Configuration d'un fournisseur OpenID Connect pour l'acceptation de demandes de reconnaissance
Le noeud final de configuration de reconnaissance donne accès à des informations concernant les fonctions prises en charge par le serveur du fournisseur OpenID.
Pourquoi et quand exécuter cette tâche
Les métadonnées qui sont renvoyées par ce service utilisent comme base et étendent les métadonnées du fournisseur de spécification OIDC Discovery 1.0. Ce service renvoie un ensemble de configurations par défaut si rien n'est indiqué. Dans les autres cas, consultez la liste des propriétés afin de comprendre leur objet et les options de configurable possibles.
Procédure
Nom d'attribut | Type de données | Obligatoire/Facultatif | Description |
---|---|---|---|
responseTypesSupported | Entrée | Facultatif | Types de réponse qui sont acceptés par le
serveur
de fournisseur OpenID Connect. Sauf indication contraire, les valeurs
par défaut sont code, token et id_token token. Plusieurs
valeurs peuvent être indiquées. Ces valeurs sont des chaînes. Par exemple, les valeurs possibles sont les suivantes :
|
subjectTypesSupported | Sortie uniquement | N/A | Types de sujet qui sont acceptés par serveur de fournisseur OpenID Connect. Cette valeur est définie sur public. Il s'agit d'une chaîne. |
idTokenSigningAlgValuesSupported | Sortie uniquement | Facultatif | Algorithmes de signature des jeton d'ID
qui sont acceptés par le serveur de
fournisseur OpenID Connect. Cette valeur est spécifiée comme
attribut de serveur
signatureAlgorithm dans la configuration de serveur openidConnectProvider. Sauf indication contraire, la valeur par défaut est
HS256. Une seule valeur peut être indiquée. Il s'agit d'une chaîne. Par exemple, les valeurs possibles pour
l'attribute signatureAlgorithm dans la
configuration openidConnectProvider sont
les suivantes :
|
scopesSupported | Entrée | Facultatif | Valeurs de portée qui sont
acceptées par le serveur de
fournisseur OpenID Connect.
Sauf indication contraire, les valeurs
par défaut sont openid, general,
profile, email,
address et phone. Plusieurs
valeurs peuvent être indiquées. Ces valeurs sont des chaînes. Par exemple, les valeurs possibles sont les suivantes :
|
claimsSupported | Entrée | Facultatif | