Z kroku 1 jsme získali ověřenou URL adresu pro přesměrování uživatele na autorizaci
Nyní je třeba vytvořit autorizační požadavek a tento předat NIA IdP
private function generateAuthnRequest(EntityDescriptor $idp_descriptor)
{
// stejně jako v předchozích ukázkách, NiaContainer a NiaServiceProvider jsou
// implementace specifické pro vaši aplikaci / produkční prostředí
// jejich popis je mimo možnosti tohoto manuálu
$nia_container = new NiaContainer($this);
$service_provider = new NiaServiceProvider();
ContainerSingleton::setContainer($nia_container);
// získání url adresy, na kterou přesměrovat uživatele při metodě HTTP-REDIRECT
$urls = $this->extractSSOLoginUrls($idp_descriptor);
$sso_redirect_login_url = $urls[Constants::BINDING_HTTP_REDIRECT];
// samotný AuthnRequest
$auth_request = new AuthnRequest();
// unikátní ID
$auth_request->setId($nia_container->generateId());
// Issuer, neboli "Unikátní URL adresa zabezpečené části Vašeho webu"
$auth_request->setIssuer($nia_container->getIssuer());
// explicitní deklarace příjemce zprávy
$auth_request->setDestination($sso_redirect_login_url);
// adresa kam se má uživatel přesměrovat při dokončení procesu na straně IdP
$auth_request->setAssertionConsumerServiceURL(NiaServiceProvider::$AssertionConsumerServiceURL);
// vyžadovaná úroveň ověření identity
// LOW dovoluje využít NIA jméno+heslo+sms, stejně jako datovou schránku FO nebo identitu zahraničního občana
// SUBSTANTIAL pak dovoluje méně variant
// HIGH dovoluje pouze elektronický občanský průkaz
$auth_request->setRequestedAuthnContext([
'AuthnContextClassRef' => [NiaServiceProvider::LOA_LOW],
'Comparison' => 'minimum'
]);
// vygenerování nepodepsaného požadavku
$auth_request_xml_domelement = $auth_request->toUnsignedXML();
// přidání vyžadovaných atributů (informací o uživateli), element samlp:Extensions
$exts = new NiaExtensions($auth_request_xml_domelement);
$exts->addAllDefaultAttributes();
$auth_request_xml_domelement = $exts->toXML();
$auth_request_xml = $auth_request_xml_domelement->ownerDocument->saveXML($auth_request_xml_domelement);
$auth_request_xml_domelement = DOMDocumentFactory::fromString($auth_request_xml);
// vložení vlastního podpisu naším privátním klíčem
$auth_request_xml_domelement = $service_provider->insertSignature($auth_request_xml_domelement->documentElement);
return $auth_request_xml_domelement;
}
<?xml version="1.0"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_0eccb6a5-17a3-44af-b037-50b93e0fb54f" Version="2.0" IssueInstant="2020-08-03T19:01:42Z" Destination="https://tnia.eidentita.cz/FPSTS/saml2/basic" AssertionConsumerServiceURL="https://nia.otevrenamesta.cz/ExternalLogin">
<saml:Issuer>https://nia.otevrenamesta.cz/</saml:Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo><ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<ds:Reference URI="#_0eccb6a5-17a3-44af-b037-50b93e0fb54f"><ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></ds:Transforms><ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/><ds:DigestValue>mqj3rGqqs/sXtNOONs/n+TtSQqFPWr8/07XCuNQxkGE=</ds:DigestValue></ds:Reference></ds:SignedInfo><ds:SignatureValue>NrTMn7Iat5lyMjo8B2590N+s0XjNo8W+fDT1+zHZWbzLznkfMMmTaztl7EvW92lTHqaEthzR8k0r0B4lSyzDqcDphYZjpiQVnRIwLOLdTZlE/+u8qycI0hR1xuvYwc/m9s7LYTpTe7AoSu9/RA9FLljkz6JhgpgYA1PFK7zcCb2+HBaUWso2TyGC0eJUCdQD4K94oe623UO1V9NeX+eQelD73deJwtKsmdo9OT+CyJws+25DqdjKnijhPDM5tPHw7Up8iX+qWNwd0Q9RRDCO9aTr5G/UFrkbGdIrG4N2KO85lBSlm10wUGZMY8KplEwo9WS3jOFuFy2saDot5MNLBA==</ds:SignatureValue>
