Z kroku 1 jsme získali ověřenou URL adresu pro přesměrování uživatele na autorizaci
Nyní je třeba vytvořit autorizační požadavek a tento předat NIA IdP
private function generateAuthnRequest(EntityDescriptor $idp_descriptor)
{
// stejně jako v předchozích ukázkách, NiaContainer a NiaServiceProvider jsou
// implementace specifické pro vaši aplikaci / produkční prostředí
// jejich popis je mimo možnosti tohoto manuálu
$nia_container = new NiaContainer($this);
$service_provider = new NiaServiceProvider();
ContainerSingleton::setContainer($nia_container);
// získání url adresy, na kterou přesměrovat uživatele při metodě HTTP-REDIRECT
$urls = $this->extractSSOLoginUrls($idp_descriptor);
$sso_redirect_login_url = $urls[Constants::BINDING_HTTP_REDIRECT];
// samotný AuthnRequest
$auth_request = new AuthnRequest();
// unikátní ID
$auth_request->setId($nia_container->generateId());
// Issuer, neboli "Unikátní URL adresa zabezpečené části Vašeho webu"
$auth_request->setIssuer($nia_container->getIssuer());
// explicitní deklarace příjemce zprávy
$auth_request->setDestination($sso_redirect_login_url);
// adresa kam se má uživatel přesměrovat při dokončení procesu na straně IdP
$auth_request->setAssertionConsumerServiceURL(NiaServiceProvider::$AssertionConsumerServiceURL);
// vyžadovaná úroveň ověření identity
// LOW dovoluje využít NIA jméno+heslo+sms, stejně jako datovou schránku FO nebo identitu zahraničního občana
// SUBSTANTIAL pak dovoluje méně variant
// HIGH dovoluje pouze elektronický občanský průkaz
$auth_request->setRequestedAuthnContext([
'AuthnContextClassRef' => [NiaServiceProvider::LOA_LOW],
'Comparison' => 'minimum'
]);
// vygenerování nepodepsaného požadavku
$auth_request_xml_domelement = $auth_request->toUnsignedXML();
// přidání vyžadovaných atributů (informací o uživateli), element samlp:Extensions
$exts = new NiaExtensions($auth_request_xml_domelement);
$exts->addAllDefaultAttributes();
$auth_request_xml_domelement = $exts->toXML();
$auth_request_xml = $auth_request_xml_domelement->ownerDocument->saveXML($auth_request_xml_domelement);
$auth_request_xml_domelement = DOMDocumentFactory::fromString($auth_request_xml);
// vložení vlastního podpisu naším privátním klíčem
$auth_request_xml_domelement = $service_provider->insertSignature($auth_request_xml_domelement->documentElement);
return $auth_request_xml_domelement;
}
<?xml version="1.0"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_68d64e14-442f-4efb-848a-1e08a0c233e0" Version="2.0" IssueInstant="2020-12-03T11:11:49Z" Destination="https://tnia.eidentita.cz/FPSTS/saml2/basic" AssertionConsumerServiceURL="https://nia.otevrenamesta.cz/ExternalLogin">
