Z kroku 1 jsme získali ověřenou URL adresu pro přesměrování uživatele na autorizaci
Nyní je třeba vytvořit autorizační požadavek a tento předat NIA IdP
private function generateAuthnRequest(EntityDescriptor $idp_descriptor)
{
// stejně jako v předchozích ukázkách, NiaContainer a NiaServiceProvider jsou
// implementace specifické pro vaši aplikaci / produkční prostředí
// jejich popis je mimo možnosti tohoto manuálu
$nia_container = new NiaContainer($this);
$service_provider = new NiaServiceProvider();
ContainerSingleton::setContainer($nia_container);
// získání url adresy, na kterou přesměrovat uživatele při metodě HTTP-REDIRECT
$urls = $this->extractSSOLoginUrls($idp_descriptor);
$sso_redirect_login_url = $urls[Constants::BINDING_HTTP_REDIRECT];
// samotný AuthnRequest
$auth_request = new AuthnRequest();
// unikátní ID
$auth_request->setId($nia_container->generateId());
// Issuer, neboli "Unikátní URL adresa zabezpečené části Vašeho webu"
$auth_request->setIssuer($nia_container->getIssuer());
// explicitní deklarace příjemce zprávy
$auth_request->setDestination($sso_redirect_login_url);
// adresa kam se má uživatel přesměrovat při dokončení procesu na straně IdP
$auth_request->setAssertionConsumerServiceURL(NiaServiceProvider::$AssertionConsumerServiceURL);
// vyžadovaná úroveň ověření identity
// LOW dovoluje využít NIA jméno+heslo+sms, stejně jako datovou schránku FO nebo identitu zahraničního občana
// SUBSTANTIAL pak dovoluje méně variant
// HIGH dovoluje pouze elektronický občanský průkaz
$auth_request->setRequestedAuthnContext([
'AuthnContextClassRef' => [NiaServiceProvider::LOA_LOW],
'Comparison' => 'minimum'
]);
// vygenerování nepodepsaného požadavku
$auth_request_xml_domelement = $auth_request->toUnsignedXML();
// přidání vyžadovaných atributů (informací o uživateli), element samlp:Extensions
$exts = new NiaExtensions($auth_request_xml_domelement);
$exts->addAllDefaultAttributes();
$auth_request_xml_domelement = $exts->toXML();
$auth_request_xml = $auth_request_xml_domelement->ownerDocument->saveXML($auth_request_xml_domelement);
$auth_request_xml_domelement = DOMDocumentFactory::fromString($auth_request_xml);
// vložení vlastního podpisu naším privátním klíčem
$auth_request_xml_domelement = $service_provider->insertSignature($auth_request_xml_domelement->documentElement);
return $auth_request_xml_domelement;
}
<?xml version="1.0"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_59ab4740-a2c1-47c4-ab0b-9315bb1208be" Version="2.0" IssueInstant="2022-05-19T19:48:42Z" Destination="https://tnia.identitaobcana.cz/FPSTS/saml2/basic" AssertionConsumerServiceURL="https://nia.otevrenamesta.cz/ExternalLogin">