<ds:KeyInfo><ds:X509Data><ds:X509Certificate>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</ds:X509Certificate></ds:X509Data></ds:KeyInfo></ds:Signature>
<saml:Conditions>
<saml:AudienceRestriction>
<saml:Audience>https://nia.otevrenamesta.cz/ExternalLogin</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<samlp:RequestedAuthnContext Comparison="minimum">
<saml:AuthnContextClassRef>http://eidas.europa.eu/LoA/low</saml:AuthnContextClassRef>
</samlp:RequestedAuthnContext>
<samlp:Extensions xmlns:eidas="http://eidas.europa.eu/saml-extensions">
<eidas:SPType xmlns:eidas="http://eidas.europa.eu/saml-extensions">public</eidas:SPType>
<eidas:RequestedAttributes xmlns:eidas="http://eidas.europa.eu/saml-extensions">
<eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/age" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/countryCodeOfBirth" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/CurrentAddress" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/CurrentFamilyName" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/CurrentGivenName" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/DateOfBirth" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/eMail" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/isAgeOver" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<eidas:AttributeValue>18</eidas:AttributeValue>
</eidas:RequestedAttribute>
<eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/PersonIdentifier" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://schemas.eidentita.cz/moris/2016/identity/claims/idnumber" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://schemas.eidentita.cz/moris/2016/identity/claims/idtype" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://schemas.eidentita.cz/moris/2016/identity/claims/tradresaid" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
<eidas:RequestedAttribute Name="http://schemas.eidentity.cz/moris/2016/identity/claims/phonenumber" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
</eidas:RequestedAttributes>
</samlp:Extensions>
</samlp:AuthnRequest>
Adresa na kterou přesměrujeme uživatele se skládá následovně
// EntityDescriptor pro IdP
$idp_descriptor = generateIdpDescriptor();
// viz. výše
$authn_request = generateAuthnRequest($idp_descriptor);
// komprese a enkódování požadavku
$xml = $signed_request->ownerDocument->saveXML();
$query = gzdeflate($xml);
$query = base64_encode($query);
$query = urlencode($query);
// získání URL adresy
// $redirect_url je popsána v posledním bodě kroku 1
$final_url = $redirect_url . (parse_url($redirect_url, PHP_URL_QUERY) ? '&' : '?') . 'SAMLRequest=' . $query;
