Informace o testovacím SeP - Service Provider

SeP (Service Provider) - tedy aplikace která poskytuje služby přihlášeným uživatelům a má právo (právní nárok) identifikovat uživatele pomocí služeb NIA IdP

SeP typicky konfigurační informace poskytovateli (IdP) předává v požadavku, kvůli bezpečnosti se však v případě NIA tyto údaje konfigurují staticky na webovém rozhraní eIdentita.cz

Jak se stát Poskytovatelem Služeb (SeP)

  • Pokud jste OVM (orgán státní moci nebo státem zřizovaná instituce) - stačí se přihlásit datovou schránkou vašeho statutárního orgánu (starostka, ředitel, ...) na stránkách eIdentita.cz, dole na stránce odkazem Přihlásit se jako poskytovatel služby
     
  • Pokud jste soukromoprávní subjekt (firma nebo osvč), musíte nejdříve požádat o povolení, dle zákonem definovaného důvodu, který vás opravňuje vyžadovat ověřenou identitu, pak je proces stejný (přihlášení datovou schránkou statutárního orgánu, úroveň "Oprávněná osoba")
     

Základy vytvoření SeP

Pro začátek screenshot z konfiguračního rozhraní SeP na portálu https://twww.eidentita.cz/ (testovací prostředí)

SeP ukázková konfigurace

Popis jednotlivých parametrů

Adresa pro načtení veřejné části certifikátu z metadat (URL)

  • SeP může ale nemusí vystavit svou vlastní konfiguraci (například https://nia.otevrenamesta.cz/SeP/Konfigurace.xml )
  • Součástí konfigurace je i certifikát, kterým se na straně NIA IdP šifrují odpovědi
  • Pokud je tato konfigurace vč. certifikátu, lze jej použít pro dynamickou aktualizaci certifikátu, místo statické konfigurace na portále eIdentita
  • Formát metadat je SAML2.0 EntityDescriptor, v dokumentaci eIDAS Message Format v1.2.pdf , příklad v sekci 6.1, popisující formát metadat na straně SeP

Adresa pro příjem vydaného tokenu (AuthResponse)

  • URL na kterou bude přesměrován uživatel, která zajistí verifikaci a použití vráceného SAML AuthResponse
  • Použitá metoda bude HTTP-REDIRECT nebo HTTP-POST (dle IdP metadat SingleSignOnService )
  • V SAML2 AuthnRequest jde o parametr Audience

Adresa pro přesměrování uživatele po odhlášení (LogoutResponse)

  • URL na kterou bude uživatel přesměrován po odhlášení
  • Použitá metoda bude HTTP-REDIRECT

Unikátní URL adresa zabezpečené části Vašeho webu

  • Nejedná se o nutně existující URL adresu, ale především o unikátní identifikátor SeP
  • V SAML2 AuthnRequest jde o parametr Issuer