<saml:Issuer>https://nia.otevrenamesta.cz/</saml:Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo><ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<ds:Reference URI="#_59ab4740-a2c1-47c4-ab0b-9315bb1208be"><ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></ds:Transforms><ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/><ds:DigestValue>W8dh5GnzruJRzeAY8D8CX8n6Z7OuhjnGqolZi+jG+L0=</ds:DigestValue></ds:Reference></ds:SignedInfo><ds:SignatureValue>h/EqKOFb2b72vAUZt6YAN1uphzfZDjjDZ5yuYMPyTFQaXTFpTsTGTRvZHfEwgL2Q4v6yzz/1rh7t+7Z2+bnlh2HmJsbYoHyEbymQb6rgvS3HalS1ZQKDp4BjS6qt8LrilOpgfkvHMGv5RSWbGK9n5wKc5G4KSva4CNfSetWzHjFh5lPYyDDNWrwU9wFh2oBx/7xhPGNaWP6fAFzWclTR+zZXKuR8zcevSdTa74DLmsn462QdnWTcIqtqBIHyrgn0kCUoYpA00Oy9EwLR7yolXW31mNN3JMe6ALMphRa1cFaKNH0XnXVS67hQrGG1twGvG9NzZQoeCoykB9mBlYWbNQ==</ds:SignatureValue>
<ds:KeyInfo><ds:X509Data><ds:X509Certificate>MIIDdDCCAlygAwIBAgIRAP9sUbldL412M4EpX2fV5PwwDQYJKoZIhvcNAQELBQAwJDEiMCAGA1UEAwwZaHR0cHM6Ly9vdGV2cmVuYW1lc3RhLmN6LzAeFw0xOTEwMDEwOTM1MjhaFw0yMjA5MTUwOTM1MjhaMBQxEjAQBgNVBAMMCXN6cmMtdGVzdDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAL7C+gGDVHuZSYz2MDq21UB/e3UXiU7L3iJvv8GEzJoi+SvauCU/Ui5oGc/w2MqZ21E463aDadjksRFSB+9z/uw2yNna+Wctg2RoY4CMZNdp/MxunRIT9/U0ecXVHPcqsnTnVykK1QYUv8BaGHLQH0Okk/7+SWHR/MMXcJ7OTI4owm8bFRKN/PFaUtCSNYxhUnP51quWwx6EXoHXZWAq//7YCZP+WL7dcmnql4JxjpZGq4lINqCGA8WXw0EuXbUs5vakl5SFmDMezmiO5IEi1Mk5vmv649p2gUa4qpVPgHkhCqOSRB0BAeEh63hZM05Z+HkDb6R8VYAdFW3ZEL0lXw8CAwEAAaOBsDCBrTAJBgNVHRMEAjAAMB0GA1UdDgQWBBRJIq+FqevCnV5u7guRRfs8k4KbmDBfBgNVHSMEWDBWgBTypM00nD30BAjXOIrO8l6xFnzxvaEopCYwJDEiMCAGA1UEAwwZaHR0cHM6Ly9vdGV2cmVuYW1lc3RhLmN6L4IUdCc7pFsR+OGBk+abd7ssRaIIM1EwEwYDVR0lBAwwCgYIKwYBBQUHAwIwCwYDVR0PBAQDAgeAMA0GCSqGSIb3DQEBCwUAA4IBAQBHSwJPSnC6G+978X/Lk4UMx1QMXmUpvaWnELBMyAcdpRsN9RsOsiJKLYiTAHFLHDwAF0cd/2ZxcwqHu2dX2jwVfOE+Z3UhHEBmvLTPBQq96y62KO4Px7//6gQchK+zER5ZfOP7jAqqziIu+SuI4xJ3zBgEGb4wr3EdQqonNnk6rZh7uJlnCWaoZACg5+S97aK77HaJgk775lFYhDiuQBRD6GKLJoqR1Yvg12RN0X1UbCV5hUF0UEOgHhbNNmZIU9qrKeVKefekDSjzd8xDIU6Ic5w3gKS01CecLQL7/tSpi/s3X+1f4yTjozurqNjUV7gBxcyYRw+4vE4aa4qx/gWd</ds:X509Certificate></ds:X509Data></ds:KeyInfo></ds:Signature>
<saml:Conditions>
<saml:AudienceRestriction>
<saml:Audience>https://nia.otevrenamesta.cz/ExternalLogin</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<samlp:RequestedAuthnContext Comparison="minimum">
<saml:AuthnContextClassRef>http://eidas.europa.eu/LoA/low</saml:AuthnContextClassRef>
</samlp:RequestedAuthnContext>
<samlp:Extensions xmlns:eidas="http://eidas.europa.eu/saml-extensions">