<saml:Issuer>https://nia.otevrenamesta.cz/</saml:Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo><ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<ds:Reference URI="#_68d64e14-442f-4efb-848a-1e08a0c233e0"><ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></ds:Transforms><ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/><ds:DigestValue>8i0unaohDaelC/1Z1Ee3n9Qjt+SoaS5JMIVR3O9tKsA=</ds:DigestValue></ds:Reference></ds:SignedInfo><ds:SignatureValue>mhryLhgrG8YF2SHTiczUyXNRkhGg5dE32V7N0nR2d8PEQtrokryyhkGfhdnXxYl4rpJpkT8d5A+XUJ4xucn/1AoG9OxClpuQ7zqxCrEjwByP9QuH3lzA+F41uizS0ttieswpBMTOfPF8L7dV/m7pZzzaXPoj53rqSXO6elmmAyfKp9RpfL3bG4BUCxeD606hh48CqDg5qw+oo9gr93f/AvnPTuNk+oapN+stXeMEMVXPRysdsq5jxXbuaz4sBAdcz8HtGQtRfrY0syuTFmoClIqeoRdje5FQHcnE48zLFLPPaCp0VXFYM5toFaj9+CnEuKC9vZLnyPju6aEmTankXw==</ds:SignatureValue>
<ds:KeyInfo><ds:X509Data><ds:X509Certificate>MIIDdDCCAlygAwIBAgIRAP9sUbldL412M4EpX2fV5PwwDQYJKoZIhvcNAQELBQAwJDEiMCAGA1UEAwwZaHR0cHM6Ly9vdGV2cmVuYW1lc3RhLmN6LzAeFw0xOTEwMDEwOTM1MjhaFw0yMjA5MTUwOTM1MjhaMBQxEjAQBgNVBAMMCXN6cmMtdGVzdDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAL7C+gGDVHuZSYz2MDq21UB/e3UXiU7L3iJvv8GEzJoi+SvauCU/Ui5oGc/w2MqZ21E463aDadjksRFSB+9z/uw2yNna+Wctg2RoY4CMZNdp/MxunRIT9/U0ecXVHPcqsnTnVykK1QYUv8BaGHLQH0Okk/7+SWHR/MMXcJ7OTI4owm8bFRKN/PFaUtCSNYxhUnP51quWwx6EXoHXZWAq//7YCZP+WL7dcmnql4JxjpZGq4lINqCGA8WXw0EuXbUs5vakl5SFmDMezmiO5IEi1Mk5vmv649p2gUa4qpVPgHkhCqOSRB0BAeEh63hZM05Z+HkDb6R8VYAdFW3ZEL0lXw8CAwEAAaOBsDCBrTAJBgNVHRMEAjAAMB0GA1UdDgQWBBRJIq+FqevCnV5u7guRRfs8k4KbmDBfBgNVHSMEWDBWgBTypM00nD30BAjXOIrO8l6xFnzxvaEopCYwJDEiMCAGA1UEAwwZaHR0cHM6Ly9vdGV2cmVuYW1lc3RhLmN6L4IUdCc7pFsR+OGBk+abd7ssRaIIM1EwEwYDVR0lBAwwCgYIKwYBBQUHAwIwCwYDVR0PBAQDAgeAMA0GCSqGSIb3DQEBCwUAA4IBAQBHSwJPSnC6G+978X/Lk4UMx1QMXmUpvaWnELBMyAcdpRsN9RsOsiJKLYiTAHFLHDwAF0cd/2ZxcwqHu2dX2jwVfOE+Z3UhHEBmvLTPBQq96y62KO4Px7//6gQchK+zER5ZfOP7jAqqziIu+SuI4xJ3zBgEGb4wr3EdQqonNnk6rZh7uJlnCWaoZACg5+S97aK77HaJgk775lFYhDiuQBRD6GKLJoqR1Yvg12RN0X1UbCV5hUF0UEOgHhbNNmZIU9qrKeVKefekDSjzd8xDIU6Ic5w3gKS01CecLQL7/tSpi/s3X+1f4yTjozurqNjUV7gBxcyYRw+4vE4aa4qx/gWd</ds:X509Certificate></ds:X509Data></ds:KeyInfo></ds:Signature>
<saml:Conditions>
<saml:AudienceRestriction>
<saml:Audience>https://nia.otevrenamesta.cz/ExternalLogin</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<samlp:RequestedAuthnContext Comparison="minimum">
<saml:AuthnContextClassRef>http://eidas.europa.eu/LoA/low</saml:AuthnContextClassRef>
</samlp:RequestedAuthnContext>
<samlp:Extensions xmlns:eidas="http://eidas.europa.eu/saml-extensions">
