • Количество или сумма снятий в месяц. Изучите свои привычки и поймите, как вы чаще рассчитываетесь: наличными или картой. Обычно на эконом-тарифах банки предлагают до 5 снятий в месяц бесплатно — этого вполне достаточно для начинающего предпринимателя.
  • Количество переводов другим ИП и юрлицам. Обычно за денежный перевод клиенту того же банка комиссии нет. Но если вы планируете оплачивать услуги предпринимателей, которые обслуживаются в других банках, изучите условия комиссии за переводы.
  • Процент за поступление средств. Некоторые банки берут комиссию не за вывод средств, а за поступления. В таком случае, оцените, сколько примерно денег будет поступать на ваш счет и какой процент придется отдать банку.
  • Комиссия за эквайринг. Если планируете принимать платежи по картам, ознакомьтесь с комиссией за эквайринг. Для розничной торговли нужен торговый эквайринг: в этом случае выгоднее выбрать пакет обслуживания с фиксированным платежом. Для интернет-магазинов подходят тарифы с комиссией за каждую операцию. Размер комиссии зависит от вида и источника операции.
  • Комиссия за валютные операции. Если работаете с зарубежными компаниями и получаете переводы из-за границы, изучите условия валютных переводов.
  • Документы в электронном виде. Это для тех, кто регистрировал ИП удаленно. Не все банки принимают документы в электронном виде. Например, Тинькофф и Точка принимают, а остальные — не факт. Уточните, в каком виде банк принимает документы для открытия расчетного счета.

Статья «Окупится ли эквайринг в вашем бизнесе»

Так как я почти никогда не перевожу деньги другим физлицам и предпочитаю расплачиваться картой, для меня было важно, чтобы поступления на счет были без комиссии. Эквайринг, валютные операции меня не волновали, а пяти бесплатных снятий при обороте в 100 000 ₽ в месяц вполне достаточно.

Если живете в городе прописки — подайте документы лично

Самый быстрый способ открыть ИП — подать документы в налоговую лично. Для этого вы должны заполнить форму Р21001 и записаться в налоговую. Можно подать заявление и по интернету, но тогда вы потратите дополнительные 1000 ₽ на электронную подпись. Распечатать заявление и отнести его в налоговую — дешевле и быстрее.

Заполните заявление Р21001

Заполнить заявление о регистрации ИП можно на «Госуслугах» или самостоятельно на компьютере. Можно заполнить форму и от руки, но лучше этого не делать. Заявление будет читать компьютер, и если он не поймет хотя бы одну букву — придется подавать всё заново.

Чтобы заполнить заявление через «Госуслуги»:

Если у вас плохой интернет, скачайте заявление в PDF или в XLS на компьютер и заполните по образцу.

Лист № 1

Укажите фамилию, имя, отчество и место рождения так же, как в паспорте. Если в паспорте стоит буква «ё», пишите «ё» в заявлении, если слово «город» написано целиком, пишите его в форме целиком, не сокращайте. Все точки и запятые ставьте в отдельные клетки, а между словами оставляйте одну пустую клетку.

Лист № 2

Укажите текущий адрес регистрации. Четыре цифры серии паспорта разделите пробелами по две. Номер паспорта также отделите пустой клеткой.

Лист № 3

Укажите выбранные ОКВЭДы. Пишите номер каждого ОКВЭДа с первой клетки.

Лист № 4

Укажите почту и контактный номер телефона.

Запишитесь в налоговую

Записаться на личную подачу документов можно на «Госуслугах» или на сайте налоговой.

Для личной подачи документов снова зайдите на страницу услуги «Регистрация физического лица в качестве индивидуального предпринимателя» и выберите «Личное посещение налогового органа». Нажмите «Записаться на прием».

Выберите свой регион и отделение налоговой, к которой привязан ваш адрес прописки. Это то же самое отделение, куда вы оплатили госпошлину.

Чтобы записаться на сайте налоговой, перейдите в раздел «Онлайн-запись на прием в инспекцию» и заполните форму.

В обоих случаях на почту вам придет подтверждение — распечатайте его и возьмите с собой. В подтверждении будет указана дата, время и адрес отделения.

В назначенный день приходите в налоговую. Возьмите с собой заполненное заявление Р21001, копии паспорта, квитанцию об оплате госпошлины. Если собираетесь переходить на упрощенку, возьмите заполненное заявление о переходе. Приходите заранее. Если опоздаете хотя бы на 10 минут, запись сгорит. Придется или занимать живую очередь, или записываться снова.

Получите выписку из ЕГРИП

Приняв документы, специалист налоговой назначит день, когда вы получите выписку из ЕГРИП — единого государственного реестра индивидуальных предпринимателей. Это лист формата А4, где перечислена вся информация о вашем ИП: фамилия, имя, отчество, основной государственный регистрационный номер (ОГРНИП), дата регистрации, адрес прописки, отделение налоговой для отчетности, виды деятельности.

До 1 января 2017 года еще выдавали свидетельство о постановке на налоговый учет. Вместо него вам дадут уведомление о постановке на учет в налоговом органе.

Так выглядит выписка из ЕГРИПУведомление о постановке на учет физического лица в налоговом органе — основной документ ИП. Он подтверждает, что вы легализовали свой бизнес

Если прописаны в другом городе — подайте документы удаленно

Мой друг Кирилл живет в Тюмени, а прописан в Ханты-Мансийске. Пять лет назад он потратил бы пять дней, чтобы приехать в Ханты-Мансийск и зарегистрироваться там. Сегодня открыть ИП можно удаленно. Это займет пять-шесть дней, но избавит от поездок, походов в налоговую, сэкономит деньги и нервы.

Сделайте электронную подпись

Статья «Какую электронную подпись выбрать для бизнеса»

Электронную подпись для физических лиц можно заказать в СКБ Контур за 1000 ₽ на 1 год. Она пригодится не только для подачи документов, но и для подписания счетов, договоров и актов.

Чтобы получить электронную подпись, нужно отправить заявку. Вам пришлют бланк заявления. Заполните его, подпишите и отсканируйте. Вышлите сканы заявления, паспорта, СНИЛС и ИНН в ответном письме. После этого придите в ближайший пункт подтверждения электронных подписей. Список пунктов есть на сайте СКБ Контур. Через 2-3 дня получите электронную подпись. Уточните пин-код своей подписи, он понадобится для отправки документов в налоговую.

Заказать электронную подпись вы также можете в одном из авторизованных центров, которые указаны на специальном сайте Госуслуг. Уточните, что вам нужна именно усиленная квалифицированная электронная подпись — УКЭП.

Заполните анкету на «Госуслугах»

Если у вас еще нет аккаунта на «Госуслугах», зарегистрируйтесь, заполните профиль и повысьте учетную запись до статуса «Подтвержденная».

Перейдите в раздел «Государственная регистрация физического лица в качестве индивидуального предпринимателя». Выберите опцию «Зарегистрироваться онлайн» и заполните анкету.

Сервис сам cформирует заявление Р21001 и проверит данные.

Прикрепите к анкете сканы паспорта. Если собираетесь работать по УСН, прикрепите еще и заполненное заявление о переходе на упрощенку.

Вставьте в ноутбук флешку с электронной подписью и нажмите кнопку «Подписать документы». После этого оплатите госпошлину тут же на сайте «Госуслуг» и отправьте документы в налоговую.

Получите электронные версии документов

В течение нескольких часов вам на почту придет подтверждение о том, что налоговая получила ваши документы. А через три рабочих дня на почту и в личный кабинет «Госуслуг» придет архив с документами о регистрации ИП. В архиве вы найдете уведомление о постановке на учет в налоговой и выписку из ЕГРИПа, подписанные цифровой подписью.

Вывод

Зарегистрировать ИП можно двумя способами: лично и удаленно.

Если живете в городе прописки, подайте документы в налоговую лично.

  1. Документы можно подготовить за два-три часа.
  2. Придется потратить 800 ₽ на госпошлину и 20 ₽ на ксерокопию паспорта.
  3. Запишитесь в налоговую на удобное время. Можно даже в субботу. Придите вовремя и сдайте документы — это займет 10–15 минут.
  4. Заберите документы о регистрации из налоговой через 3 дня. Дату и время сообщают в день подачи.
  5. Откройте расчетный счет и начните работать.

Если прописаны в другом городе, удобнее и выгоднее подать документы онлайн.

  1. Вам не придется отпрашиваться с работы и тратить деньги на поезд или самолет.
  2. Потратите 560 ₽ на госпошлину и 1000 ₽ на электронную подпись.
  3. Отсканируйте все документы, переведите в формат .tiff и соедините в многостраничный документ.
  4. Сформируйте архив с документами, подпишите его электронной подписью и отправьте в налоговую.
  5. Подождите 3 дня и получите на электронную почту документы о регистрации ИП.
  6. Откройте расчетный счет и начните работать.

Регистрация ИП через МФЦ — пошаговая инструкция, как открыть ИП в МФЦ, сроки и документы

Оформить индивидуальное предпринимательство можно через многофункциональный центр. Обратиться может сам гражданин, который будет вести бизнес, или его законный представитель.

Расскажем подробнее, что необходимо для открытия ИП в МФЦ, а также определим, каковы преимущества и недостатки данного способа регистрации.

Содержание статьи:

  1. Плюсы и минусы открытия ИП через МФЦ
  2. Список документов для регистрации ИП в МФЦ
  3. Оплата госпошлины и сроки ожидания
  4. Как открыть ИП через МФЦ – пошаговая инструкция
  5. Как зарегистрировать ИП через МФЦ в Санкт-Петербурге?
  6. Чем ещё могут быть полезны МФЦ после регистрации ИП?

Плюсы и минусы открытия ИП через МФЦ

Россияне должны понимать, что многофункциональный центр был создан для того, чтобы «разгрузить» частично государственные органы. Если раньше для регистрации ИП и оформления документов нужно было обращаться напрямую в налоговую службу, теперь же можно подать документацию в МФЦ. Его представители сами отправят бумаги и выдадут их на руки заявителю.

Любой способ оформления имеет преимущества и недостатки.

Перечислим, какие плюсы от того, что открыть индивидуальное предпринимательство можно через многофункциональный центр:

  1. Вы сэкономите время. Вам не придется стоять часами в очередях.
  2. Вы сможете проконсультироваться со специалистом.
  3. Центр работает в оперативном режиме. Срок рассмотрения вашего обращения займет всего лишь 1-3 дня.
  4. Пройдете легкий процесс регистрации. Понадобится только паспорт.

У данного способа есть и минусы:

  1. Хоть и говорят, что модно выбрать МФЦ, на самом деле это не так. Обычно принимают по месту регистрации.
  2. Не всегда можно записаться по интернету на прием. В центр следует приходить лично, брать талон или отсиживать очередь.
  3. Можно встретить специалиста низкой профессиональной квалификацией. Такое встречается редко, но бывает.

Если вы еще сомневаетесь, нужно ли вам открывать ИП, рекомендуем почитать нашу статью: что выгоднее и лучше – ООО или ИП? Там вы найдете таблицу с важными особенностями каждой системы.

Список документов для регистрации ИП в МФЦ

Для регистрации предпринимательства подготовьте такие основные документы:

  1. Бланк-заявление по форме р21001. Его можно написать самому. Как? Читайте тут.
  2. Копия паспорта.
  3. Копия ИНН.
  4. Оригинальную квитанцию, подтверждающую оплату пошлины.

Могут потребовать дополнительные бумаги. Например:

  1. Копию загранпаспорта или другого международного документа, подтверждающего личность. Это в случае, если в МФЦ обращается иностранец.
  2. Копию бумаги, подтверждающей право проживания в России.
  3. Документ из УФМС, где будет прописан российский адрес, где проживает иностранец.
  4. Согласие родителей на оформление документов по предпринимательству, если заявителю меньше 21 года.
  5. Доверенность, если обращается не будущий предприниматель, а его представитель. Документ обязательно должен быть заверен у нотариуса.
  6. Согласие от опекунов или попечителей, если заявителю нет 21 года и у него нет родителей.

Юристы рекомендуют подавать в МФЦ копии документов. Если потребуются оригиналы, специалист вам об этом сообщит.

Оплата госпошлины за открытие ИП через МФЦ и сроки ожидания регистрации

Государственный сбор за то, что вам откроют и оформят предпринимательство, равен 800 рублям.

Дополнительных средств специалисты центров не должны начислять, это противозаконно.

Например, за то, что они составят документы, впишут туда все ваши данные и т.п.

Заметьте, что инвалиды, имеющие 3 группу, освобождаются от оплаты госпошлины за открытие ИП. Кроме того, у них есть другие льготы

После подачи документов вы должны будете оплатить пошлину либо через банк, либо через онлайн сервис. Специалист должен вам сообщить реквизиты для оплаты. Квитанцию следует сохранить и предоставить в центр.

Срок ожидания готовых документов по ИП составляет 3-5 дней. Учитываются только рабочие дни.