<eidas:SPType xmlns:eidas="http://eidas.europa.eu/saml-extensions">public</eidas:SPType>
<eidas:RequestedAttributes xmlns:eidas="http://eidas.europa.eu/saml-extensions">
<eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/age" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/countryCodeOfBirth" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/CurrentAddress" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/CurrentFamilyName" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/CurrentGivenName" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/DateOfBirth" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/eMail" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/isAgeOver" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<eidas:AttributeValue>18</eidas:AttributeValue>
</eidas:RequestedAttribute>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/PersonIdentifier" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://schemas.eidentita.cz/moris/2016/identity/claims/idnumber" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://schemas.eidentita.cz/moris/2016/identity/claims/idtype" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://schemas.eidentita.cz/moris/2016/identity/claims/tradresaid" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://schemas.eidentity.cz/moris/2016/identity/claims/phonenumber" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
</eidas:RequestedAttributes>
</samlp:Extensions>
</samlp:AuthnRequest>
Adresa na kterou přesměrujeme uživatele se skládá následovně
// EntityDescriptor pro IdP
$idp_descriptor = generateIdpDescriptor();
// viz. výše
$authn_request = generateAuthnRequest($idp_descriptor);
// komprese a enkódování požadavku
$xml = $signed_request->ownerDocument->saveXML();
$query = gzdeflate($xml);
$query = base64_encode($query);
$query = urlencode($query);
// získání URL adresy
// $redirect_url je popsána v posledním bodě kroku 1
$final_url = $redirect_url . (parse_url($redirect_url, PHP_URL_QUERY) ? '&' : '?') . 'SAMLRequest=' . $query;
^ "https://tnia.identitaobcana.cz/FPSTS/saml2/basic?SAMLRequest=1VhZc6M4F33vX5FyP7oSFmOwXUmm2AzY4AWMF16%2BEiADNvtq%2B9ePcBJ3Ot09yzczNdNPtq50j46u7pWOePzlFIV3NcyLIImfOsQD3vnl%2BdNjAaIwHbFV6cc6zCpYlHdoXFyMrh1PnSqPRwkogmIUgwgWo9IZGaymjsgHfJTmSZk4Sdh55%2FLbHqAoYF4iAp07RXjq%2FK8%2FBDbFUPg9IB3inmIc6h7YuH0%2F7BF92yZIfGDDzt36jTSCQI5FUUElLkoQl8iEk%2BQ93r8nhitiOKIGI4q0OncCWkcQg%2FLq5ZdlWowwrIwD8BC4MC6DEiS2A2Lw4Fyw8cJYGVjLncRsxNvp3LFvNPkkLqoI5gbM68CBpq5%2BgWvRkhLWObyus7yCiacS5jEI1cQL4s7zNbyjK%2BP8%2BTcdH7H3Qx%2FdYmQEHlpBlcPX6LrFy9wIoWmah6b3kOQeRuI4juFDDI1xi8D73Hn%2BdHf35g5dJd4nVzQexEkcOCAMLtewaLD0E%2FeODb0kD0o%2F%2BgE