Informace o testovacím SeP - Service Provider

SeP (Service Provider) - tedy aplikace která poskytuje služby přihlášeným uživatelům a má právo (právní nárok) identifikovat uživatele pomocí služeb NIA IdP

SeP typicky konfigurační informace poskytovateli (IdP) předává v požadavku, kvůli bezpečnosti se však v případě NIA tyto údaje konfigurují staticky na webovém rozhraní eIdentita.cz

Jak se stát Poskytovatelem Služeb (SeP)

• Pokud jste OVM (orgán státní moci nebo státem zřizovaná instituce) - stačí se přihlásit datovou schránkou vašeho statutárního orgánu (starostka, ředitel, ...) na stránkách eIdentita.cz, dole na stránce odkazem Přihlásit se jako poskytovatel služby
   
• Pokud jste soukromoprávní subjekt (firma nebo osvč), musíte nejdříve požádat o povolení, dle zákonem definovaného důvodu, který vás opravňuje vyžadovat ověřenou identitu, pak je proces stejný (přihlášení datovou schránkou statutárního orgánu, úroveň "Oprávněná osoba")
   
  • Volnou formou můžete požádat na e-mailové adrese: eidentita@szrcr.cz
  • E-mailová diskuze k oprávněnosti soukromoprávních subjektů (MVČR) zde https://github.com/smarek/e-referendum.cz/issues/1

Základy vytvoření SeP

Pro začátek screenshot z konfiguračního rozhraní SeP na portálu https://twww.identitaobcana.cz/ (testovací prostředí)

Popis jednotlivých parametrů

Adresa pro načtení veřejné části certifikátu z metadat (URL)

• SeP může ale nemusí vystavit svou vlastní konfiguraci (například https://nia.otevrenamesta.cz/SeP/Konfigurace.xml )
• Součástí konfigurace je i certifikát, kterým se na straně NIA IdP šifrují odpovědi
• Pokud je tato konfigurace vč. certifikátu, lze jej použít pro dynamickou aktualizaci certifikátu, místo statické konfigurace na portále eIdentita
• Formát metadat je SAML2.0 EntityDescriptor, v dokumentaci eIDAS Message Format v1.2.pdf , příklad v sekci 6.1, popisující formát metadat na straně SeP

Adresa pro příjem vydaného tokenu (AuthResponse)

• URL na kterou bude přesměrován uživatel, která zajistí verifikaci a použití vráceného SAML AuthResponse
• Použitá metoda bude HTTP-REDIRECT nebo HTTP-POST (dle IdP metadat SingleSignOnService )
• V SAML2 AuthnRequest jde o parametr Audience

Adresa pro přesměrování uživatele po odhlášení (LogoutResponse)

• URL na kterou bude uživatel přesměrován po odhlášení
• Použitá metoda bude HTTP-REDIRECT

Unikátní URL adresa zabezpečené části Vašeho webu

• Nejedná se o nutně existující URL adresu, ale především o unikátní identifikátor SeP
• V SAML2 AuthnRequest jde o parametr Issuer