Как открыть ИП через МФЦ – пошаговая инструкция

Чтобы оформить предпринимательство через многофункциональный центр, следуйте инструкции:

Шаг 1. Соберите документационный пакет. Учтите все моменты, когда могут понадобиться дополнительные бумаги.

Шаг 2. Зарегистрируйтесь на сайте налоговой службы и оформите там анкету-заявление. Блан могут выдать в МФЦ, но можно его заполнить заранее.

Шаг 3. Посетите МФЦ. Предоставьте все документы и узнайте, по каким реквизитам оплачивать госпошлину.

Шаг 4. Оплатите госсбор. Сделайте копию квитанции, оставьте ее себе. Оригинал отнесите в центр.

Шаг 5. Получите готовые документы – свидетельство о регистрации ИП.

Когда забирать свидетельство, вам сообщит консультант центра.

Читайте другую нашу статью о том, как определиться с видом деятельности ИП, что делать после регистрации и какие интернет-сервисы могут помочь в дальнейшей работе бизнесмена.

Как зарегистрировать ИП через МФЦ в Санкт-Петербурге?

Для того чтобы оформить документы на предпринимателя в Санкт-Петербурге, вы должны узнать адрес МФЦ, в который вам нужно подать документы. Вот несколько способов:

1. По карте

Как правило, обращаться следует по месту жительства.

Найти адрес центра можно по карте. Она расположена на официальном сайте госуслуг Санкт-Петербурга: https://gu.spb.ru/

СОВЕТ: Вы можете ввести в поисковую строку названием вашего района, чтобы быстрее найти адрес центра.

Кроме того, на карте можно посмотреть загруженность в каждом МФЦ. Это очень удобно.

2. Через поисковые системы

Вбейте в поиск название вашего районного МФЦ, должен высветиться адрес и контактные телефоны.

Далее вам следует:

  1. Подготовить документы. Их мы указали выше.
  2. Отнести их в центр лично, либо пусть это за вас сделает законный представитель.
  3. Оплатить госпошлину. Отнести квитанцию в центр.
  4. Прийти за свидетельством.

Специалист центра должен будет назначить вам день, когда нужно будет забрать готовое свидетельство о регистрации.

Чем ещё могут быть полезны МФЦ предпринимателю после регистрации ИП?

Бизнесмен может обращаться в многофункциональный центр для следующих целей:

  1. Изменения кода деятельности. Специалист должен будет предоставить форму Р24001 и помочь предпринимателю ее заполнить.
  2. Открытия компании.
  3. Внесения новой информации в Устав.
  4. Новых сведений ЕГРЮЛ по формам Р13001 и Р14001.
  5. Открытия расчетного счета.
  6. Создания печати.
  7. Проведения отчетности.
  8. Закрытия ИП.

Об услугах, которые могут предоставить предпринимателю, следует узнавать лично в МФЦ.

Некоторые услуги платные.

Принцип проведения процедур такой же — как, например, при регистрации предпринимательства. Гражданин должен будет подать заявление, составленное по определенной форме, и предоставить личные документы.

Читайте также обо всех изменениях в работе ИП в 2018 году

Остались вопросы? Просто позвоните нам:

Санкт-Петербург


8 (812) 627-14-02;
Москва
8 (499) 350-44-31

Зарегистрировать ИП или ООО и открыть счет бесплатно онлайн. Пошаговая инструкция.

1. Начните вводить ваш адрес в строку как обычно. Если вашего адреса нет в списке, нажмите на пункт «Укажите адрес вручную» в самом низу списка:

2. После клика откроется окно с подробным вводом адреса, в который автоматически подтянутся уже введенные данные:

3. Если вашего варианта в предложенном списке нет, то у вас есть возможность нажать на стрелочку и выбрать из выпадающего списка пункт «Ввести вручную»:

4. А затем в поле «Значение» введите наименование объекта, а в поле «Номер значения» — его номер. Пример как ввести адрес: Московская обл, Раменский р-н, г Раменское, ул Красноармейская, участок 5:

5. Вручную можно ввести значения также и в полях «Корпус» и «Квартира. После ввода всех необходимых данных нажмите на кнопку «Да, адрес верный» и введенный вами адрес сохранится в системе:

6. Выбранный адрес будет указан на желтом поле, как указано на примере.

7. Если вы допустили ошибку, нажмите кнопку «Редактировать» и исправьте ее.

Список сокращений, которые мы рекомендуем использовать для поля квартира:

  • блок-секц — блок-секция
  • ком/пом — комната/помещение
  • ком/офис — комната/офис
  • пом/ком — помещение/комната
  • пом/ком/оф — помещение/комната/офис
  • пом/офис — помещение/офис
  • цок. пом. — цокольное помещение
  • эт/ком — этаж/комната
  • эт/пом — этаж/помещение
  • эт/пом/ком — этаж/помещение/комната
  • э/пом/к/оф — этаж/помещение/комната/офис

Примеры ввода других адресов:

Респ Дагестан, Докузпаринский р-н, с Авадан

Рязанская обл, Рязанский р-н, д Агарково

Респ Татарстан, г Казань, ул Вишневского, Дом 8

г Москва, Измайловское шоссе, д 71 к В стр 7, помещение 25

Обращаем ваше внимание, что наши рекомендации основаны на опыте проведенных регистраций, но решение о регистрации бизнеса принимается конкретным регистрирующим органом территориальной ИФНС. Если у вас возникают сомнения по заполнению того или иного поля — проконсультируйтесь, пожалуйста, в вашей ИФНС.

Если вам необходимо приложить дополнительные документы, например договор аренды, то это можно сделать, загрузив их в поле «Дополнительные документы», которое находится около поля «Гарантийное письмо». Загружать дополнительные документы необязательно.

В сервисе РБиДОС для регистрации ООО формируется следующий пакет документов:

  • Заявление о государственной регистрации юридического лица при создании по форме № Р11001;
  • Уведомление о переходе на упрощенную систему налогообложения (форма 26.2-1), при соответствующем выборе;
  • Сопроводительное письмо на выдачу оригиналов по ООО;
  • Сканированные копии паспорта и СНИЛС;
  • Решение №1;
  • Устав;

Скачать заявление: шаблон, заполненный образец.

Скачать уведомление: шаблон, заполненный образец.

Скачать сопроводительное письмо по ООО: шаблон, заполненный образец.

Скачать решение №1: шаблон, заполненный образец.

Скачать устав: шаблон, заполненный образец.

Как подать самооценку NIST SP 800-171 в SPRS

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Это попытка помочь обычным подрядчикам Министерства обороны США описать очень простые способы выполнения процесса. Если у вас есть вопросы, обратитесь за помощью к своему сотруднику по контрактам или в службу поддержки SPRS / PIEE!

Официальные инструкции см. В следующих источниках:

Дополнение к Правилам федеральных закупок в сфере обороны: Оценка выполнения подрядчиком требований кибербезопасности (дело DFARS 2019-D041)

Методология оценки NIST SP 800-171, версия 1.2.1 (см. Приложение B)

SPRS 800-171 Краткое руководство по вводу

SPRS 800-171 Часто задаваемые вопросы

DoD Acquisition Cyber ​​FAQs

Веб-сайт DoD Acquisition & Sustainment с дополнительными инструкциями для сотрудников по контракту

Поставщик PIEE Шаг «Начало работы» пошаговая регистрация

Служба поддержки PIEE: +1 866-618-5988. Для нас сработали следующие пункты меню: 2 — Пользователь продавца, 1 — Активация учетной записи, 3 — Техническая поддержка активации учетной записи.

В. Если в моей организации нет CUI в наших системах, следует ли что-то отправлять?

Что такое CUI? Это категория очень конфиденциальной, но несекретной информации, которая называется «Контролируемая несекретная информация».

Если вы не знаете, что такое CUI, обратитесь к этой статье: Глоссарий, термины и определения CMMC. Кто есть кто в CMMC

У меня было несколько подрядчиков, которые спрашивали меня, что делать, если у них нет контролируемой несекретной информации (CUI).

Если для заключения контракта требуется самооценка, и у вас нет самооценки в системе, потому что у вас нет CUI, означает ли это, что вы потеряете контракт? Высокий риск!

Аргументы против проведения самооценки, если вы не обрабатываете CUI

Роберт Метцгер (адвокат | Соавтор MITER «Доставить бескомпромиссно») дает следующий совет:

252.204-7019 (b): «Для рассмотрения вопроса о присуждении контракта, ЕСЛИ Претендент должен внедрить NIST SP 800-171, Претендент должен иметь текущую оценку…». Я выделил слово «если». Компании, которые не имеют дело с CUI, не подпадают под действие -171, и, следовательно, условие не выполняется, и нет требования иметь «текущую оценку».

Другой аргумент заключается в том, что в соответствии с методологией самооценки NIST SP 800-171 DoD вы не можете выполнить самооценку, не имея плана безопасности системы, который описывает вашу систему.Исходя из этого, подрядчики, у которых нет SSP, не должны даже выставлять неудовлетворительную оценку.

Отсутствие плана обеспечения безопасности системы приведет к выводу, что «оценка не может быть завершена из-за неполной информации и несоответствия пункту 252.204-7012 DFARS».

Методология самооценки NIST SP 800-171 DoD

Дополнительную информацию о планах безопасности системы можно найти здесь.

Аргументы в пользу предоставления самооценки, если вы не обрабатываете CUI

Кэти Аррингтон (директор по информационной безопасности помощника министра обороны по вопросам приобретения: ion), похоже, утверждает, что все подрядчиков с DFARS 252.204-7012 необходимо записать самооценку в SPRS для рассмотрения для заключения контракта.

Она приводит пример двух небольших компаний, участвующих в торгах по контракту. Оба представили свои самооценки, но у одного из них 80 баллов, а у другого — высший балл. Само по себе самооценка делает вас «технически приемлемым». Компания с более низкой оценкой будет иметь более низкую ставку [накладные расходы], потому что их безопасность стоит меньше. По контракту с наименьшей технически приемлемой ценой (LPTA) обе компании являются технически приемлемыми, а компания, получившая 80 баллов, выигрывает благодаря LPTA.

Пожалуйста, укажите этот кофе и разговор с Кэти Аррингтон от 17 ноября 2020 года. Метки времени 3:30, 13:00 и 23:19.

Обновление за февраль 2021 г. — без различия на основе CUI

За последние четыре месяца мы наблюдали за фактическим развертыванием и интерпретацией новых правил DFARS. Офицеры по закупкам и контрактам Министерства обороны применяют эти положения ко всем закупкам, не связанным с COTS, и ко всем немикропокупкам.

Требование для самооценки NIST SP 800-171 DoD соблюдается независимо от того, есть у вас CUI или нет.

В этом меморандуме, выпущенном ВМФ, описывается, как требование будет добавлено ко всем контрактам, за исключением COTS и микропокупок.

Даже если у вас нет CUI, вам, вероятно, следует подать самооценку.

Меня беспокоит, что сотрудник по контракту может случайно дисквалифицировать компанию из-за отсутствия оценки, не осознавая, что недостающая оценка связана с тем, что компания не планирует обрабатывать CUI. Также существует вероятность того, что сотрудник по контракту может посчитать, что компании действительно требуется для обработки CUI для выполнения контракта.Общение — это ключ!

Похоже, самооценка — это вариант с наименьшим риском, даже если NIST SP 800-171 к вам не относится.

[email protected] нет указаний

Один из моих клиентов попытался связаться с [email protected] и получил ответ, что «мы не можем отвечать на вопросы политики из этого офиса…. предложение отправить электронное письмо вашему представителю DCMA или их общий почтовый ящик. В этом случае вы также можете проконсультироваться с генеральным подрядчиком, чтобы узнать направление.”

В: Как мне провести самооценку и получить балл для отправки?

Посетите нашу страницу в DFARS 252.204-7012, где есть ссылки на ресурсы, необходимые для создания программы безопасности и проведения самооценки. Примечание. Если у вас нет в штате эксперта по кибербезопасности (или консультанта), у вас нет необходимых знаний для этого. Получить помощь.

Необязательно: пришлите мне электронное письмо, если вам нужны рекомендации по консультационным решениям.

Шаги по отправке напрямую в SPRS с использованием учетной записи на PIEE

Если вы отправите напрямую в свою учетную запись в SPRS, вы сможете избежать задержек со стороны Министерства обороны, поскольку они пытаются вручную переместить тысячи оценок в SPRS.

Перейдите в веб-браузере к Интегрированной корпоративной среде закупок (PIEE)

Если у вас уже есть учетная запись для PIEE, вы можете пропустить следующие шаги регистрации. Войдите в систему и добавьте роль пользователя SPRS Cyber ​​Vendor. ComplyUP предоставил здесь шаги для существующих учетных записей.