2gRF4i30PT869Q1Dx5w7WzvBljivFP4yGU29M76Mkh5%2FzAtwXPiD79Atui6rDPUSxceCdqStPnc9%2FLEuuq1zlIC72SR4VXzd%2Fl9lXMYRxDcMkhe598bZAxO7PAX43cI%2FYtxyFwEM58CcDiKLz%2BRa2LyhrEFbweTNw%2Fb4UX%2FJqol8guxsIA347iGmLmVf%2BIZayJLSC7kHqqvjTldF756vhtgMvzQ%2BpdNv1Fw8fE7PpfGyTNkPWrGmV9I6dEVXqX%2FaWcDgIVv9c7bTFeTVegu1qnK6KlbTSa0vei42nkkuqps%2BXC0bkPlN2GYvs2nHok3I0KexdIp9F%2BxwtbTr3aqMng9AgrOVUSCnuYNBZOVDzIJyn3v5Yy5pU93VjY0vTYdxvpk5foqZGDSh%2BtjdgubnIh7HfDxe7syDMNnljDpuxTybcCWNO%2FkKagc2C3rPjy8YJV3r3Ym2nlT64OLA23BVgKEGNipiiyaUbb1aOkpUZp8jn3IvxI28mu5TF8fl5KDaqzpyTcLvpEdFs1ptokGZVLfV1QDhjMJ3J%2BDberg2a8Ze5JBFlI9XScHaxlgnkk%2FORG0ZcuNvYs%2BXT0y3072L9qY3%2FFJ5ve7Ht40MBlODW4NuDa48KvYTPmqIIrsDzbHj22EbhWE%2FR2cWwMO3QVSmC1Cgx3ZL7dX%2FRNMJyN5kmluLXzoxdiiq3ZJuJIAYaz0osYYps01hA1nFH1mj1PKxdaU060brabYjQ6em%2BGs1o9cLCcYOf5iux0QSxma80Qjv4ANnO2oHtayvzZtO45Uk8sEvOm605VtP47Yx2Iq1EuJcrZ0P5yIlDnATPExds279MePSfY1WG73qSsJYry9hdSE3ISMLkMNgzt4HJqL1gUtcDSbxMkqCL0qHiTcwM%2BonkYA2pZRZJiBTdAwJwD8dCHxtcd3jBqoY8z2LQ3TilR%2BrJjuI1a%2BammHaqYl1ZDTETh852LS%2BcrIhX8fp8nBLLnVkPOCDJ6lLG58cjxnSNjaxjmrZ1Jsx8pVBJEw3ssT6dYYsxMEvemO1Ovhkv%2BkRWbZoTLW4TeWtt2AzDmB1vLboblXGdKM5CanI6pJaUUaEyy3iJHWy2DS5WW9ss%2BjU4hn1jHAkavETBvK%2BIAaEd%2B3VU09QwJT0TUFm6Xnjy0eezuaFzOMdC0ad7vqXhfasrHwWb1gfrHeuONz1LVPFw2wx4thFZFsy5QuC5fMVO2n2SdU1kDyyrcXibE67gLTccp0%2BUrDvOYM3H637FeJWu74vBkZrakcDtr36GJm4EbuNxq3Oq4Xgs9BCJw3au5PNBSJ%2FG8eVUAzFJ%2Bd2fzzlKMV3eYdJxoXfnEnfsAttlikIHiqIRYiM2O2Gt4yGHwHhvp0ybHcojU0b10PAvfQuOXQqsB1mNxSXeyCRDsXsCyje%2BMVmWQnWz5GSjmSyMmKel7pAZbDH1SJnaiVhq28hMa7CJUcVoZ9ZxU72YDfViXgSTqboLVqw8VmWhYce442KkdXKaTK5Id0semvV%2BLnatnunLIhfV6mrBLbMhfabJ6ZxanBgMo72l40%2B7F1HvW%2Fv5gjmwWXYJlKprVAp1mvQunCdKNtXkPdFdZkk8i490bvlMNQljfgMSi%2BW9ftcYMmDKMDKYeEeG6YfjnS8E1ZLTBVqaqpMk04ld7RGkPsO3hGnz675vjnFTnHuyb89mkaWYwyyfwvUU3QpHwThc3MFJUExacfpNz5saOMFDR12qDFYaaYAVvW2X2FPn1SG5VHk2O5hrxuNOznmnN12qFimAMvKEeRv3esJ9PLRuxpdjDXt%2F4H11Ir6KKyTR3KBVNMWrga3coL27dHSn5YHTdn3o%2BW0l9pWEe5VlN88P7a%2FmwL7LJx296mroXlU26i%2FhqbzjkygFeVC0CjUK4iCqos6N55dxfIg0M7qPn1%2F1AAxcUDzAKk9SgH4wNWGxMGluvL7j%2BdL3Ax5vJNtVx63KLl7l5nWimwz5OG3rhKTNmw9ifh0xMhaoxOH%2FB5FWdhg4j9h7pDfcL9xLFHC7KuFf4%2Fkt3t0MpcBXsqsok%2Fz44CV1C4TeSxjw0GMkKFrfIIfuU2cPwgKZWs8xEnSg%2FJ3XD5qrtd7vr4NHVR608u0vMHKSKi7zM5%2B4cL7ngrz0%2Fz2CH0MPbjuFXQsWhCl6xyUxxlc5KriSdd0cFsXPQ3gMoiA8txA%2FD2cpqGH8k1BGB%2F6%2Fn8XfLTOogSD8j3EKCiRZ5jXM%2F3Zeb7RubF7eHsTg7Wj%2B0PFm%2FnYZf3uKLK4%2FyvUbzj74B9b%2Bh%2FekcHwYtaTfPii10iFCj%2FcCvdMJGns1nzEnBEFUoHZcRfbPxbhEF%2FDPw7fMQXuhgMD973A%2B%2Fw7n1E9i%2BM8lxg8Ls7iJwi%2B672Z6%2FzH4%2BdOv"
Otevřením finální URL se spustí proces autorizace u NIA, jeho dokončením se vrátíte na tento tutoriál na Krok 3