^ "https://tnia.eidentita.cz/FPSTS/saml2/basic?SAMLRequest=1Vhbl6I4F33vX%2BGyH1lVXARRV1fN4qaigMrF28u3IkRAuQdE%2FfUTrCq7uqbn9s3MmuknzUnOzs7JyckOX346x1HrBAsUpslTm36k2j89f%2FqCQBxlA6Eqg8SEeQVR2cLjEjS4dTy1qyIZpACFaJCAGKJB6Q4sQdcGzCM1yIq0TN00ar9z%2BW0PgBAsSkyg3VLlp%2Fb%2FKOi6uy7gHmgedB5YFuwfdlSHf%2BCoXb8Dqf2OY%2Fft1vKNNIbAjghVUE1QCZISmyiGeqB6D1THpvsDih6wzLbdkvE6wgSUN6%2BgLDM0IMkyCcEjDD2YlGEJHt0rOZxbtkU2tBlyhym77ZbwxlBKE1TFsLBgcQpd6JjaV6QGKC3hqYC3Jb6AKecSFgmItNQPk%2FbzLbKDG9ni%2BTcdv5Dvh37x0MAKfUy%2BKuBrYD30MjdGqOv6se48poVPMhRFkVSfxGM8FPqf28%2BfWq03d%2BipyT69oUkgSZPQBVF4vUVEh2WQei0h8tMiLIP4V7BpkqYa7Ad4dh9cmk0%2Bt8lmhq9z3Cj%2BYTSKfWP6EKcF%2FFwg8IACwHDdF9wG1YR7iGPjwpZjqk%2Ftz38sQW6rtAuQoH1axOjb5u8y%2ByaGMDnBKM2g94DeFojZ%2FTnA7wbuC%2FlLjnLo4xz4kwHE0fl8D9tXlCWIKvgc54dOMcpzRKJ1acxmBiITwi6tRT6cr4oeSfFrqTIW5%2BNIeboxeu98M9x34KX5IZXuu%2F7iYRS2nvAqKLnooh%2FSnshwfcogELU%2BGGlvRexlmyau4%2B1qd9WuyXGv67ENrmXEK6dVn4nscQ6UMriavSNVUCIbWZernLtyFmy2hyxcLBNTrbWZ5tnbSCGJqpdfXJUKTPpcnTa1S8Z9xGsbO7MhL6RW1SdNoT%2FUosPx2p0EfuZvBHo%2BnPJXV9oxxFgEzgqljH0ZSRScOJK3kNlpn01hl%2Bk4M3rZN%2BCagAsYyXzHg5O6nKLYS%2Fszm5AukxoRDCfn3mGahIdgLutcOR%2FXvJP1wjWRr4zaoxZ905SlWR%2FYBTcinWFx3I08tRixBjOd9bhItKKYpmpntNU3vWkWKXXaX1mdw2xYDS8MAnJacrqhicLT0z3072L9qYn%2FFF7ue7HmqL4MSnBvSE3h2uODXsJnXVVlT5YkIbr4Qq2Kgq%2BawryPnF3kaSzN6KySrZn9kpvXtbzYTKbpVg1OriEsFE1cCPVEVkJdEkYC7ShCXW%2FB2KTcsd7VLv2TN1oybrysNis6cjtmoMVGV7sKcFhT55mt1Lqs1DNbp%2FVDALANZ4bA6bZzt%2Bni4qwchIXoG0tR0HVpbXTdWC8x7vXG2VI%2FchIxJ9n3lbnQ9C9SCf8XBY2XCH8kL8fV1tpcGV3OGdoRSdhx1qHDa51wcjr1Rsp1koaEdQKV5JBOyKUjl6wZPd8ytMJ2O0AG3uGIzKElEv0rWdXMxUgAsXJLnzHTDSvpW8PLSP1c4Wy0%2B6SDS9J6OZ67OUrsZHk5TunFxjn1RDAaa4sxNTseSZ6wVmOT1PW1O%2BFntsqmddzbDc2pQc6HwCkly9icAyeZc3RerepzV1mn4%2FV2JeQkyW%2Bk7ZxYabznxkkesZPzIduOcjZSjVwaCb3VuqaUar1zEHcCx4izhrGsw2sczjhVCWn9yJ3iU5ftZ4zvADbPlnN%2FfAykfGaZIiUKUAm6nWCrU9yWGB%2FlXdfsLTeCN1x1topGReu6Jwm1IghgJiJZEgtbmDT7NDZ1RTgIgi5STU54sr9YiaI5UXNimMOTlCy5ivcr09yj3pGd7mJZ3N%2F8LF1ZyeLKF%2B1LplNUIncwicN6phazXtQ9D5Pr%2BQSUNJM2fz7nWNXxJJfPhsgkZiPxSICdxyNkAlXVaaVW6o28NKlIxGCSv1Gn9QbnkTPG56GWXvrmorCQBR8KukCNJCsfWequI%2BN8k2pHEFh8bhbi2KoncyuRuiOiz%2FfWpHZkHf1ML%2FR17GQnsErwidEvgutlJjL6JpqhcDLVNqEtjIfaWK6FIeV6JLM9u3U%2BrhhvzRzq5X6mENuOE4wVMT5p9lxc5P3upYsrBTs%2F8yTZ9RduMCWuislt97M5fxDy%2FBqqFWFVKnuedK6ir4x2bF10FG%2BRp4mRHLvFNuCrSZRIK5BuBcnnCKvPgynPj8HEP%2FI8Fw03gRxWC9GUu6OpNklzk96cfJoxDWpNOztpyQXOkHKUmT8OdoYRb1WnnxdTuJziW%2BEoW4er1zvLqtNVXa7u%2BFOLoiXoaguNJ0srC0nUWRP0nr3Yh%2FRaFblxcJa8L57dy8asCfaksABn5Jn0V96twn0sWnfjS1kj3xe8byriq7jCEs0LG0WDXg1C5YXN3WXiO60I3abrQ89vK7FvJNyrLLt7fmh%2FMwf5XT7Z4FVSQ%2B8msHF%2FCc9lS0rjDBQhasRpHCZhXMXtO8%2Bv46QIy2V8Hz%2B%2F6gEsXQF6hFWRZljHVqSWCmSU1nde3%2FF86fsVHm8km1UnjcBGr3LzNtFdhnyctnHC0ubNBzO%2FjRhYc3zE4f8HkVW7KHS%2FkO%2BR3nC%2Fci9xwHdVCf8az1%2FitQycAt%2FILlSmxfHRT08NEH4qkcCH7VaIGt%2BwgN5Tew8ihE2N5xALOlD%2BzsMHz9VYH%2Fa3wYOqCBv59hcYuWmVlMVFSj0424thUQb%2FHsGPoQf3nSJvBxZEGX7CpQkpVQU%2BcKXgeQVE6MchPARxGF0aiB%2BH8yg8weQHoYwL%2Fr%2Bfxd89ZlAHYfQf4xQiLFlmJ1j87bzeaN3ZvLw96N5baf7Q8Wb%2B5TL%2B9hSZ337U29ebffgPrP0P7wlyAxg3pN9%2FSorx4x3hdzrdJV%2FNF9KNQBgj3E6qePdjMS7xBfzj8C0L0FwoIPT%2BO5wvv8M5C9IE%2FnOJ8asHE91F4Vfddze9%2Fw78%2FOln"
Otevřením finální URL se spustí proces autorizace u NIA, jeho dokončením se vrátíte na tento tutoriál na Krok 3