Unable to validate Signature

Implementace(2) - Vytvoření požadavku (AuthnRequest)

Z kroku 1 jsme získali ověřenou URL adresu pro přesměrování uživatele na autorizaci

Nyní je třeba vytvořit autorizační požadavek a tento předat NIA IdP

Postup

  1. Vytvoření XML požadavku na autorizaci
  2. Podepsání požadavku
  3. Získání finální podoby požadavku
  4. Přesměrování uživatele

Vytvoření a podepsání XML požadavku na autorizaci

    
    private function generateAuthnRequest(EntityDescriptor $idp_descriptor)
    {
        // stejně jako v předchozích ukázkách, NiaContainer a NiaServiceProvider jsou
        // implementace specifické pro vaši aplikaci / produkční prostředí
        // jejich popis je mimo možnosti tohoto manuálu
        $nia_container = new NiaContainer($this);
        $service_provider = new NiaServiceProvider();
        ContainerSingleton::setContainer($nia_container);

        // získání url adresy, na kterou přesměrovat uživatele při metodě HTTP-REDIRECT
        $urls = $this->extractSSOLoginUrls($idp_descriptor);
        $sso_redirect_login_url = $urls[Constants::BINDING_HTTP_REDIRECT];

        // samotný AuthnRequest
        $auth_request = new AuthnRequest();
        // unikátní ID
        $auth_request->setId($nia_container->generateId());
        // Issuer, neboli "Unikátní URL adresa zabezpečené části Vašeho webu"
        $auth_request->setIssuer($nia_container->getIssuer());
        // explicitní deklarace příjemce zprávy
        $auth_request->setDestination($sso_redirect_login_url);
        // adresa kam se má uživatel přesměrovat při dokončení procesu na straně IdP
        $auth_request->setAssertionConsumerServiceURL(NiaServiceProvider::$AssertionConsumerServiceURL);
        // vyžadovaná úroveň ověření identity
        // LOW dovoluje využít NIA jméno+heslo+sms, stejně jako datovou schránku FO nebo identitu zahraničního občana
        // SUBSTANTIAL pak dovoluje méně variant
        // HIGH dovoluje pouze elektronický občanský průkaz
        $auth_request->setRequestedAuthnContext([
            'AuthnContextClassRef' => [NiaServiceProvider::LOA_LOW],
            'Comparison' => 'minimum'
        ]);

        // vygenerování nepodepsaného požadavku
        $auth_request_xml_domelement = $auth_request->toUnsignedXML();
        // přidání vyžadovaných atributů (informací o uživateli), element samlp:Extensions
        $exts = new NiaExtensions($auth_request_xml_domelement);
        $exts->addAllDefaultAttributes();
        $auth_request_xml_domelement = $exts->toXML();

        $auth_request_xml = $auth_request_xml_domelement->ownerDocument->saveXML($auth_request_xml_domelement);
        $auth_request_xml_domelement = DOMDocumentFactory::fromString($auth_request_xml);

        // vložení vlastního podpisu naším privátním klíčem
        $auth_request_xml_domelement = $service_provider->insertSignature($auth_request_xml_domelement->documentElement);

        return $auth_request_xml_domelement;
    }
    

AuthnRequest - obsah požadavku

Důležité náležitosti AuthnRequest
  • samlp:Issuer - obsahuje identifikátor SeP dle konfigurace v administraci NIA
  • samlp:AuthnRequest atribut AssertionConsumerServiceURL - obsahuje URL kam se přesměruje uživatel po dokončení procesu u IdP
  • samlp:RequestedAuthnContext - obsahuje požadovanou úroveň jistoty identifikace uživatele
  • eidas:RequestedAttributes - obsahuje seznam požadovaných informací o identitě, a zda jsou tyto vyžadovány (atribut isRequired) či nikoliv
  • Požadavek musí být podepsán privátním klíčem, který odpovídá certifikátu v SeP metadatech (příp. v konfiguraci SeP v administraci NIA)
    