<eidas:SPType xmlns:eidas="http://eidas.europa.eu/saml-extensions">public</eidas:SPType>
<eidas:RequestedAttributes xmlns:eidas="http://eidas.europa.eu/saml-extensions">
<eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/age" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/countryCodeOfBirth" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/CurrentAddress" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/CurrentFamilyName" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/CurrentGivenName" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/DateOfBirth" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/eMail" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/isAgeOver" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<eidas:AttributeValue>18</eidas:AttributeValue>
</eidas:RequestedAttribute>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/PersonIdentifier" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://schemas.eidentita.cz/moris/2016/identity/claims/idnumber" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://schemas.eidentita.cz/moris/2016/identity/claims/idtype" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://schemas.eidentita.cz/moris/2016/identity/claims/tradresaid" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://schemas.eidentity.cz/moris/2016/identity/claims/phonenumber" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
</eidas:RequestedAttributes>
</samlp:Extensions>
</samlp:AuthnRequest>
Adresa na kterou přesměrujeme uživatele se skládá následovně
// EntityDescriptor pro IdP
$idp_descriptor = generateIdpDescriptor();
// viz. výše
$authn_request = generateAuthnRequest($idp_descriptor);
// komprese a enkódování požadavku
$xml = $signed_request->ownerDocument->saveXML();
$query = gzdeflate($xml);
$query = base64_encode($query);
$query = urlencode($query);
// získání URL adresy
// $redirect_url je popsána v posledním bodě kroku 1
$final_url = $redirect_url . (parse_url($redirect_url, PHP_URL_QUERY) ? '&' : '?') . 'SAMLRequest=' . $query;
^ "https://tnia.eidentita.cz/FPSTS/saml2/basic?SAMLRequest=1Vhrk6I4F%2F4%2Bv8JyPlrdXMRrTfdWuKgoKIIo%2BuWtCBFQ7gFBf%2F0Gu9vp6Z29vbtbu1PVVXZOcp48OTknecKXn6owaJxRhv04emoyj3Tzp%2BdPXzAMg2QIityLdJQWCOcNMi7Cw1vHU7PIomEMsY%2BHEQwRHub20ACqMmQf6WGSxXlsx0Hznctve0CMUZYTAs2GLD41%2F9ftO10OMdwDx7GHBw4d9g99rg8fGET3IW2z7Taim431G2kCQRwxLpAc4RxGOTHRLP3AsA90e8UwQ%2FLHDXbNhkjW4Ucwv3l5eZ7gIUXlkQ8fke%2BgKPdz%2BGhfqZFmrAyqps1Se0LZbjbAG0MhjnARosxA2dm3kakrX5FqoDhH5wzdlvgCJlU5yiIYKLHrR83nW2SHN7LZ8286fqHeD%2F3i4KHhu4R8kaHXwDr4ZW6CUJblY9l%2BjDOXYmmapugBRcY42Hc%2FN58%2FNRpv7siRo0N8QxNgFEe%2BDQP%2FeouIinIvdhogcOPMz73wV7AZiqFr7AdU2Q82w0Wfm1Q9w9c5bhT%2FMBrNvTF9COMMfc4wfMAeZDvdF9waVUcHRGJjo4apy0%2FNz38sQW6rXGUwwoc4C%2FG3zd9l9k0MUXRGQZwg5wG%2FLZCw%2B3OA3w3cF%2BqXHEXfJTnwJwNIovP5HravKGsYFOi579NFBGNPhCgQKGbHSKgdDZbHvGXE0OhMVXmttxeDfIbB043Re%2Beb4b4DL80PqXTf9ReP0Msuiudm4%2F52xBqTlW9fzYs110%2Fe2O04Uptd9%2BZ0pLNOX5OWeRafssvFO40PnhNZ1TbgsmSanFZ9pwNaljnlqsKOKAbE48GiEoKkWPauaSVk0rHkL9pgWUzawRW0RhxT%2BFeDznMf4TLh1dXioI36Ss9ZU2Ev2V2v0NLiY6edpYa16KIgDMHlMEsGenJQ2vsxx5tChcQu3fU8ri%2BkottJy1YcD9xs0D5Q4Bxpq2J%2BasUwmbdwbiFVUteWpl%2Bwg9POsbL2BbxymAeOfe1P8vEy1w%2FZlsaXYjUKYyGQUxTrzhF1RsuJHUlc%2F6qMFE2DQkKvrdFW7eTxCB4HLSGSipkwOO%2BU6KIdiy6UwhWMTlb59HQP%2FbtYf6rjP0OX%2B15YHXogwhzeG0J9cB1IoefoWZVl0REFAQQXF5QyD1xZB9oAm%2FvAUTiGVTkpsdjDuqOVpbjcTmfxTvbO9hwsJYVfgnIqSr4qgDFgTAmU5Q5OdNqeqF3lMjg74zVrh%2Btiu2ECu617SjjvKleARiVdLVZSqYpSuVipjHr0ILFd1CPoqCvzblP5ZSUdwZJ352seqKpgzbt2qOYE93rjbMgfOfGEk%2Bi6kgbq%2FmUskP95oPSEljsW15NiZ2yvrCqmLGPyFGqblm%2F2lLY%2FPZ%2F7Y%2Bk6jf2WcYaFYFKm34nHNlWyarpjGYnrtqEIneMJ6yODbw2uVFGyl3kEWxs7d1k93nKCups7CaVWRaTLqwFl0si21hPNTnG0itaX04xZbs1zn4fjibKc0IvTieq1jM1Ep1TVsqe9xUrm4jLs70f6bE5pI2jmgjHfVp4ZaR0mLTZl1ZWseGLtNiClqN5W2GmtDUlnO4zSgJtWx2Q3TrlAnqfCGPQ3VklLhbU3cecMT0HHGIWiiq6hv%2BjIks%2Bop845PHe5QcK6JuTSZK25k5MnpAtD52keIMnrtr2dSnd2rclJ3Hf1%2FnoLnNGmvZMUOrDKvgBKCQC44LEo8NkKTOt9muiqBI4AqDxd54QjussNz%2BtTOW2NUnQWonWn6LmFrh9w%2F8TN9qHIH25%2BhiptRH7j8qtLotJ0JLYJiaO1kLNFP%2BhWo%2BhanaEUJ8L2z%2BccJ5uOYPeSEdZbizF%2FasG908NYh7KsMlIplVtxrdMBT8AEdyvPyi3JI3NC6qEUXvo0HixF4CKgAnosGOnYkPdtkeSbUJoAcKRulvzEKKeaEQndcWvQ61uUcuJMtWKWqhWayRluIlIx6gXYTqLj%2BUDHC%2BxPZ8rWX4HJSJmIJRjRtkOxu8ou00nBOhZ7LNeHhdTatU1vIvHhWVlp%2FDIddC9ddrbgtKpHUV13aXuz1lXSO7vDQusdQZpefbloGYXMVdP2lXel8Z4rs7bkLNM4mkenbrbzesU0iIQNjHdAcDstY9CDs15vAqfuqdfrBKOtJ%2FrFktfF7nimTONUZ7Znl2H1OW0x5l5YdzxzRJvSwp14%2B%2Fk83MnmIM1maD0jt8JJNI5Xp1%2BJstmV7U7ZdmcGzQjIVpZKj8qNxKdw22oxB%2B6yOsbXIkvnR3Pdc%2FnKvmz1ssWdJQ6SjKwod%2BPcTriPh9bd%2BHKsUe8PvG9OxFdxRSSa49eKBr8aQOH49d2lkzst8%2B2660PPbyuxbyTcqyy7e35ofzMH9V0%2ByfBVUiPnJrBJf46qvCHEYQIzH9fiNPQjPyzC5p3n13FCQOQyuY%2BfX%2FUAka4QP6IiixOiYwtKiQEVxOWd13c8X%2Fp%2BhccbyXrVUS2w8avcvE10lyEfp62diLR58yHMbyOGhkZKHP1%2FEEmxD3z7C%2FUe6Q33K%2FecBHxf5Oiv8fwlXmNOUuAb2YXzODs9uvG5BiJPJQq6qNnwce3rZ8h5ah5ggImp9hwRQQfz33n4kLlq68PhNnhYZH4t3%2F4CIzsuojy7CLGDFgfez3Lv3yP4MfTwvlPUrWBhkJAnXBxRQpGRgsuB42QI4x%2BH8AiGfnCpIX4czmP%2FjKIfhDI58P%2F9LP5umSEV%2BsF%2FjJOPiWRZnFH2t%2FN6o3Vn8%2FL2YPpvR%2FOHjjfzL5fxt6eIdvuRb19vDv4%2FsPY%2FvCfY9lBYk37%2FKSkkj3dM3ulMl3o1Xyg7gH6ISTsqwv2PxTgnF%2FCPwzfPYH2hQN%2F573C%2B%2FA7nxIsj9M8lxq8WJr6Lwq%2B67256%2Fx34%2BdPP"
Otevřením finální URL se spustí proces autorizace u NIA, jeho dokončením se vrátíte na tento tutoriál na Krok 3