Если у вас еще нет учетной записи, нажмите кнопку Зарегистрироваться (вверху справа)

Принять (или не принимать) положения и положения Закона о конфиденциальности

Выбрать поставщика (другие варианты, похоже, для администраторов PIEE, таких как сотрудники по контракту)

Если у вас есть карта общего доступа или сертификат, не стесняйтесь выбирать их.Для большинства людей просто введите желаемое имя пользователя и пароль.

Введите контрольные вопросы…

Введите свое имя и контактную информацию. Это будет рассмотрено как часть вашей заявки, поэтому убедитесь, что она соответствует действительности. Я ожидаю, что это поможет, если ваша организация будет соответствовать коду CAGE, который вы введете позже.

Введите информацию о качестве в поля компании. Руководитель не требуется, хотя он может быть полезен при рассмотрении вашей заявки.

Следующий бит — сложная часть.На шаге 1 щелкните стрелку вниз и выберите SPRS — Supplier Performance Risk System

. На шаге 2 выберите SPRS Cyber ​​Vendor User

. На шаге 3 нажмите + Добавить роли . Внизу появится строка с полем кода местоположения *. Введите код CAGE для своей организации (он должен соответствовать коду CAGE, связанному с контрактом, для которого вы подаете заявку)

Обновление: Если ваш код CAGE не распознается, просмотрите шаги в этом PIEE шаг за шагом. страница инструкции.Большинству компаний необходимо выполнить Шаг 3 (и последующие шаги), если отображается сообщение «В системе нет администраторов подрядчика для кода местоположения».

Если у вас есть несколько кодов CAGE, связанных с контрактами DoD, повторите шаг 3 + Добавить роли , чтобы добавить дополнительные строки и ввести коды CAGE.

Введите обоснование для счета. Приложения будут использоваться для обоснования и / или идентификации. Не прилагайте сюда свою самооценку.

Отображается сводка регистрации.

Я выбыл на этом этапе, потому что я не производил фактическую регистрацию. Надеюсь, вы сможете пройти следующий шаг (Соглашение) самостоятельно.

Ваш администратор подрядчика должен утвердить отображение SPRS

ОБНОВЛЕНО 12 февраля 2021 г.

Следующим шагом будет ваш администратор подрядчика для кода CAGE, который должен будет утвердить вашу роль.

Если у вас крупный бизнес, вы можете найти этого человека, перейдя на страницу PIEE Find Government / Contractor Account Administrator.Вам нужно ТОЛЬКО ввести код местоположения с помощью КЛЕТКИ. Остальные фильтры оставьте пустыми.

Вы также являетесь администратором подрядчика для своего кода CAGE? На этом вы застрянете. Система не одобрит вас, и вы не сможете одобрить себя.

Вам необходимо позвонить в службу поддержки PIEE по телефону +1 866-618-5988. Для нас сработали следующие пункты меню: 2 — Пользователь продавца, 1 — Активация учетной записи, 3 — Техническая поддержка активации учетной записи.

Быстрый разговор со службой поддержки PIEE и идентификация учетной записи и кода CAGE позволили нам получить одобрение.Значок SPRS теперь будет отображаться, когда мы войдем в PIEE.

Теперь, когда у меня есть доступ к SPRS, как мне подать самооценку?

В этом NIST SP 800-171 Quick Entry Guide от SPRS есть инструкции по отправке оценки.

Я не могу создать учетную запись SPRS. Что теперь?

В некоторых случаях создать учетную запись SPRS невозможно. Кажется, это сильно зависит от кода CAGE вашей организации и от того, был ли этот код CAGE зарегистрирован для использования в контракте DoD ранее.

Если ваш код CAGE не распознается, просмотрите шаги на этой странице с пошаговыми инструкциями PIEE. Большинству компаний необходимо выполнить Шаг 3 (и последующие шаги), если отображается сообщение «В системе нет администраторов подрядчика для кода местоположения».

Альтернативный метод — отправить свою самооценку на адрес электронной почты [email protected] . Ваше сообщение должно быть отправлено по зашифрованной электронной почте. Как ты делаешь это?

Винсент Скотт из Defense CyberSecurity Group отправил следующее:

Не знаете, как отправить зашифрованное электронное письмо для проведения базовой самооценки DFAR 7019/20? Если у вас нет их сертификата, это невозможно.Я отправил им электронное письмо и запросил сертификат. Они прислали мне один. Рекомендую это как подход.

Дополнительная информация от Винсента Скотта :

Новое примечание об отправке по электронной почте базовой самооценки. Я обнаружил, что полученная мною подпись предназначена не для группового ящика, а для человека, который ответил от имени группового ящика [email protected]. Это не позволило бы мне отправить зашифрованное электронное письмо из-за несоответствия адреса подписи. Я попросил помощи у военно-морского флота, обслуживающего почтовый ящик.Она провела небольшое исследование и ответила, что НЕВОЗМОЖНО получить сертификат для группового почтового ящика. Следовательно, НЕВОЗМОЖНО отправить зашифрованное электронное письмо в групповой ящик, только физическому лицу. Теперь я рекомендую отправить электронное письмо в почтовый ящик, если вы отправляете электронное письмо, запрашиваете цифровую подпись и отвечаете зашифрованным лицом на подписи, а не на электронное письмо, указанное в правиле.

Примечание Амиры: как только вы получите электронное письмо от [email protected] с его сертификатом открытого ключа, вам может потребоваться установить корневые сертификаты DoD на свой компьютер и доверять им, чтобы отправить обратно зашифрованное письмо.На этом веб-сайте DoD есть ресурсы для корневых сертификатов.

Дополнительные советы по отправке по электронной почте

От Уэйна Болина (Raytheon Technologies): «Не пытайтесь отправить информацию через один из защищенных порталов, где получатель должен перейти на сайт https и получить сообщение. Это не будет принято «.

От Тимоти Фосетта:

«Вчера я отправил свои результаты для оценки # nist800171 согласно« Приложению B »по электронной почте (webptsmh @ navy.мил). Я получил ответ от сотрудников SPRS с просьбой изменить формат. Если вы не смогли отправить свои результаты через SPRS и отправляете их по электронной почте, просмотрите отрывок из электронного письма от SPRS: «

Здравствуйте! Результаты вашей оценки NIST имеют неправильный формат. Воспользуйтесь приведенным ниже примером для отправки.

Чтобы опубликовать результаты базовой оценки, ответьте, пожалуйста, со следующим:
1. Дата оценки
2. Оценка оценки (<или = 110)
3.Объем оценки (выберите одно: Enterprise, Enclave, Contract), определения из системы:
Contracts — Проверка SSP для конкретного контракта
Enterprise — Вся сеть компании в списке CAGE
Enclave — Автономно в Enterprise CAGE как бизнес-единица (тестовый анклав, размещенные ресурсы и т. д.)
4. Дата завершения Плана действий (конкретная календарная дата, на которую вы прогнозируете достижение 110 баллов)
5. Включенные CAGE (CAGE, о которых вы сообщаете, которые охватываются SSP)
Ваша заявка должна быть в указанном выше формате и заполните для каждой КЛЕТКИ.

Нужно ли нам отправлять план обеспечения безопасности системы или POA & M?

На данный момент, похоже, все согласны с тем, что с вашей самооценкой не нужно подавать никаких документов. DoD хочет только точную информацию, которая указана в правилах DFARS 252.204-7019 и 7020 (см. Рисунок вверху страницы).

Как обрабатываются несколько кодов CAGE или несколько контрактов?

Винс Скотт из Defense CyberSecurity Group отправил следующее:

Q: Если несколько кодов CAGE или несколько контрактов используют одну и ту же информационную систему, как мы объясним это в заявке?

На основе

«(ii) Если в электронном письме, описанном в параграфе (d) (1) (i) данного раздела, указано несколько планов безопасности системы, Претендент должен использовать следующий формат для отчета:

Поскольку это позволяет «поддерживать код клетки», я бы использовал этот формат для нескольких планов или нескольких кодов клетки с точки зрения отправки электронной почты.Я планирую ввести нашу в SPRS на этой неделе, так что я дам вам знать, как это происходит.

Обновление: я слышал из нескольких источников, что приведенная выше таблица (из Временного правила DFARS) не является приемлемым форматом для отправки вашей оценки по адресу [email protected]

Этот формат, приведенный ниже, может быть лучше. Прокомментируйте, если знаете больше.

Могут ли субподрядчики получить доступ к SPRS или только простые числа? Предполагается ли, что праймы подаются от имени субподрядчиков?

Похоже, что субподрядчики могут получить доступ к SPRS и могут представить свои собственные самооценки.

Что делать, если оценка моей организации ниже 110?

Вы в хорошей компании. Если у вас нет штатных специалистов по кибербезопасности, занимающихся соблюдением нормативных требований, ваша оценка, вероятно, будет между -1 и -100. Идите вперед и представьте истинный счет.

Затем начните исправлять свою среду, обновите план безопасности системы, выполните еще одну оценку и загрузите улучшенную оценку в SPRS. Вы можете добавлять новые самооценки с течением времени, пока не достигнете 110.

Следует ли включать в самооценку облака, используемые для хранения, обработки или передачи CUI?

Поскольку NIST SP 800-171 применяется только к внутренним сетям подрядчика, а самооценка Министерства обороны требует NIST SP 800-171, а не DFARS 252 в целом.204-7012, некоторые люди могут интерпретировать свое облако как выходящее за рамки.

Это неверно. Согласно часто задаваемым вопросам DoD Acquisition Cyber, Министерство обороны не только ожидает, что ваше облако будет авторизовано на уровне FedRAMP medium или эквивалентном, но вы по-прежнему несете ответственность за некоторые безопасные конфигурации. Примеры: управление учетными записями и ролями пользователей. Применение надежных паролей и настроек блокировки. Проверка вашего персонала проверяется. Дополнительные сведения см. В нашем блоге о поставщиках CMMC, CUI и облачных сервисов. Вам нужен FedRAMP?

Q127: Каким образом решения «Программное обеспечение как услуга» будут оцениваться по шкале NIST SP 800-171 DoD Assessment ? Например: интеграция с Office 365, который содержит умеренный сертификат FedRAMP, может создать проблему, поскольку поставщик не будет делиться конкретными деталями с клиентами.

A127: Для облачных решений (например, SaaS, Office 365), если они авторизованы в FedRAMP medium или эквивалентном, предполагается, что решения соответствуют требованиям NIST SP 800-171. Однако обычно за определенные параметры конфигурации остается ответственность подписчик / клиент, и когда они связаны с конкретными требованиями NIST SP 800-171, они подлежат оценке и выставлению баллов.

Со временем будут добавлены новые ответы. Прокомментируйте или напишите нам, если у вас есть какие-либо советы или рекомендации!

Остающиеся вопросы по отправке самооценки

  • Если нам удастся правильно отправить зашифрованное электронное письмо, сколько времени займет его размещение в SPRS?

Подпишитесь на нашу рассылку, чтобы получить полезную информацию о соответствии CMMC и DFARS и стать профессионалом в этой области.Отправьте мне ссылку на LinkedIn для обсуждения сообществом CMMC и 800-171.

В. Амира Армонд (CISSP, CISA, PMP, MBA) — архитектор компьютерных систем, консультант по кибербезопасности и владелец Kieri Solutions LLC. Kieri Solutions специализируется на подготовке CMMC и соблюдении требований DFARS 252.204-7012, а также на разработке безопасных и отказоустойчивых корпоративных систем для частного сектора и Министерства обороны. Амира — главный редактор cmmcaudit.org, общедоступного ресурса новостей и информационных статей о сертификации модели зрелости кибербезопасности.

Следующие статьи:

Шаблоны политик и инструменты для CMMC и 800-171

CMMC, CUI и Cloud Vendors — вам нужен FedRAMP?

Накопительный пакет новостей CMMC — 25 октября 2020 г.

sql server — sp_send_dbmail, выполняемый из задания, не выполняется с результатом запроса, прикрепленным в виде файла

Я нашел решение этой проблемы. Не знаю, почему это сработает, но тем не менее. 🙂 Это определенно о безопасности.

Я исследовал, что агент SQL работает от имени пользователя домена, например DOMAIN \ User .Он имеет полный набор прав администратора на сервере (роль сервера «sysadmin» и т. Д.). Сам SQL Server работает под тем же пользователем.

Шаг задания, который содержит вызов sp_send_dbmail , выполняется под тем же DOMAIN \ User .

Также я проследил, что при выполнении части запроса sp_send_dbmail он пытается выполнить exec xp_logininfo ‘DOMAIN \ User’ , чтобы проверить Active Directory, если этот пользователь в порядке. И сюрприз: что-то точно не в порядке.Эта проверка заканчивается на:

  Msg 15404, уровень 16, состояние 19, сервер SQLC002INS02 \ SQLC002INS02, строка 1
Не удалось получить информацию о группе / пользователе Windows NT "DOMAIN \ User.", Код ошибки 0x2.
  

Это с некоторой вероятностью может означать, что срок действия пароля этого пользователя истек, или пользователь заблокирован, или любые другие неприятные вещи для этого парня.