<?xml version="1.0"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_1dc9f632-7166-436b-a454-8d21cf7c14f0" Version="2.0" IssueInstant="2022-09-26T13:57:04Z" Destination="https://tnia.identitaobcana.cz/FPSTS/saml2/basic" AssertionConsumerServiceURL="https://nia.otevrenamesta.cz/ExternalLogin">
  <saml:Issuer>https://nia.otevrenamesta.cz/</saml:Issuer>
  <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
  <ds:SignedInfo><ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
    <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
  <ds:Reference URI="#_1dc9f632-7166-436b-a454-8d21cf7c14f0"><ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></ds:Transforms><ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/><ds:DigestValue>zGUhdyuIP85bx2//dR1V65Rn6l8MpRjpKxAZoyX7lMI=</ds:DigestValue></ds:Reference></ds:SignedInfo><ds:SignatureValue>bDHz8/uYQHqH4p25OrrlCM0xDReqnybrsV2xcE931jTRS+ZKMZvu7XhvYuksujIN5YxzZISGdeUfV27Duton3CVymP5rG8DAiV21CFY//nVcHnWDOUxNVgitCBO9HiIgPElg0wXZoL+h0m18JKAy9ogE3cjIX5LRQoH71+0li9FaVAAcuBAYpew3FzvRA4tkWiPdPd8lmolkJsRhjT9MMVEIYMgHqQKTzmEf+/NRUJr6ZiVulV5tyqBk+uZqPxyBStur6Hj1fU/kTcxO6xTfCGyYyS4FmsmFiwlXappIoRp4Lgwv82hcuM+KunMHhNqBwP6GQf7XAA/KGq/0JPLSTA==</ds:SignatureValue>
<ds:KeyInfo><ds:X509Data><ds:X509Certificate>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</ds:X509Certificate></ds:X509Data></ds:KeyInfo></ds:Signature>
  <saml:Conditions>
    <saml:AudienceRestriction>
      <saml:Audience>https://nia.otevrenamesta.cz/ExternalLogin</saml:Audience>
    </saml:AudienceRestriction>
  </saml:Conditions>
  <samlp:RequestedAuthnContext Comparison="minimum">
    <saml:AuthnContextClassRef>http://eidas.europa.eu/LoA/low</saml:AuthnContextClassRef>
  </samlp:RequestedAuthnContext>
  <samlp:Extensions xmlns:eidas="http://eidas.europa.eu/saml-extensions">
    <eidas:SPType xmlns:eidas="http://eidas.europa.eu/saml-extensions">public</eidas:SPType>
    <eidas:RequestedAttributes xmlns:eidas="http://eidas.europa.eu/saml-extensions">
      <eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/age" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/countryCodeOfBirth" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/CurrentAddress" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/CurrentFamilyName" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/CurrentGivenName" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/DateOfBirth" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/eMail" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <eidas:RequestedAttribute Name="http://www.stork.gov.eu/1.0/isAgeOver" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
        <eidas:AttributeValue>18</eidas:AttributeValue>
      </eidas:RequestedAttribute>
      <eidas:RequestedAttribute Name="http://eidas.europa.eu/attributes/naturalperson/PersonIdentifier" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <eidas:RequestedAttribute Name="http://schemas.identitaobcana.cz/moris/2016/identity/claims/idnumber" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <eidas:RequestedAttribute Name="http://schemas.identitaobcana.cz/moris/2016/identity/claims/idtype" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <eidas:RequestedAttribute Name="http://schemas.identitaobcana.cz/moris/2016/identity/claims/tradresaid" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <eidas:RequestedAttribute Name="http://schemas.eidentity.cz/moris/2016/identity/claims/phonenumber" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
    </eidas:RequestedAttributes>
  </samlp:Extensions>
</samlp:AuthnRequest>
    

Získání finální podoby požadavku

Adresa na kterou přesměrujeme uživatele se skládá následovně

  • IdP SSO HTTP-REDIRECT binding URL adresa (viz. IdP Metadata, element SingleSignOnService)
  • GET parametr SAMLRequest
  • AuthnRequest požadavek, s validním obsahem, podepsaný, zkomprimovaný (gzdeflate), enkódovaný (base64) a url-enkódovaný (urlencode)

