[PHP]SAML w PHP Opcje

[slawek3422]

Cześć.
Robię integrację urzędowej strony z Profilem Zaufanym. Ogarnąłem już wysyłanie koperty AuthnRequest, ładnie wyskakuje panel logowania do profilu zaufanego, po poprawnej autoryzacji PZ wysyła POST'em parametr SAMLart.

Problem polega na tym, że nie do końca wiem jak go przejąć. Firefox pokazuje ten parametr w konsoli. Za każdym razem jest inny. Przejęcie tego parametru jest wymagane do dokończenia dalszej komunikacji z PZ.

Próbowałem już z gotowymi bibliotekami jak php-saml ale dokumentacja nie pokazuje przykładów użycia i jestem w kropce.

https://github.com/onelogin/php-saml/blob/m...mo2/consume.php

Tam jest obsługa $_POST['SAMLResponse']... zmieniłem odpowiednio na SAMLart ale skrypt pokazuje że nie ma nic w tablicy POST ...

Może ktoś to już robił i może podpowiedzieć w jaki sposób przejąć w PHP odpowiedź SAML?

Ten post edytował slawek3422 10.05.2020, 13:46:35

[Pyton_000]

Czytałeś? http://www.extern.pl/artykuly/sso_epuap/

[slawek3422]

Tak czytałem. Tam jest opisana integracja ze stary ePUAP'em. Wtedy było prościej bo SAMLart leciał GET'em

Tak kto wygląda:

[Pyton_000]

Ale jakie to ma znaczenie, skoro musisz wziąć ten parametr,wepchać go do koperty i puścić przeze soap ?
Ew pokaż z której dokumentacji korzystasz.

[slawek3422]

ePUAP 1 był prostszy w integracji i mniej zabezpieczony. Wszystkie manuale, które są w sieci odnoszą się właśnie do starego ePUAPU. COI zamieściło na stronie ePUAP instrukcję dla integratorów ale zawierają one jedynie przykłady kopert SOAP ale tak tylko po łebkach, bo nie doszukałem się istotnych informacji np. które węzły podpisywać.

Jakby to było takie proste że wrzucam sobie $_POST['SAMLart'] do koperty SOAP to już dawno mam temat pozamiatany. Z tego co się doczytałem przez weekend i dziś od rana też to trzeba zrobić HTTP-POST binding.

Takie wywołanie na pewno nie działa:

[PHP] pobierz, plaintext 
$SAMLart = @$_POST['SAMLart'];
if (!empty($SAMLart)) {
echo 'SAMLart: ', $SAMLart;
die();
}   else    {
    echo "Brak SAMLart";
}
[PHP] pobierz, plaintext 

[Pyton_000]

a co jest w

Kod

var_dump(file_get_contents('php://input'));

Edited:

https://epuap.gov.pl/wps/wcm/connect/fecfa2...pdf?MOD=AJPERES

Na stronie 20 jest przykładowa koperta do wysłania ArtifactResolve

Ten post edytował Pyton_000 11.05.2020, 11:58:20

[slawek3422]

[PHP] pobierz, plaintext 
string(0) "" 
[PHP] pobierz, plaintext 

Mam tą instrukcję. Tak jak pisałem - to jest tylko przykład koperty, brak jest informacji jak wyciągnąć dane, które należy włożyć do odpowiednich węzłów, a jak widzisz, SAMLart należy włożyć do <saml2p:Artifact></saml2p:Artifact>

Widzę SAMLart w Firefoxie ale nie wiem jak go przejąć

[Pyton_000]

Pokaż jeszcze output z $_SERVER
Generalnie SAMLArt powinno być normalnie w POST może gdzieś jakiś redirect robi ci się i traci post

[slawek3422]