Я решил, что менять пользователя на Агента рискованно. Итак, я подошел к отправке почты от имени «sa», который имеет ту же роль сервера «sysadmin», но авторизацию SQL и пропускает этот шаг проверки AD.

Похоже, один пользователь, который притворяется админом, просит настоящего админа запустить для него опасный код 🙂

Итак, окончательный код первого и единственного шага этого задания выглядит следующим образом:

  выполнить как login = 'sa'
exec msdb.dbo.sp_send_dbmail
    @profile_name = 'имя_профиля',
    @recipients = '[email protected]',
    @body = 'тело',
    @subject = 'subj',
    - Параметры, относящиеся к прикрепленному файлу
    @attach_query_result_as_file = 1,
    @query_result_header = 0,
    @query_result_no_padding = 1,
    @query = 'выберите 1',
    @query_attachment_filename = 'test.csv '
возвращаться
  

Руководство для любителей пива по SAML

Продукция и разработка
Грег Сеадор

Что такое SAML и почему он существует?

В ИТ-организациях часто возникает пробел в знаниях, когда дело доходит до понимания того, как именно работает SAML. Многие администраторы и инженеры знакомы с традиционными сетевыми протоколами аутентификации, такими как RADIUS, LDAP и SSH, но использование SAML будет расти по мере того, как организации будут продолжать переходить к поставщикам и услугам, основанным на облачных технологиях.

Этот пост в блоге призван раскрыть тайну SAML, объяснить механизмы, лежащие в основе некоторых из наиболее распространенных вариантов использования SAML, и провести параллели с, к сожалению, вымышленным BaaS — пивом как услугой.

Проще говоря, язык разметки утверждения безопасности (более известный как его акроним, SAML) — это протокол для аутентификации в веб-приложениях. Объединение удостоверений — это обычная практика, которая сводится к хранению удостоверений пользователей в отдельных приложениях и организациях.SAML позволяет этим федеративным приложениям и организациям общаться и доверять пользователям друг друга.

SAML обеспечивает способ аутентификации пользователей в сторонних веб-приложениях (например, Gmail для бизнеса, Office 365, Salesforce, Expensify, Box, Workday и т. Д.) Путем перенаправления браузера пользователя на страницу входа в компанию, а затем после успешной аутентификации на эта страница входа в систему, перенаправляя браузер пользователя обратно в то стороннее веб-приложение, к которому ему предоставлен доступ. Ключ к SAML — это перенаправления браузера!

Чтобы объединить аналогии, если вы думаете о едином входе (SSO) как о «едином пароле для управления ими всеми», подумайте о SAML как о связующем их всех.

SAML чаще всего является основным протоколом, который делает возможной единый вход через Интернет. Компания поддерживает единую страницу входа — за ней хранилище идентификационных данных и различные правила аутентификации — и может легко настроить любое веб-приложение, поддерживающее SAML, позволяя своим пользователям входить во все веб-приложения с одного экрана входа с одним паролем. Он также имеет преимущество безопасности, так как не заставляет пользователей сохранять (и потенциально повторно использовать) пароли для каждого веб-приложения, к которому им нужен доступ, и не раскрывает пароли для этих веб-приложений.

SAML в действии

Давайте начнем с примера любителя пива Боба, который хочет купить пиво на концерте. Пиво как услуга:

  1. Боб сначала подходит к палатке с браслетами, где его удостоверение личности проверяется и выдается браслет.

    • The Wristband Tent — поставщик удостоверений личности; его цель — проверить личность Боба и убедиться, что он соответствует необходимым критериям для получения браслета.
  2. Затем Боб идет к пивной палатке.Парень из пивной палатки видит браслет Боба и протягивает ему пиво.

    • The Beer Tent — поставщик услуг; это то, к чему Боб в конечном итоге хочет получить доступ: пиво!

Теперь рассмотрим пример пользователя программного обеспечения Стю, который хочет войти в систему Salesforce. Программное обеспечение как услуга:

  1. Стью сначала переходит на панель управления, настроенную его компанией, где ему предлагается пройти аутентификацию (имя пользователя + пароль + двухфакторный), а затем он может увидеть все приложения, к которым у него есть доступ.

    • Процесс входа в систему и информационная панель являются частью провайдера идентификации; его основная цель — установить личность Стью
  2. Затем Стью щелкает значок Salesforce и входит в Salesforce.

    • Salesforce — поставщик услуг; это то, к чему Стю в конечном итоге хочет получить доступ.

Вот и SAML в действии! Стю вошел в личный кабинет своей компании и автоматически получил доступ ко всем облачным приложениям, которые использует его компания, включая Salesforce.Когда Стью щелкнул значок Salesforce, провайдер удостоверений его компании сгенерировал утверждение SAML (сообщение, подтверждающее его личность), его браузер перешел к Salesforce, и, наконец, Salesforce подтвердил это утверждение SAML и предоставил ему доступ.

За кулисами с SAML

Что произошло на жаргоне SAML? Начнем с определения терминов:

  • Поставщик идентификационной информации (IdP) — программный инструмент или услуга (часто визуализируемая на странице входа и / или информационной панели), которая выполняет аутентификацию; проверка имен пользователей и паролей, проверка статуса учетной записи, двухфакторный вызов и т. д.Это была палатка с браслетом.

  • Поставщик услуг (SP) — веб-приложение, к которому пользователь пытается получить доступ. Это была пивная палатка.

  • SAML Assertion — сообщение, подтверждающее личность пользователя и часто другие атрибуты, отправляемое через HTTP через перенаправления браузера. Это был сам браслет.

Шаг 1 Объяснение: пьющий пиво Боб идет к палатке с браслетом, а пользователь программного обеспечения Стю идет к панели управления компании

На этом этапе происходит аутентификация IdP.

Для Боба аутентификация заключалась в том, что палатка с браслетом проверяла, является ли он тем, кем он себя назвал (его лицо совпадает с изображением на его удостоверении личности), и удостоверяется, что он соответствует требованиям (он был в возрасте для питья).

Для пользователя программного обеспечения Стью аутентификация заключалась в проверке его имени пользователя и пароля, проверке активности его учетной записи и использовании двухфакторной аутентификации, чтобы убедиться, что он действительно был тем, кем себя назвал.

Это хорошее время, чтобы объяснить, что лучше всего рассматривать IdP как роль в рабочем процессе аутентификации SAML по отношению к SP.IdP — это просто орган, которому доверяет SP. Что конкретно делает IdP для проверки пользователя, SP не волнует. SP заботится только о том, одобряет ли его единственный IdP пользователя и выдает подтверждение SAML.

То, что делает палатка с браслетом для проверки личности пьющего перед выдачей браслета, не имеет значения для пивной палатки — их волнует только то, есть ли у пьющего браслет или нет. Палатка с браслетом может потребовать от каждого пьющего предъявить водительские права, паспорт, подтверждение места жительства, вывернуть свою одежду наизнанку, а затем сделать 20 отжиманий.

Для этого может даже потребоваться, чтобы они посетили другую палатку — возможно, Палатку с ожерельем — а затем вернулись в палатку с браслетами, надев ожерелье, чтобы получить браслет. The Beer Tent ни о чем из этого не подозревает, и ей все равно. Единственная забота пивной палатки — приходит ли пьющий с браслетом.

Опять же, то, что IdP делает для проверки личности пользователя, не имеет значения для SP, Salesforce. Как правило, IdP запрашивают учетные данные пользователя, но они также могут запрашивать сертификаты, вызывать двухфакторную аутентификацию, требовать, чтобы пользователь находился в определенной сети — и, как вы уже догадались, они могут даже перенаправить пользователя в другое место, чтобы пользователь пройти еще больше испытаний.Действия IdP для проверки личности пользователя настраиваются компанией пользователя и могут зависеть (или ограничиваться) возможностями самого решения IdP.

Рассмотрение IdP как роли может быть полезным для понимания того, что многие продукты, представленные сегодня на рынке, выполняют роль IdP. Duo Access Gateway, Microsoft AD FS, Okta, OneLogin, Ping, Centrify и Shibboleth — все они выполняют роль IdP, и это лишь некоторые из них.

После успешной аутентификации пользователя многие продукты IdP отображают информационную панель с плитками или значками всех SP, доступных для этого пользователя, чтобы щелкнуть по ним и войти в систему.В нашем примере Стью щелкнул значок Salesforce, который приказал его IdP сгенерировать утверждение SAML для Salesforce, которое соответствует всем требованиям Salesforce: какие атрибуты необходимо включить в это утверждение и как оно должно быть отформатировано, чтобы Стью успешно получил доступ к Salesforce.

Объяснение шага 2: Боб идет в пивную, а Стью идет в Salesforce

На этом этапе выполняется проверка утверждения SAML поставщиком услуг.

Для Боба проверка заключалась в проверке пивной палатки, чтобы убедиться, что его браслет был законным и выдан той палаткой, которой они доверяют.

Для Стю проверка заключалась в том, что Salesforce проверяла утверждение SAML, чтобы убедиться, что оно пришло от IdP, которому Salesforce доверяет. Помимо проверки подлинности и действительности утверждения SAML, Salesforce также просматривает утверждение SAML, чтобы узнать, кто такой Стю и под кем он должен войти в Salesforce.

Часто для одного IdP настроено несколько SP. Итак, хотя на этот раз Стью перешел в Salesforce, возможно, в следующий раз он перейдет в Gmail, и его корпоративная панель управления (IdP) сгенерирует другое утверждение SAML, соответствующее требованиям Gmail.Это как иметь много разных палаток — винную палатку, палатку с ликером и нашу любимую пивную палатку — всех, кто доверяет одной палатке с браслетом. Палатка с браслетом может выдавать разные браслеты для каждой палатки с вином, спиртным или пивом в зависимости от того, куда пьющий хочет пойти.

Инициировано IdP и инициировано SP

Инициировано IdP по сравнению с инициированным SP указывает на то, где начинается рабочий процесс аутентификации. Об этом часто спрашивают, потому что одни поставщики услуг поддерживают вход в систему, инициированный SP, а другие — нет.Уникальность входа в систему, инициированного SP, — это запрос SAML .

Вход в систему, инициированный IdP, начинается с того, что пользователь сначала переходит к IdP (обычно это страница входа или информационная панель), а затем переходит к SP с подтверждением SAML . Это как сначала пойти в палатку с браслетом, а затем в пивную, получив браслет. Приведенные выше примеры, когда пользователь входит в систему Salesforce и получает пиво, были инициированы IdP.

Инициированный SP вход в систему начинается с того, что пользователь сначала переходит к SP , перенаправляется к IdP с запросом SAML , а затем перенаправляется обратно к SP с подтверждением SAML .Это как сначала пойти в пивную палатку, потом вас отправят в палатку с браслетами, потому что у вас нет браслета, а затем вернуться в пивную палатку, когда у вас есть браслет.

Почему это важно и что это значит? Что такое запрос SAML? Это важно, потому что эти перенаправления (переход в палатку с браслетом, затем возвращение в палатку с пивом) требуют, чтобы SP выдавал запрос SAML. В запросе SAML говорится: «Этот пользователь пытается войти в систему, но у него еще нет подтверждения SAML. Пожалуйста, помогите им получить подтверждение SAML, а затем отправьте их сюда.”

Однако не все SP могут отправлять запросы SAML, что ограничивает вход в этот SP только по инициативе IdP. (И серьезно, SP, если это вы, то пора присоединиться к вечеринке.) Запрос SAML похож на то, как кто-то идет в пивную палатку без браслета, когда в пивной палатке пишут записку, в которой говорится: «Этот парень хочет пива. Дайте ему браслет и отправьте его обратно », прикрепив записку к рубашке и толкнув его к палатке с браслетами. Это облегчает жизнь людям, которые любят пить пиво, и именно поэтому мы его предпочитаем.

Настройка SAML

Мы рассмотрели основы того, что такое SAML, как работает вход с помощью SAML, а также несколько наиболее распространенных сценариев SAML. Теперь поговорим об особенностях конфигурации: установка палаток.

Конфигурация SAML должна выполняться в двух местах: на IdP и на SP.

IdP необходимо настроить таким образом, чтобы он знал, куда и как отправлять пользователей, когда они хотят войти в конкретный SP. Это похоже на установку палатки с браслетами и обеспечение того, чтобы ее сотрудники знали, что они проверяют удостоверения личности, чтобы людям можно было подать пиво (и что они не должны позволять несовершеннолетним носить браслет), и после того, как они выпустят браслет, чтобы указать людям на пивная палатка (а не, скажем, палатка с футболкой или вне места проведения концерта).

SP необходимо настроить так, чтобы он знал, что может доверять утверждениям SAML, подписанным IdP. Это все равно, что установить пивную палатку и убедиться, что ее работники знают, что нужно искать браслеты, соответствующие браслетам, которые выпускает их надежная палатка с браслетами (в отличие от браслета дружбы, который кто-то просто носит).

