4.2. Implementace pomocí SAML¶
SAML je protokol, který historicky předchází moderním protokolům OpenID. Pokud váš systém již podporuje SAML (například se jedná o instalaci systému Shibboleth nebo podobných) je možné využít pro napojení na MojeID i tohoto protokolu.
Implementace protokolu SAML 2.0 vychází ze specifikací na https://wiki.oasis-open.org/security/FrontPage
Pro napojení na MojeID je nutné zaslat metadata služby na adresu techsupport@mojeid.cz a případně zaregistrovat metadata MojeID, která jsou uvedena na https://mojeid.cz/saml/idp.xml. Certifikát uvedený v metadatech se může změnit a proto je potřeba čas od času tato metadata aktualizovat. Pro ověření podpisu metadat je možné použít certifikát na https://mojeid.cz/saml/cert.
Jelikož jsou SAML zprávy base64-encoded a deflated, můžete si je za účelem odlaďování převést do čitelného XML např. pomocí nástroje https://www.samltool.com/decode.php.
Seznam údajů, které mohou být protokolem předány, (vč. jejich identifikátorů) obsahuje Příloha č. 3 – Seznam údajů pro předání (SAML) a Příloha č. 4 – Seznam údajů pro předání (SAML specs.nic.cz).
Příklady a řešení chybových hlášek obsahuje Příloha č. 6 – Příklady a řešení chybových hlášek.
4.2.1. Žádost o ověření identity účtem napojeným na NIA¶
Žádost o ověření identity účtem MojeID napojeným na NIA se vyžádá
pomocí třídy AuthnContextClassRef
(Authentication Context
Class Reference). Hodnoty pro vyžádání konkrétní
úrovně záruky shrnuje tabulka níže.
AuthnContextClassRef |
Popis |
---|---|
|
eIDAS úroveň záruky „značná“ |
|
eIDAS úroveň záruky „vysoká“ |
Příklad použití:
<saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
http://eidas.europa.eu/LoA/substantial
</saml:AuthnContextClassRef>