[PHP] pobierz, plaintext 
Array
(
    [HTTPS] => on
    [SSL_SERVER_S_DN_OU] => Domain Control Validated
    [SSL_SERVER_S_DN_OU_1] => PositiveSSL
    [SSL_SERVER_S_DN_CN] => ...
    [SSL_SERVER_I_DN_C] => GB
    [SSL_SERVER_I_DN_ST] => Greater Manchester
    [SSL_SERVER_I_DN_L] => Salford
    [SSL_SERVER_I_DN_O] => Sectigo Limited
    [SSL_SERVER_I_DN_CN] => Sectigo RSA Domain Validation Secure Server CA
    [SSL_SERVER_SAN_DNS_0] =>...
    [SSL_SERVER_SAN_DNS_1] => ...
    [SSL_VERSION_INTERFACE] => mod_ssl/2.4.43
    [SSL_VERSION_LIBRARY] => OpenSSL/1.1.1c
    [SSL_PROTOCOL] => TLSv1.3
    [SSL_SECURE_RENEG] => false
    [SSL_COMPRESS_METHOD] => NULL
    [SSL_CIPHER] => TLS_AES_128_GCM_SHA256
    [SSL_CIPHER_EXPORT] => false
    [SSL_CIPHER_USEKEYSIZE] => 128
    [SSL_CIPHER_ALGKEYSIZE] => 128
    [SSL_CLIENT_VERIFY] => NONE
    [SSL_SERVER_M_VERSION] => 3
    [SSL_SERVER_M_SERIAL] => F7DF740FA9D88BB3272B2E034AF1A385
    [SSL_SERVER_V_START] => Jul 16 00:00:00 2019 GMT
    [SSL_SERVER_V_END] => Jul 15 23:59:59 2020 GMT
    [SSL_SERVER_S_DN] => CN=...,OU=PositiveSSL,OU=Domain Control Validated
    [SSL_SERVER_I_DN] => CN=Sectigo RSA Domain Validation Secure Server CA,O=Sectigo Limited,L=Salford,ST=Greater Manchester,C=GB
    [SSL_SERVER_A_KEY] => rsaEncryption
    [SSL_SERVER_A_SIG] => sha256WithRSAEncryption
    [SSL_SESSION_ID] => 8c32e90de377c1a39cc3050642c1d30886dafc55bdb1baa83b36947f3449c292
    [SSL_SESSION_RESUMED] => Resumed
    [HTTP_HOST] => ...
    [HTTP_USER_AGENT] => Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0
    [HTTP_ACCEPT] => text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
    [HTTP_ACCEPT_LANGUAGE] => pl,en-US;q=0.7,en;q=0.3
    [HTTP_ACCEPT_ENCODING] => gzip, deflate, br
    [HTTP_REFERER] => <a href="https://pz.gov.pl/dt/SingleSignOnService" target="_blank">https://pz.gov.pl/dt/SingleSignOnService</a>
    [HTTP_CONNECTION] => keep-alive
    [HTTP_COOKIE] => PHPSESSID=05cm9pdv21amnvj85cfn0tghpo
    [HTTP_UPGRADE_INSECURE_REQUESTS] => 1
    [PATH] => /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin
    [LD_LIBRARY_PATH] => /usr/local/apache/lib
    [SERVER_SIGNATURE] => 
    [SERVER_SOFTWARE] => Apache/2.4.43 (Unix) OpenSSL/1.1.1c PHP/7.4.5
    [SERVER_NAME] => ...
    [SERVER_ADDR] => ...
    [SERVER_PORT] => 443
    [REMOTE_ADDR] => ...
    [DOCUMENT_ROOT] => /usr/local/apache/htdocs
    [REQUEST_SCHEME] => https
    [CONTEXT_PREFIX] => 
    [CONTEXT_DOCUMENT_ROOT] => /usr/local/apache/htdocs
    [SERVER_ADMIN] => ...
    [SCRIPT_FILENAME] => /usr/local/apache/htdocs/callback/index.php
    [REMOTE_PORT] => 51231
    [GATEWAY_INTERFACE] => CGI/1.1
    [SERVER_PROTOCOL] => HTTP/1.1
    [REQUEST_METHOD] => GET
    [QUERY_STRING] => 
    [REQUEST_URI] => /callback/
    [SCRIPT_NAME] => /callback/index.php
    [PHP_SELF] => /callback/index.php
    [REQUEST_TIME_FLOAT] => 1589196112.487
    [REQUEST_TIME] => 1589196112
)
[PHP] pobierz, plaintext 

Robiłem też tak, że przy wywołaniu skryptu miał mi zrzucać $_POST do pliku, też pomyślałem o przekierowaniu. Plik był pusty ...

[Pyton_000]

Kod

[REQUEST_METHOD] => GET

Więc to nie jest POST

Widnieje za to nagłówek HTTP_UPGRADE_INSECURE_REQUESTS
Czyli respons prawdopodobnie leci na GET http:// z rządaniem do https

Zrób sobie w pliku:

Kod

file_put_content('output.log', var_export($_POST, true), FILE_APPEND);

i zobacz czy coś masz.

[slawek3422]

Zawartość pliku:

[PHP] pobierz, plaintext 
array (
)
[PHP] pobierz, plaintext 

Temat do zamknięcia.
Okazało się że powodem problemów był Apache. Po odwiedzeniu adresu http://www.......pl/callback apache dodawał na końcu slash a pod spodem robił przekierowanie 301.
Wystarczyło to wyłączyć i SAMLart już jest w tablicy POST
Dziękuję Pyton_000 za poświęcony czas i energię

[Pyton_000]

Jak to zwykle bywa - pierdoła a krwi napsuje.