Конфигурация IdP

Спецификации для утверждения SAML — что оно должно содержать и как должно быть отформатировано — предоставляются поставщиком SP и устанавливаются в IdP.Это похоже на то, как пивная палатка диктует, что они ожидают от браслета, а палатка с браслетом осознает эти ожидания.

Следующие значения должны быть установлены в IdP для каждого SP, а их часто довольно много. Это похоже на пивную палатку, палатку для виски и винную палатку, все они доверяют одной и той же палатке с браслетами. Часто продукты IdP могут устанавливать их автоматически за кулисами, но как администратор вам нужно будет предоставить как минимум или этой информации:

EntityID — глобально уникальное имя для SP.Форматы различаются, но все чаще можно увидеть это значение в формате URL.

  • Реальный пример:
  • Пиво Пример: «Концертное пиво Грега»

Служба потребителей утверждений (ACS) — URL-адрес, по которому отправляется утверждение SAML.

  • Реальный пример: https://beertent.com/saml/consume/
  • Пиво Пример: «Подойдите к левой стороне пивной палатки.https: \ / \ / beertent \ .com \ / saml \ / consumer \ / $
  • Пиво Пример: «Убедитесь, что вы идете в эту пивную палатку, а не в другую».

Атрибуты — количество и формат атрибутов могут сильно различаться. Обычно существует по крайней мере один атрибут, nameID, который обычно представляет собой имя пользователя, пытающегося войти в систему.

  • Реальные примеры:
    Формат NameID
    Атрибут NameID

  • Примеры пива:
    «На браслете указано, что вас зовут Боб Бузер.
    «На браслете указано ваше имя и фамилия».

RelayState — Не требуется. Ссылки на SAML. Это сообщает SP, куда направить пользователя после успешного входа в систему.

  • Реальный пример: https://beertent.com/taps/lager/
  • Пиво Пример: «После того, как пивная палатка одобрит ваш браслет, попросите лагер».

Алгоритм подписи SAML — SHA-1 или SHA-256.Реже SHA-384 или SHA-512. Этот алгоритм используется вместе с сертификатом X.509, упомянутым ниже.

  • Реальный пример: SHA-256
  • Пиво Пример: «На браслете есть голограмма, поэтому вы знаете, что она настоящая».

Конфигурация SP

Этот раздел, обратный приведенному выше разделу, относится к информации, предоставленной IdP и установленной в SP. Это будет информация, которую мы предоставляем пивной палатке, чтобы дать им возможность подтвердить, что браслеты, с которыми приходят пьющие, действительно были выпущены палаткой с браслетами, которой они доверяют.

Сертификат X.509 — Сертификат, предоставляемый IdP, используемый для проверки открытого ключа, переданного IdP в метаданных утверждения SAML. Это позволяет SP проверить, что утверждение SAML — это на самом деле , исходящее от IdP, которому он доверяет. Утверждения SAML обычно подписываются, однако запросы SAML также могут быть подписаны. Обычно он загружается или копируется из IdP и настраивается путем загрузки или вставки в SP.

URL-адрес эмитента — Уникальный идентификатор IdP.Отформатирован как URL-адрес, содержащий информацию об IdP, чтобы поставщик SP мог проверить, что утверждения SAML, которые он получает, отправлены правильным IdP.

  • Реальный пример: https://access.wristbandtent.com/saml2/idp/metadata.php
  • Пиво Пример: «Принимайте только утверждения SAML, которые исходят от палатки с браслетом, соответствующей этому описанию».

SAML SSO Endpoint / Service Provider Login URL — Конечная точка IdP, которая инициирует аутентификацию при перенаправлении сюда поставщиком SP с запросом SAML.

SAML SLO (Single Log-out) Endpoint — конечная точка IdP, которая закроет сеанс IdP пользователя при перенаправлении сюда SP, обычно после того, как пользователь нажимает «Log out».

  • Реальный пример: https://access.wristbandtent.com/logout
  • Пиво Пример: «Зайдите в это место в палатке с браслетами, чтобы снять браслет».

Чем SAML отличается от Oauth и федерации веб-служб?

Мы случайно слышим об этих других альтернативах SAML, но чем они отличаются? Должны ли вы иметь мнение о том, какой из них лучше? Поймите, что SAML, OAuth и Федерация веб-сервисов (WS-Fed) различаются как технически, так и по тому, как их лучше всего использовать.

  • SAML — чаще всего используется предприятиями, чтобы предоставить своим пользователям доступ к услугам, за которые они платят. Salesforce, Gmail, Box и Expensify — все это примеры поставщиков услуг, к которым сотрудник получит доступ после входа в систему SAML. SAML сообщает поставщику услуг, кем является пользователь; это аутентификация.

  • WS-Fed — Федерация веб-служб используется для тех же целей, что и SAML, для федеративной аутентификации от поставщиков услуг к общему поставщику удостоверений.Он хорошо поддерживается некоторыми IdP, такими как Microsoft Active Directory Federation Services (AD FS), но не распространен среди поставщиков облачных услуг. WS-Fed, возможно, проще в реализации разработчикам, чем SAML, но его ограниченная поддержка среди IdP и SP делает его трудную продажу.

  • OAuth — чаще всего используется потребительскими приложениями и службами, поэтому пользователям не нужно регистрироваться для получения нового имени пользователя и пароля. «Войти через Google» и «Войти через Facebook» являются примерами OAuth в реальном мире.OAuth делегирует доступ к учетной записи Google или Facebook третьему лицу.

Обычно приложение, в которое входит пользователь, может напрямую считывать информацию из профиля пользователя или выполнять действия (например, публиковать изображения или делать обновления) от его имени; это авторизация. Это было бы похоже на поход в пивную палатку, и вместо того, чтобы из пивной палатки отправить Боба в палатку с браслетами, они просят Боба передать им свое удостоверение личности и подписать, что работники пивной палатки могут перейти к палатке с браслетами от его имени и представлять ему; он их разрешает.

Что еще более важно, так это посмотреть на распространенность каждой технологии для каждого варианта использования. SAML повсеместно используется на рабочих местах для облачных приложений, в то время как WS-Fed — нет. И наоборот, OAuth широко распространен среди потребительских приложений.

Терминология Microsoft и AD FS

Службы Microsoft Active Directory Federation Services имеют свою собственную терминологию и подход к SAML, поэтому требует краткого пояснения. Microsoft AD FS — поставщик удостоверений. Думайте об этом как о решении Microsoft для палатки с браслетом: сложно понять, если вы новичок в мире палаток с браслетом, но очень легко настраиваемый.

  • Проверяющая сторона — это термин, который Microsoft AD FS использует для обозначения поставщика услуг.

  • Правила утверждений — это еще один термин, который используется только в Microsoft AD FS. Правила утверждений — это всего лишь правила, которые вы можете применять для изменения того, как и когда вызывать аутентификацию. Например, администратор может настроить правило утверждений, которое применяется только тогда, когда пользователь заходит в AD FS, когда он пытается получить доступ к Dropbox. Кроме того, он не позволяет им использовать мобильное устройство, позволяя этому пользователю входить в систему с ноутбука или настольного устройства, но не с Android или iPhone.Некоторые IdP, отличные от AD FS, могут создавать аналогичные правила, но AD FS позволяет создавать одни из самых надежных и сложных правил.

  • ImmutableID является эквивалентом ObjectGUID в Microsoft Azure AD. Это не относится к AD FS, но о нем стоит упомянуть.

  • WS-Fed похож на SAML и подчиняется многим из тех же правил. Это протокол, специально созданный Microsoft и широко не поддерживаемый IdP, кроме AD FS.

Основы поиска и устранения неисправностей

Лучший способ устранения проблем с SAML — тот же способ, которым я рекомендую устранять большинство проблем: начните с основ.

  1. Область действия — Проблема затрагивает всех пользователей или только некоторых? Если ни один пользователь не может войти в систему, это сразу свидетельствует о прерывании обслуживания или неправильной конфигурации. Если вы настраиваете IdP и SP впервые, возможно, это неверная конфигурация.

  2. Experience — Что испытывает пользователь, что указывает на проблему? Пользователь получает сообщение об ошибке на странице входа в IdP? Или пользователь получает ошибку, сгенерированную SP после успешной аутентификации в IdP?

Поскольку SAML «реализуется» через переадресацию браузера, обычно довольно просто определить, где возникла проблема, — достаточно взглянуть на URL-адрес.Если проблема возникает при использовании URL-адреса, принадлежащего вашему IdP, возможно, это проблема IdP. То же самое и с URL-адресом целевой SP.

Ошибка на IdP

Для нескольких пользователей:

  • Есть сообщение об ошибке? Дает ли это ключ к разгадке?
  • Действительны ли имя пользователя и пароль?
  • Разблокирована ли учетная запись пользователя?
  • Успешно ли пользователь прошел двухфакторную аутентификацию или какие-либо другие шаги аутентификации?
  • Попробуйте еще раз.Очистить кэш. Попробуйте в окне инкогнито. Попробуйте на другой машине. Есть ли способ изолировать и идентифицировать проблему?
  • Что показывают журналы?

Для всех пользователей:

  • Есть сообщение об ошибке? Дает ли это ключ к разгадке?
  • Может ли пользователь разрешить URL-адрес IdP и фактически просмотреть страницу входа?
  • Может ли ваш IdP взаимодействовать с вашим хранилищем идентификационных данных (например, Active Directory)?
  • Если настраивается, сохраняйте простой процесс аутентификации и выполняйте по одному шагу за раз, т.е.е. убедитесь, что первичная аутентификация работает успешно, прежде чем переходить к устранению неполадок двухфакторной аутентификации.
Ошибка

при поступлении на SP

Для нескольких пользователей:

  • В чем ошибка? Дает ли это ключ к разгадке?
  • Есть ли у пользователя действительное имя пользователя в SP?
  • Убедитесь, что имя пользователя, хранящееся в SP, совпадает с тем, что передается в утверждении SAML. Мой любимый инструмент для этого — SAML Tracer, который позволяет легко просматривать содержимое утверждения SAML.
  • Должен ли пользователь входить в определенную группу?

Для всех пользователей:

  • В чем ошибка? Дает ли это ключ к разгадке?
  • Предоставлены ли какие-либо пользователей в рамках SP?
  • Как SP ожидает, что утверждение SAML будет выглядеть? Какие обязательные атрибуты и их форматы?
  • Должны ли все пользователи входить в определенную группу?

Теперь, когда мы поговорили о тонкостях SAML, осталось сказать только одно: Ура!

Настройте Auth0 в качестве поставщика услуг SAML

Настройте Auth0 для работы в качестве поставщика услуг (SP) в федерации SAML.Auth0 поддерживает использование Auth0 в качестве поставщика услуг только в конфигурациях SAML с SAML 1.1 или SAML 2.0.

Получите метаданные и сертификат от поставщика удостоверений

Эти инструкции являются общими. Вам нужно будет найти эту информацию у вашего конкретного поставщика удостоверений (IdP).

  • URL-адрес системы единого входа : URL-адрес IdP, на который следует отправлять запросы аутентификации SAML. Его часто называют URL-адресом системы единого входа.

  • URL-адрес выхода : URL-адрес IdP, на который следует отправлять запросы выхода SAML.Это часто называется URL-адресом выхода, глобальным URL-адресом выхода или отдельным URL-адресом выхода.

  • Сертификат подписи : Сертификат, необходимый поставщику услуг для проверки подписи утверждений аутентификации, которые были подписаны цифровой подписью IdP. Должно быть место для загрузки сертификата подписи от IdP. Если сертификат не в формате .pem или .cer , вам следует преобразовать его в один из этих форматов.

  1. Перейдите в Панель управления Auth0> Аутентификация> Предприятие и выберите SAML .

  2. Выберите Создать соединение .

  3. Введите следующую информацию и выберите Создать :

    Настройка Описание
    Имя соединения Введите имя подключения, например SAML-SP .
    Отображаемое имя Если указано значение, универсальный вход будет иметь кнопку с надписью «Продолжить с (отображаемое имя)».
    Домены IdP (Необязательно) Укажите разделенный запятыми список доменов, которые могут быть аутентифицированы в IdP. Этот шаг необходим только для потоков аутентификации по первому идентификатору. Если вы оставите это поле пустым, пользователи с любым доменом электронной почты могут использовать IdP.
    URL для входа Введите SAML SSO URL , полученный от IdP.
    URL выхода Введите URL-адрес выхода из SAML , полученный от IdP.
    Сертификат Щелкните красную кнопку «ЗАГРУЗИТЬ СЕРТИФИКАТ » и выберите файл .pem , полученный от поставщика идентификационной информации.
    Атрибут идентификатора пользователя Атрибут в токене SAML, который будет сопоставлен со свойством user_id в Auth0. Если не задан, user_id будет извлечен из следующего (в указанном порядке):
    http: //schemas.xmlsoap.org / ws / 2005/05 / identity / Claims / nameidentifier
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
    http://schemas.xmlsoap.org/ ws / 2005/05 / identity / Claims / name
    Остальные поля пока можно игнорировать.
  4. Выберите Продолжить . В открывшемся окне отображаются метаданные об этом поставщике услуг SAML. Вам нужно будет использовать информацию с этого экрана для настройки IdP.

