SeP metadata funkcionalita

[vencax]

https://nia.otevrenamesta.cz/sep-info-metadata

[smarek]

poznámky:

Viz. funkční example https://nia.otevrenamesta.cz/SeP/Konfigurace.xml

podle ticketu 48620 od supportu eidentita.cz

očekáváme atribut <md:KeyDescriptor use='encryption'> místo <md:KeyDescriptor use='signing'>

Kromě standardních metadat SAML 2.0, a toho že dokument metadat by měl být podepsaný klíčem, který je shodný s klíčem, který se používá pro podepsání požadavků SeP vůči IdP, je potřeba publikovat KeyDescriptor s účelem 'encryption', tak aby daný certifikát portál NIA dokázal načíst, místo nahrávání certifikátu ze souboru

md:Organization a md:ContactPerson a další jsou pro NIA nepovinné, ale dobré pokud jsou metadata využívána i vůči jiným IdP

Obecně se NIA ve smyslu eIDAS metadaty v podstatě neřídí, a používá je jen pro jednorázové načtení certifikátu SeP (což se může v budoucnu změnit), všechny důležité parametry aplikace jsou pak natvrdo konfigurované v rozhraní TNIA/NIA (Issuer, Audience, AssertionConsumerService) a při key-rolloveru na straně SeP se musí v administraci znovu klíč z metadat načíst, klíč IdP je pak podepsán CA, a předpokládá se že SeP důvěřuje CA a neprování Certificate-Pinning (HPKP nebo obdoby)