    // EntityDescriptor pro IdP
    $idp_descriptor = generateIdpDescriptor();
    // viz. výše
    $authn_request = generateAuthnRequest($idp_descriptor);
    // komprese a enkódování požadavku
    $xml = $signed_request->ownerDocument->saveXML();

    $query = gzdeflate($xml);
    $query = base64_encode($query);
    $query = urlencode($query);

    // získání URL adresy
    // $redirect_url je popsána v posledním bodě kroku 1
    $final_url = $redirect_url . (parse_url($redirect_url, PHP_URL_QUERY) ? '&' : '?') . 'SAMLRequest=' . $query;

Obsah finální URL (vygenerováno právě teď):

^ "https://tnia.identitaobcana.cz/FPSTS/saml2/basic?SAMLRequest=1Vhbl6K4Fn7vX%2BGyH11VXERQV1fNChcFFS8geHk5K0IElHtA0F9%2FolVlV1f33M7MrDn9pNnJ%2FvJlZ%2B%2FkC19%2BqaOwcUI5DpL4qck80s1fnj99wTAK0z4oCz82UFYiXDTIuBj3bx1PzTKP%2BwnEAe7HMEK4Xzh9E%2BiTPvtI99M8KRInCZvvXH7bA2KM8oIQaDY0%2Ban5H8Z1enu%2BzT4IDM8%2FcG1%2B9wC5DvfQdVnG2QsOw%2B3pZsN%2BI00giCPGJdJiXMC4ICaaZR%2Fo3gPLL5l2vyP0aW7bbMhkHUEMi5uXXxQp7lNUEQfwMXBRXAQFTHYOjOGjc6EGc3NpUlfuLLUjvJ1mA7zRlJIYlxHKTZSfAgdZxuQr3BUtKdApR7d1FjcwpS5QHsNwknhB3Hy%2Bhbd%2FY5w%2F%2F6bjF%2Br90C8u7puBR1ZQ5ug1ui5%2BmZsgVFX1WLUfk9yjWJqmKbpHkTEuDrzPzedPjcabO3K1eJ%2Fc0CQYJ3HgwDC43MKio8JP3AYIvSQPCj%2F6FWyGYugr9gOqnQeyHfHnJnWd4escN4p%2FGI3m3pg%2BREmOPucYPmAfsh3%2BBfeKaqA9IrFxUMMytKfm5z%2BWJbdVLnMY432SR%2Fjb5u8y%2ByaGKD6hMEmR%2B4DfFkjY%2FTnAHwbuC%2FU9RznwSA78yQCS6Hy%2Bh%2B0rig3DEj1fhpbvnktt3u3sapaiXIOx%2BY4R82FXT41DOq7BNjmvhVDXnm6M3jvfDPcdeGl%2BSKX7rr947GT10qXKzULNVC5lO7M8DyWdrmVynsTnXY5ttnaUXps5LA2ztR3r21MprP3Tpjzi8qBNO5v6stXMoYusvc0KclkkcVuyz9G8kw%2B7MghslpEGG1I3tqPGK3lm1VPbCwpJnPXUQPPmSujR1XqbTFo%2BHTHd0Rice4mntJ2Dtu5MjEWiCkyLDoPeANoAOKUINimq2oPLyQBccVwFc3fudsMoCY8jbPiHZU%2FXbUXb6J6aLcbLS6TsW9TUsEY5vw3sMrQ7xTkTj61ym83rs2iSUPDqgdlb1HHp1DO%2BXu6l4XlzNrlBhKNBUIVrmKZaYqTcxKtOXdZ3Sr01LmNd9aeZWM354WIvrAGgxsOMokfzibkET0%2F30L%2BL9adr%2FMfofN%2BLdYfuybCA94Z0Pbj2pNAL9KxrmuzKkgTCswcqTQSeZoB5D1u70J1wDKtzSrpm93ZnXlXyYjMaJ1vNPzlTsFAm4gJUI1kJdAkMAWMpoKq2UDVoR9X5ybl3coc260R2uVkxodM2%2FEk05ScXgAYVXc%2BWSqXLSjVb6ox%2B8CGxnfUD6OhL627TxUWtHMBC9Ka2CHRdWk95J9ILgnu5cTa1j5xEwkn2PGUOrv2LRCL%2FRTARpJY3lG213JqbC6vLGctYIoXa1jqwhEk7GJ1O3aFyGSVByzzBUrIoK%2BgkQ4eqWD3bsozC8W0oQ%2FdwxMbAFFu9C1VW7Hkaw9bKKTzWSDacpG%2BnbkrpdRkb2rJHWTRy1rY6dzIcL2P7fBwzi4116opwqE4WKj07HimhZa5Ug9L1tTMSZkuNS6qouxsY4yk1H0CrkMzppvateN5hsnJV1byyTtT1dgUyihI20nbeWk0E14niLORG9SHdDjMu1KaZNATd1bqilXK9s3DnBI9hxxxEso4uUTDraErA6MfOKTrxXC9lPQtyWWrPPfXoS9nMNERaBEjx%2Bba%2F1enOtqUe5R1vdO0NcAer9laZ0OG66kqgUgCAMxHLkpgvwei6T6qhK%2BAAgC7S15xwZW%2BxEkVjpGWtQYZOUmx3SsErDWOPu0duvItkcX%2FzM3VlJYsrT1yeU52mY7lNSBzWMy2fdUO%2BHsSX%2BgSVJJU2fz7nOM1yJUdIB9hozYakLOHOFTA2oKbpjFIp1Ua2DToUCZjkbbRxtSF5ZKmkHirppW8ugoUMPAR0QA8lMxua2q4tk3yTKgsAjtTNQlTNajQ3Y4kftnpCd01Njpyl18xCX0dWeoKrmFSMfgaOmxp42jPwDAej8WQTLIE6mKhyBQa041LstnaqTC1Zd80eKns%2FU1rbtuWrihidJsu5uMh6%2FJlnxzNuXgsUxXsLxx%2B3LorR2e5nc%2BEAsuwSaGXLLDWuHrUvoqcMd1yVtxV3kSXxND7y%2BdYXylEYSyuYbIHkdVpmT4BjQVDhyDsKQiccbHw5KBeiIfPD8WSUZAazOXkMa0zpNWPtJLvjWwPaUmae6u%2Bm02irWb0sHyN7TG6Fo2weLm63ljWL15xO1fbGJs1IyJksJgJVmGlA4fa6xey58%2FKQXMo8mx4sW%2FDE2jlvjKrFnRQOkoysKW%2Fl3k64j4fW3fhyrFHvD7xvTsRXcUUkmhtcFQ1%2BNYDSDa53l0HutDxwrl0fen5biX0j4V5l2d3zQ%2FubOagf8kn7r7oauTeVTfoLVBcNKYlSmAf4qlCjIA6iMmreeX4dJ4VEM5P7%2BPlVD6DAhfgRlXmSQvJDTRJAhUl15%2FUDz5e%2BX%2BHxRvK66viqsvGr3LxNdJchH6e9OhFp8%2BZDmN9G9M05KXH0v0Gk5S4MnC%2FUe6Q33K%2FcCxLwXVmgv8bze7zGlKTAN7ILF0l%2BfPSS0xWIvJco6KFmI8BX3yBH7lNzD0NMTFfPARF0sPid1w%2BZ62p92N8G98s8uMq3v8DIScq4yM9S4qLZXgzywv%2F3CH4MPbzvFHUrWBim5B2XxJRU5qTgCuC6OcL45yE8gFEQnq8QPw%2FnYXBC8U9CmRz4%2F34W%2F7DMkA6D8P%2BMU4CJZJmdUP6383qjdWfz8vZgum9H84eON%2FP3y%2FjbU2R%2B%2B9Fu33D2wT%2Bw9j%2B8J9jxUURIf%2F89KSIveEwe6wxPvXaeKSeEQYRJOy6j3U9IuyBX8U9Gusjh9X6BgfvvE0dv5H6Hc%2BonMfrnUuRX6xTfNeJXGXg3vf82%2FPzpvw%3D%3D"

Další krok

Otevřením finální URL se spustí proces autorizace u NIA, jeho dokončením se vrátíte na tento tutoriál na Krok 3