    1. Первый маркер — это URL-адрес обратной передачи или URL-адрес службы потребителей утверждений (ACS).Это URL-адрес, на который поставщик удостоверений будет отправлять утверждения аутентификации после аутентификации пользователя. Введите это значение, если IdP запрашивает URL-адрес службы потребителей утверждений . Он может просто назвать это URL-адресом поставщика услуг .

    2. Второй маркер сообщает вам Entity ID . Он будет иметь вид urn: auth0: YOUR_TENANT: YOUR_CONNECTION_NAME . Скопируйте и сохраните все поле Entity ID от «urn» до конца имени соединения.Используйте это значение, если поставщик удостоверений запрашивает идентификатор объекта или аудиторию SAML.

    3. Третий маркер указывает привязку, которая будет использоваться для отправки запроса SAML от Auth0 поставщику удостоверений. Если поставщик удостоверений предоставляет выбор, выберите HTTP-Redirect, как показано на экране метаданных.

    4. Четвертый маркер указывает, что Auth0 ожидает, что поставщик удостоверений ответит HTTP POST, например, утверждение аутентификации от поставщика удостоверений будет отправлено с использованием привязки HTTP POST.Если поставщик удостоверений предоставляет выбор, укажите, что привязка HTTP-POST должна использоваться для утверждений проверки подлинности. Формат nameid — это формат атрибута, который будет использоваться для идентификации пользователей.

  5. В том же окне внизу найдите метаданные , скопируйте и сохраните предоставленный URL. Это будет выглядеть так: https: // YOUR_DOMAIN / samlp / metadata? Connection = YOUR_CONNECTION_NAME . Запишите этот URL-адрес метаданных, так как вы можете использовать его для настройки IdP в следующем разделе.

Добавьте информацию о поставщике услуг к провайдеру идентификации, чтобы клиент знал, как получать запросы аутентификации SAML и отвечать на них. Приведенные здесь инструкции являются общими. Вам нужно будет найти соответствующие экраны и поля в Identity Provider.

  1. Найдите экраны в Identity Provider, которые позволяют настраивать SAML. Если IdP поддерживает загрузку файла метаданных, вы можете просто предоставить URL-адрес метаданных, полученный на шаге выше.Если IdP не поддерживает загрузку файла метаданных, вы можете настроить его вручную следующим образом.

  2. IdP должен будет знать, куда отправлять утверждения SAML после аутентификации пользователя. Это URL-адрес службы потребителей утверждений в Auth0. IdP может называть этот URL-адрес службы утверждения утверждения или URL-адрес обратного вызова приложения . https: // ВАШ_ДОМЕН / login / callback? Connection = YOUR_CONNECTION_NAME

  3. Параметр URL connection необходим для потоков, инициированных поставщиком удостоверений.Обратите внимание, что если у вас настроены пользовательские домены, вы должны использовать URL-адрес на основе личного домена, а не свой домен Auth0. Итак, он должен быть в формате https: // YOUR_CUSTOM_COMAIN / login / callback? Connection = YOUR_CONNECTION_NAME .

  4. Если IdP имеет поле с именем Audience или Entity ID , введите в это поле Entity ID из Auth0: "аудитория": "urn: auth0: YOUR_TENANT: YOUR_CONNECTION_NAME" Y Вы также можете настроить соединение для ожидания пользовательского идентификатора объекта.

  5. Если IdP предоставляет выбор для привязок, следует выбрать HTTP-Redirect для запросов аутентификации.

  6. URL-адрес службы единого выхода , куда должны отправляться запросы на выход SAML и / или ответы от поставщика удостоверений, должен быть настроен следующим образом: https: // ВАШ_ДОМЕН / выход из системы

  7. Подпись запросов выхода из системы : при настройке IdP убедитесь, что запросы выхода SAML, отправленные поставщику услуг, подписаны.

Проверьте работоспособность соединения SAML:

  1. Перейдите в Панель управления> Аутентификация> Предприятие> SAML.

  2. Найдите созданное соединение SAML и выберите его значок стрелки Попробовать .

  3. Сначала вы увидите виджет блокировки входа в систему, который запускается поставщиком услуг Auth0. Введите имя пользователя. Если вы указали домен электронной почты в конфигурации подключения SAMLP, имя пользователя должно принадлежать этому домену электронной почты.

  4. После этого вы будете перенаправлены на экран входа в систему для поставщика удостоверений. Войдите в систему с учетными данными пользователя, который существует в поставщике удостоверений.

Если конфигурация настроена правильно, вы увидите Это работает! , и на странице будет отображаться содержимое подтверждения аутентификации SAML, отправленное поставщиком удостоверений поставщику услуг Auth0.

Если он настроен неправильно, еще раз проверьте свои действия. Если проблема не исчезла, обратитесь к разделу «Устранение неполадок» в конце этого документа.

  • Если ваше приложение не работает с первого раза, очищайте историю браузера и (в идеале) файлы cookie каждый раз перед тестированием. В противном случае браузер может не получить последнюю версию вашей HTML-страницы или у него могут быть устаревшие файлы cookie, которые влияют на выполнение.

  • Чтобы помочь в устранении неполадок системы единого входа, запишите HTTP-трассировку взаимодействия. Многие инструменты собирают HTTP-трафик из вашего браузера для анализа.

    • Поищите в Интернете «HTTP Trace», чтобы найти и установить инструмент.

    • Захватите последовательность входа в систему от начала до конца и проанализируйте трассировку. Отслеживайте последовательность GET, чтобы увидеть, насколько далеко вы продвинетесь в ожидаемой последовательности. Вы должны увидеть перенаправление с исходного сайта на SP, а затем в IdP, сообщение с учетными данными, если вам нужно было войти в систему, затем перенаправление обратно на URL-адрес обратного вызова или SP, а затем перенаправление на указанный URL-адрес обратного вызова в вашем приложении.

  • Убедитесь, что в вашем браузере включены файлы cookie и JavaScript.

  • Убедитесь, что URL-адрес обратного вызова, указанный в файле HTML, также указан в поле Разрешенные URL-адреса обратного вызова для вашего приложения. Для этого перейдите в Панель управления Auth0> Приложения> Приложения и выберите имя своего приложения, затем найдите Разрешенные URL-адреса обратного вызова .

  • Используйте инструмент http://samltool.io для декодирования утверждения SAML.

Когда Auth0 выступает в качестве поставщика услуг SAML, вам необходимо использовать соединение Auth0 для настройки стороны поставщика удостоверений каждой федерации SAML.См. Шаги по настройке следующих поставщиков:

В настоящее время мы поддерживаем следующие алгоритмы обработки цифровых подписей XML:

  • Канонизация

  • Подпись

  • Дайджест

SP 7.5.2 НЕ МОЖЕТ ПРИМЕНИТЬ ЦЕНУ WO КОГДА МАТУСЕТРАНС ВЫПУСКАЕТ ТИП

Статус APAR

Описание ошибки

  •  Обзор
    Когда получена прямая строка заказа на поставку с отрицательным количеством, она
    создает запись ISSUETYPE = RECEIPT в MATUSETRANS
    Таблица.Это вызывает ошибку при применении графика цен к рабочему заданию,
    поскольку он ожидает только транзакции MATUSETRANS с ISSUETYPE
    ВЫПУСКА,
    ВОЗВРАТ, СЧЕТ И АННОТАЦИЯ. Это нужно исправить, поэтому
    что
    проверка будет работать для MATUSETRANS типа RECEIPT или
    Получение
    приложение должно быть изменено, чтобы создать запись MATUSETRANS
    введите ПРОБЛЕМА, когда
    получение отрицательного количества, аналогично тому, как оно работает, когда
    получение положительного количества.
    Действия по воспроизведению в SP 7.5.2 и SP 7.5.3 maxdemo
    Шаг 1. Создайте новое клиентское соглашение для конкретного клиента в
    Приложение "Клиентские соглашения"
    Шаг 2.Перейдите на вкладку «Таблицы цен», выберите «Создать новый график цен».
    Относится к заказу на работу
    рейтинг = 10
    На вкладке «График цен» выберите «Работа, утвержденная по счету».
    флаг
    одобрить Клиентское соглашение.
    Измените статус на APPR
    Шаг 3. Перейдите в приложение SP для отслеживания рабочих заданий.
    Создайте новое рабочее задание, например 1210 и укажите тип работы и GL.
    аккаунт, но оставьте поле "Клиент" пустым
    Шаг 4: Утвердите заказ на работу
    Шаг 5. Создайте новый заказ на поставку, например 1098
    Шаг 6; Создать новую строку заказа на поставку
    тип линии - элемент
    Введите элемент, например 560-00
    укажите тот же Заказ на выполнение работ (например,грамм. 1210)
    укажите отрицательное количество -5
    Шаг 7. Утвердите заказ на поставку
    Шаг 8: Перейдите в приложение-получатель и нажмите Выбрать заказанные.
    Предметы
    кнопка
    Шаг 9: Выберите заказанный товар и нажмите ОК.
    Шаг 10: Сохраните квитанции, и это создаст MATUSETRANS
    сделка
    с ISSUETYPE = RECEIPT
    Шаг 11: перейдите к рабочему заданию SP
    Создайте такой же заказ на работу, например 1210
    укажите Заказчика из Клиентского соглашения и сохраните
    Шаг 12: Выберите вариант действия Выбрать / отменить выбор цены
    Расписание
    Шаг 13: выберите новую строку в диалоговом окне
    Шаг 14: Выберите график цен для работ, утвержденных по счету
    Шаг 15: Нажмите ОК, чтобы сохранить выбранный график цен.
    Шаг 16. Система возвращает ошибку «BMXAA1818E - введите
    кладовая
    местоположение "и не может применить ценовой график из-за неожиданного
    МАТУСЕТРАНС
    тип ЧЕКА
    Сообщение от MAXIMO
    BMXAA1818E - Укажите местонахождение складского помещения.Это сообщение находится в
    Группа сообщений: инвентарь
    Ключ сообщения: cannotIssueNoStoreloc
    Шаг 17: Проблема связана с транзакциями MATUSETRANS типа
    КВИТАНЦИЯ
    вместо типовой ПРОБЛЕМЫ или ВОЗВРАТА
    ПРИМЕЧАНИЕ. В поставщике услуг 7.5.3 с последней версией IFIX возникает ошибка.
    в ногу
    11 при попытке сохранить рабочее задание выдает ошибку: BMXAA1818E -
    Пожалуйста, укажите местонахождение складского помещения.
    ПРИМЕЧАНИЕ: это проблема поставщика услуг. Но это должно быть
    фиксируется в ядре.
    В основном, если есть материал прямого выпуска по рабочему заданию,
    затем поднимите ЗП с отрицательной линией против этого рабочего родера.При получении заказа на покупку он записывает тип выдачи получателя в
    таблица матусетранс. Тогда поставщик услуг не может изменить цену
    график по заказу на работу при получении прямого материала.
    Пожалуйста, добавьте тип выдачи квитанции в таблицу matusetrans, чтобы
    что это исключение можно обработать.
     

Локальное исправление

Описание проблемы

  •  ********************************************** *****************
    * ВЛИЯНИЕ ПОЛЬЗОВАТЕЛЕЙ: *
    * МАКСИМО *
    ********************************************************************************************************************************************************************************************************************************************************** **************
    * ОПИСАНИЕ ПРОБЛЕМЫ:                                         *
    * НЕ МОЖЕТ ПРИМЕНИТЬ РАСПИСАНИЕ ЦЕН WO, ЕСЛИ ТИП MATUSETRANS ЯВЛЯЕТСЯ *
    * КВИТАНЦИЯ                                                      *
    ********************************************************************************************************************************************************************************************************************************************************** **************
    * РЕКОМЕНДАЦИЯ: *
    * Применить выпуск 7.5.0.10 Базовых услуг или запросите *
    * временное исправление *
    ********************************************************************************************************************************************************************************************************************************************************** **************
     

Вывод проблемы

Временное исправление

Комментарии

Информация APAR

  • Номер APAR

    IV77655

  • Указанное название компонента

    ОБСЛУЖИВАНИЕ

  • Зарегистрированный идентификатор компонента

    5724R46SV

  • Зарегистрированный выпуск

    752

  • Статус

    ЗАКРЫТО НА

  • ЧП

    НОПЭ

  • HIPER

    NoHIPER

  • Особое внимание

    NoSpecatt / Xsystem

  • Дата отправки

    2015-10-01

  • Дата закрытия

    28.10.2015

  • Дата последнего изменения

    28.10.2015

  • APAR настроен через систему от одного или нескольких из следующих:

  • APAR настроен на одну или несколько из следующих систем:

Модули / макросы

  • Фиксированное название компонента

    ОБСЛУЖИВАНИЕ

  • Идентификатор фиксированного компонента

    5724R46SV

Применимые уровни компонентов

[{«Бизнес-единица»: {«код»: «BU048», «ярлык»: «Программное обеспечение IBM»}, «Продукт»: {«код»: «SSLKT6», «ярлык»: «Maximo Asset Management»}, «Компонент»: «», «Категория ARM»: [], «Платформа»: [{«код»: «PF025», «метка»: «Независимость от платформы»}], «Версия»: «752», «Издание «:» «,» Направление деятельности «: {» code «:» LOB02 «,» label «:» Приложения AI «}}]

Инициировать единый вход от IdP или SP

Чтобы инициировать единый вход, пользователь может начать с поставщика удостоверений или поставщика услуг.Настройте ссылки на каждом сайте или в составе приложений для запуска операции единого входа.

SSO, инициированное поставщиком удостоверений (POST или привязка артефакта)

Если пользователь посещает поставщика удостоверений перед тем, как перейти к поставщику услуг, поставщик удостоверений должен сгенерировать незапрашиваемый ответ. Чтобы инициировать незапрашиваемый ответ, создайте жестко запрограммированную ссылку, которая генерирует HTTP-запрос Get, который включает параметр запроса с идентификатором поставщика услуг. Поставщик удостоверений генерирует ответ с подтверждением для этого идентификатора.Приложение веб-службы федерации и генератор утверждений должны принять запрос GET.

Пользователь щелкает по установленной вами ссылке, чтобы инициировать незапрашиваемый ответ.

Чтобы указать использование артефакта или профиля POST в незапрашиваемом ответе, синтаксис ссылки незапрашиваемого ответа:

 

http: // idp_server: порт / affwebservices / public / saml2sso? SPID = SP_ID & ProtocolBinding = URI_for_binding

  • Определяет веб-сервер и порт, на котором размещен пакет опций веб-агента или

    Access Gateway

    .
  • Значение идентификатора поставщика услуг. Идентификатор объекта чувствителен к регистру. Введите его точно так, как он отображается в административном интерфейсе.

  • Определяет URI привязки POST или артефакта для элемента ProtocolBinding. Спецификация SAML 2.0 определяет этот URI.

Также укажите привязку в свойствах SAML Service Provider, чтобы незапрошенный ответ работал.

Обратите внимание на следующую информацию:

  • Если в ссылке нет параметра ProtocolBinding и только одна привязка в свойствах поставщика услуг, поставщик услуг использует одну привязку.

  • Если в свойствах поставщика услуг включены привязки артефактов и POST, по умолчанию используется POST. Поэтому, если вы хотите, чтобы

    только

    использовали привязку артефактов, включите в ссылку параметр запроса ProtocolBinding.
  • Если вы настраиваете проиндексированные конечные точки для служб потребителя утверждений, параметр запроса ProtocolBinding переопределяет привязку для службы потребителя утверждений.

Параметры запроса незапрашиваемого ответа, которые IdP использует

Незапрашиваемый ответ, инициирующий единый вход от IdP сервера политики, может включать следующие параметры запроса:

SPID

(Обязательно) Задает идентификатор поставщика услуг, которому поставщик удостоверений отправляет незапрашиваемый ответ.Идентификатор объекта чувствителен к регистру. Введите его точно так, как он отображается в административном интерфейсе.

Привязка протокола

Задает элемент ProtocolBinding в незапрошенном ответе. Этот элемент указывает протокол, используемый при отправке ответа с подтверждением поставщику услуг. Если поставщик услуг не настроен для поддержки указанной привязки протокола, запрос не выполняется.

Обязательное использование параметра запроса привязки протокола

Использование параметра ProtocolBinding требуется

только

, если привязки артефактов и POST включены в свойствах поставщика услуг.Если включены оба профиля, используйте параметр запроса только для использования привязки артефактов.
  • URI для привязки артефакта из спецификации SAML 2.0: urn: oasis: names: tc: SAML: 2.0: bindings: HTTP-Artifact
  • URI для привязки POST из спецификации SAML 2.0: urn: oasis : names: tc: SAML: 2.0: bindings: HTTP-POST Вам не нужно устанавливать этот параметр для единого входа HTTP-POST.

Не HTTP-кодирование параметров запроса.

Пример: незапрашиваемый ответ с привязкой к протоколу

Эта ссылка перенаправляет пользователя на службу единого входа.В этой ссылке указан идентификатор поставщика услуг. Параметр запроса SPID указывает личность. Кроме того, параметр запроса bindings указывает, что привязка артефакта уже используется. После того, как пользователь щелкнет эту жестко заданную ссылку, он будет перенаправлен в локальную службу единого входа.

 

http: // idp-ca: 82 / affwebservices / public / saml2sso? SPID = http% 3A% 2F% 2Ffedsrv.acme.com % 2Fsmidp2for90 & ProtocolBinding = urn: oasis: names: tc: SAML: 2.0: привязки: HTTP-Artifact

Дополнительное использование параметра запроса привязки протокола

Если вы

не используете

параметр запроса ProtocolBinding, применяются следующие условия:
    • Если привязка ProtocolBinding не указана в незапрошенном ответе, используется профиль поставщика услуг.

    • Оба профиля могут быть включены для поставщика услуг. Если ProtocolBinding нет в незапрошенном ответе, поставщик услуг по умолчанию использует профиль POST.

      Пример: незапрашиваемый ответ без привязки протокола

      Эта ссылка перенаправляет пользователя на службу единого входа. В эту ссылку включены идентификационные данные поставщика услуг. Параметр запроса SPID указывает личность. Параметр запроса ProtocolBinding не существует. После того, как пользователь щелкнет эту жестко заданную ссылку, он будет перенаправлен в локальную службу единого входа.
       

      http://fedsrv.fedsite.com:82/affwebservices/public/saml2sso?SPID= http% 3A% 2F% 2Ffedsrv.acme.com% 2Fsmidp2for90

Состояние реле

Указывает URL-адрес целевого ресурса у поставщика услуг. Значение RelayState должно иметь кодировку URL. Включая этот параметр запроса, он сообщает IdP перенаправить пользователя на соответствующий ресурс у поставщика услуг. Этот параметр запроса можно использовать вместо указания целевого URL-адреса при настройке единого входа.Имя параметра запроса RelayState чувствительно к регистру, а значение должно быть закодировано в URL-адресе.
 

http://ca.sp.com:90/affwebservices/public/saml2authnrequest?ProviderID= http% 3A% 2F% 2Ffedsrv.acme.com% 2Fsmidp2for90 & RelayState = http% 3A% 2F% 2Fwww.spdemo.com% 2Fapps% 2Fapp.jsp

SSO, инициированное поставщиком услуг (POST или привязка артефактов)

Пользователь может сначала посетить поставщика услуг, а затем перейти к поставщику удостоверений. Поэтому создайте HTML-страницу у поставщика услуг, содержащую жестко заданные ссылки на его службу AuthnRequest.Ссылки на HTML-странице перенаправляют пользователя к поставщику удостоверений для аутентификации. Ссылки также указывают на то, что находится в AuthnRequest.

Жестко заданная ссылка, которую выбирает пользователь, должна содержать определенные параметры запроса. Эти параметры являются частью HTTP-запроса GET к службе AuthnRequest у поставщика услуг.

Страница с этими жестко заданными ссылками должна находиться в незащищенной области.

Чтобы указать использование привязки артефакта или профиля для транзакции, используйте синтаксис ссылки:

 

http: // SP_server: порт / affwebservices / public / saml2authnrequest? ProviderID = IdP_ID & ProtocolBinding = URI_of_binding

Указывает сервер и номер порта у поставщика услуг, на котором размещен пакет опций веб-агента или

Access Gateway

.

Задает удостоверение, назначенное поставщику удостоверений. Идентификатор объекта чувствителен к регистру. Введите его точно так, как он отображается в административном интерфейсе.

Определяет URI привязки POST или артефакта для элемента ProtocolBinding. Спецификация SAML 2.0 определяет этот URI.

Чтобы запрос работал, включите привязку для схемы аутентификации SAML.

Обратите внимание на следующую информацию:

  • Если вы не включили параметр запроса ProtocolBinding в AuthnRequest, привязка по умолчанию будет той, которая определена для схемы аутентификации.Если в схеме аутентификации определены обе привязки, то в AuthnRequest привязка не передается. В результате используется привязка по умолчанию у поставщика удостоверений.

  • Артефакт и POST могут быть включены для схемы аутентификации SAML. Включите в ссылку параметр запроса ProtocolBinding, если вы хотите использовать только привязку артефакта.

Параметры запроса AuthnRequest, используемые

SiteMinder

SP

Поставщик услуг может использовать параметры запроса в ссылках на службу AuthnRequest.Допустимые параметры запроса:

ProviderID (обязательно)

Идентификатор поставщика удостоверений, которому служба AuthnRequest отправляет сообщение AuthnRequest. Идентификатор объекта чувствителен к регистру. Введите его точно так, как он отображается в административном интерфейсе.

Привязка протокола

Задает элемент ProtocolBinding в сообщении AuthnRequest. Этот элемент определяет протокол, который поставщик удостоверений использует для возврата ответа SAML. Если указанный поставщик удостоверений не настроен для поддержки привязки указанного протокола, запрос не выполняется.Если вы используете этот параметр в AuthnRequest, вы также не можете включить параметр AssertionConsumerServiceIndex. Они исключают друг друга.

Обязательное использование параметра запроса привязки протокола

Артефакт и привязка POST могут быть включены для схемы аутентификации. Если вы хотите использовать только привязку артефакта, параметр ProtocolBinding является обязательным.

  • URI для привязки артефакта из спецификации SAML 2.0: urn: oasis: names: tc: SAML: 2.0: привязки: HTTP-артефакт
  • URI для привязки POST согласно спецификации SAML 2.0: urn: oasis: names: tc: SAML: 2.0: bindings: HTTP-POST Этот параметр не требуется устанавливать для единого входа HTTP-POST.

    Пример: ссылка AuthnRequest с привязкой протокола

     

    http://ca.sp.com:90/affwebservices/public/saml2authnrequest?ProviderID= http% 3A% 2F% 2Ffedsrv.acme.com% 2Fsmidp2for90 & ProtocolBinding = urn: oasis: имена: tc: SAML: 2.0: привязки: HTTP-артефакт

    Пользователь щелкает ссылку у поставщика услуг.Приложение веб-служб федерации запрашивает сообщение AuthnRequest от локального сервера политики.

Дополнительное использование привязки протокола

Если

не использует параметр запроса ProtocolBinding

, применяются следующие условия:
  • Если для схемы аутентификации включена только одна привязка и не указан параметр запроса ProtocolBinding, схема аутентификации использует включенную привязку.

  • Если обе привязки включены и параметр запроса ProtocolBinding не указан, по умолчанию используется привязка POST.

Не HTTP-кодирование параметров запроса.

Пример: ссылка AuthnRequest без привязки протокола

Этот пример ссылки ведет к сервису AuthnRequest. Ссылка указывает поставщика удостоверений в параметре запроса ProviderID.
 

http://ca.sp.com:90/affwebservices/public/saml2authnrequest?ProviderID= http% 3A% 2F% 2Ffedsrv.acme.com% 2Fsmidp2for90

Пользователь щелкает ссылку у поставщика услуг. Приложение веб-служб федерации запрашивает сообщение AuthnRequest с локального сервера политики.

ForceAuthn

Указывает, заставляет ли поставщик удостоверений аутентифицировать пользователя, даже если для этого пользователя существует контекст безопасности.
  • Если ForceAuthn = True в сообщении AuthnRequest и сеанс

    SiteMinder

    существует для определенного пользователя, IdP повторно запрашивает у пользователя учетные данные. Если пользователь успешно аутентифицируется, IdP включает в утверждение идентификационную информацию из существующего сеанса. IdP отклоняет созданный им сеанс для повторной аутентификации.

    Пользователь может попытаться повторно пройти аутентификацию с использованием учетных данных, отличных от тех, которые используются в существующем сеансе. Затем IdP сравнивает userDN и OID каталога пользователей для текущего и существующего сеансов. Если сеансы предназначены для разных пользователей, IdP возвращает ответ SAML 2.0. Ответ указывает на то, что аутентификация не удалась.

  • Если SP устанавливает ForceAuthn = True в сообщении AuthnRequest и сеанс

    SiteMinder

    отсутствует, IdP запрашивает у пользователя учетные данные.Если пользователь успешно аутентифицируется, устанавливается сеанс.

Пример:

http: //www.sp.demo: 81 / affwebservices / public / saml2authnrequest? ProviderID = idp.demo & ForceAuthn = yes Для веб-агента на сервере IIS, который защищает URL-адрес аутентификации, установите для пула приложений IIS значение

Integrated

, чтобы функциональность ForceAuthn работала.

Функциональность ForceAuthn не работает с пулами приложений IIS в классическом режиме.

Состояние реле

Задает цель у поставщика услуг. Вы можете использовать параметр запроса RelayState, чтобы указать целевое назначение, но этот метод не является обязательным. Вместо этого вы можете указать цель, настроенную в схеме аутентификации SAML 2.0. Схема аутентификации также имеет возможность переопределить цель с помощью параметра запроса RelayState. URL-кодирование значения RelayState.
 

http://www.spdemo.com:81/affwebservices/public/saml2authnrequest? ProviderID = idp.demo & RelayState = http% 3A% 2F% 2Fwww.spdemo.com% 2Fapps% 2Fapp.jsp

IsPassive

Определяет, может ли поставщик удостоверений взаимодействовать с пользователем. Если для этого параметра запроса задано значение true, поставщик удостоверений не должен взаимодействовать с пользователем. Кроме того, параметр IsPassive включен в AuthnRequest, отправляемый поставщику удостоверений. Если для этого параметра запроса задано значение false, поставщик удостоверений может взаимодействовать с пользователем.
 

http: //www.spdemo.com: 81 / affwebservices / public / saml2authnrequest? ProviderID = idp.demo & RelayState = http% 3A% 2F% 2Fwww.spdemo.com% 2Fapps% 2Fapp.jsp & IsPassive = true

AssertionConsumerServiceIndex

Задает индекс конечной точки, выступающей в качестве потребителя утверждения. Индекс сообщает поставщику удостоверений, куда отправить ответ с подтверждением. Если вы используете этот параметр в AuthnRequest, вы также не можете включить параметр ProtocolBinding. Они исключают друг друга. Обработка параметров запроса с помощью

SiteMinder

IdP

Если поставщик услуг инициирует единый вход, этот поставщик услуг может включить параметр запроса ForceAuthn или IsPassive в сообщение AuthnRequest.Когда поставщик услуг включает эти два параметра запроса в сообщение AuthnRequest, поставщик удостоверений обрабатывает эти параметры запроса следующим образом:

Когда поставщик услуг включает ForceAuthn = True в AuthnRequest, поставщик удостоверений выполняет следующие действия:

  • ForceAuthn = True в сообщении AuthnRequest, и сеанс существует для определенного пользователя. IdP повторно запрашивает у пользователя учетные данные. Если пользователь успешно аутентифицируется, IdP отправляет идентификационную информацию из существующего сеанса в утверждении.IdP отклоняет сеанс, который он создал для повторной аутентификации. Пользователь может попытаться повторно аутентифицироваться с другими учетными данными, чем исходный сеанс. IdP сравнивает userDN и OID каталога пользователей для текущего и существующего сеансов. Если сеансы предназначены для разных пользователей, возвращается ответ SAML 2.0. Ответ указывает на то, что аутентификация не удалась.
  • ForceAuthn = True в сообщении AuthnRequest и сеанс отсутствует. IdP запрашивает у пользователя учетные данные.Если пользователь успешно аутентифицируется, устанавливается сеанс.

Когда поставщик услуг включает IsPassive в AuthnRequest, а IdP не может его выполнить, поставщику услуг отправляется один из следующих ответов SAML:

  • IsPassive = True в сообщении AuthnRequest и сеанса нет. Поставщик удостоверений возвращает ответ SAML. Этот ответ содержит сообщение об ошибке, поскольку

    SiteMinder

    требует сеанса.
  • IsPassive = True в сообщении AuthnRequest, и есть сеанс.Поставщик удостоверений возвращает утверждение.

  • IsPassive и ForceAuthn присутствуют в сообщении AuthnRequest, и оба имеют значение True. Поставщик удостоверений возвращает ошибку, поскольку запрос недействителен. IsPassive и ForceAuthn исключают друг друга.

Примечания к сертификатам SP | Штат Северная Каролина Шибболет

В Shibboleth IdP и SP обмениваются информацией с помощью сообщений SAML. проходит через соединения браузера пользователя. SP использует пара открытого / закрытого ключей для подписи сообщений, отправленных IdP, и декодировать сообщения, отправленные ему от IdP.IdP использует собственный пара открытого / закрытого ключей для подписи своих сообщений, отправленных SP, поэтому SP может проверить подлинность сообщения.

В каждом случае SP и IdP должны иметь возможность проверять сертификат. предлагает другой. Это осуществляется посредством обмена метаданными. через федерацию. Сертификаты всех IdP и SP в федерации собираются вместе и подписываются ключом федерации.

Стандартная установка SP создает подходящий ключ и самоподписывается. сертификат (в том же каталоге, что и shibboleth3.xml) называется sp-key.pem и sp-cert.pem и настраивает shibboleth3.xml для их использования.

Обратите внимание, что все в сертификате, кроме самого открытого ключа (поэтому дата истечения срока действия, имя хоста и т. д.) игнорируются программным обеспечением Shibboleth — сертификат — это просто удобный стандартный контейнер для перевозки ключ в метаданных. Программное обеспечение Shibboleth IdP и SP незаметно игнорировать сертификаты с истекшим сроком действия, если они найдены в правильных метаданных в настоящее время подписано федерацией.

Однако другие поставщики SAML менее склонны принимать сертификаты с истекшим сроком действия.Мы сталкивались со случаями, когда другие IdP SAML отказываться от отправки атрибутов нашим поставщикам услуг, если срок их сертификата истек. Когда это происходит, мы должны обновить сертификат на SP и в зарегистрированные метаданные.

Обновление сертификата с истекшим сроком действия

Цель этого раздела — сохранить существующую пару открытого / закрытого ключей. для действующего SP и для выпуска нового сертификата с использованием этого существующего открытый ключ. Мы не хотим повторно запускать скрипт keygen.sh, потому что это создаст совершенно новую пару ключей.Вместо этого мы изменим некоторые код, найденный в скрипте, чтобы убедиться, что мы просто генерируем новый сертификат из существующие ключи.

Во-первых, нам нужно создать файл конфигурации для openssl. Это расскажет Программа openssl, как пометить сертификат при его создании. Этот код в точности совпадает с кодом, сгенерированным скриптом keygen.sh. К сожалению, этот сценарий удаляет этот файл после его использования, поэтому мы придется сделать копию для себя.

  cd / etc / shibboleth
кошка> sp-cert.cnf << КОНЕЦ
# Файл конфигурации OpenSSL для создания sp-cert.pem
[req]
подсказка = нет
default_bits = 2048
encrypt_key = нет
default_md = sha1
отличительное_имя = dn
Только # PrintableStrings
string_mask = МАСКА: 0002
x509_extensions = ext
[дн]
CN = ВАШ.HOST.ncsu.edu
[доб]
subjectAltName = DNS: ВАШ.ХОСТ.ncsu.edu
subjectKeyIdentifier = хэш
КОНЕЦ
vi sp-cert.cnf
    # теперь отредактируйте две записи "YOUR.HOST" выше
  

Затем мы делаем резервную копию текущего файла sp-cert.pem, а затем используем openssl для создания нового сертификата.Этот код предполагает, что вы хотите срок действия вашего самоподписанного сертификата составляет 3652 дня = 10 лет.

  cp sp-cert.pem sp-cert.old.pem
openssl req -new -x509 -days 3652 -key sp-key.pem \
        -config sp-cert.cnf> sp-cert.new.pem
  

Затем установите новый сертификат на свой сервер и перезапустите службы.

  cp sp-cert.new.pem sp-cert.pem
перезапуск службы shibd
перезапуск службы httpd
  

Наконец, отправьте электронное письмо на адрес shibboleth-help @ ncsu.edu с просьбой, чтобы мы повторно загрузите метаданные SP, чтобы зарегистрировать обновленный сертификат. Примерно так будет работать:

  Кому: [email protected]
Тема: Обновите метаданные для https://your.host.ncsu.edu/sp/shibboleth

Недавно мы обновили сертификат на нашем SP. Пожалуйста, скачайте
обновленные метаданные из:
    https://your.host.ncsu.edu/Shibboleth.sso/Metadata
и обновите нашу запись в Федерации NCSU.
  

Проблемы со сменой сертификатов

Как упоминалось выше, программное обеспечение Shibboleth SP и IdP игнорирует даты истечения срока действия ваших сертификатов.Не должно быть потери между этими поставщиками во время обновления сертификата. Другой SAML провайдеры могут быть затронуты в период между изменением сертификат на SP, и обновление сертификата в опубликованные метаданные.

Рассмотрим следующие ситуации:

  1. SP использует сертификат с истекшим сроком действия, а также метаданные. содержит этот сертификат с истекшим сроком действия.

    • Shibboleth SP и IdP - будут работать нормально.
    • Не-Shibboleth SAML IdP - может отказаться отправлять сообщения поставщику услуг пока у него истек срок действия сертификата.
  2. SP обновил свой сертификат до сертификата, срок действия которого еще не истек. В метаданные по-прежнему содержат старый сертификат с истекшим сроком действия.

    • Shibboleth SP и IdP - будут работать нормально.
    • Не-Shibboleth SAML IdP - может отказаться принимать сообщения от SP потому что сообщение SAML содержит копию сертификата SP и это не соответствует сертификату в метаданных.
  3. Метаданные обновлены новым сертификатом, а удаленный IdP загрузил последние метаданные.

    • Shibboleth SP и IdP - будут работать нормально.
    • Не-Shibboleth SAML IdP - должен принимать сообщения и нормально работать.

Выдача нового ключа и сертификата

Этот процесс описывает, как полностью заменить ключ и сертификат. пара, используемая SP, не вызывая потери обслуживания. Эти инструкции основаны на руководстве, предоставленном SWITCH.

Чтобы избежать проблем, описанных в предыдущем разделе, нам необходимо для временного использования двух пар ключ / сертификат на SP во время переключения.Этот процесс займет как минимум день или два.

Шаг 1. Создайте новую пару ключ / сертификат для SP. Сделайте это в отдельном каталог из конфигов shibboleth, чтобы случайно не перезаписать текущую пару ключ / сертификат.

  cd / tmp
/etc/shibboleth/keygen.sh -y 10 \
  -h ваш.host.ncsu.edu \
  -e https://your.host.ncsu.edu/sp/shibboleth
        # h - имя хоста
        # e - entityID
ls / tmp / sp- *
    /tmp/sp-cert.pem /tmp/sp-key.pem
  

Шаг 2: Настройте SP на ожидание пары ключ / сертификат.Скопируйте новый ключ и сертификат в ваш каталог shibboleth под новым именем. Убедитесь, что права доступа к файлам правильные.

  cd / tmp
cp sp-cert.pem /etc/shibboleth/sp-cert-2017.pem
cp sp-key.pem /etc/shibboleth/sp-key-2017.pem
cd / etc / shibboleth
chown shibd.shibd sp-cert-2017.pem sp-key-2017.pem
ls -l sp *
    -rw-r - r-- 1 shibd shibd 1159 16 июля 2014 sp-cert.pem
    -rw-r - r-- 1 шибд шибд 1505 31 мая 09:48 sp-cert-2017.pem
    -rw ------- 1 shibd shibd 1675 9 октября 2009 г. sp-key.pem
    -rw ------- 1 shibd shibd 2484 31 мая 09:48 sp-key-2017.pem
  

Затем добавьте новый ключ / сертификат в конфигурацию SP в качестве вторичных учетных данных в параллельно текущей паре.

  vi /etc/shibboleth/shibboleth3.xml
    # найти тег CredentialResolver со старыми сертификатами
    # продублируйте его и измените имена для второго сертификата.
    # затем оберните обе записи в тег Chaining CredentialResolver

    # как это:
    
        
        
        
        
    
  

Теперь перезапустите shibd, чтобы перезагрузить конфигурацию.

  перезапуск службы shibd
меньше /var/log/shibboleth/shibd.log
    # должны увидеть строки загрузки для обеих пар ключ / сертификат
  

Шаг 3. Сообщите федерации, что у вашего SP есть два сертификата.Отправьте электронное письмо на адрес [email protected] с просьбой, чтобы мы повторно загрузите метаданные SP, чтобы зарегистрировать дополнительный сертификат. Примерно так будет работать:

  Кому: [email protected]
Тема: Обновите метаданные для https://your.host.ncsu.edu/sp/shibboleth

Заменяем ключ / сертификат на нашем ИП. Пожалуйста, скачайте
обновленные метаданные из:
    https://your.host.ncsu.edu/Shibboleth.sso/Metadata
и обновите нашу запись в Федерации NCSU.
  

Это запустит тикет ServiceNow, который мы будем использовать для оставшихся разговоры.Мы сообщим вам, когда Федерация будет обновлено. Затем вам нужно подождать несколько часов, пока серверы входа IdP получить обновленные метаданные. После этого обе стороны (SP и IdP) готовы использовать любую из пар сертификатов.

Шаг 4. Обновите свой SP, чтобы новая пара ключ / сертификат стала первичной. учетные данные.

  cd / etc / shibboleth
vi shibboleth3.xml
 # изменить порядок двух сертификатов, поставив на первое место сертификат 2017 г.     

Навигация по записям

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *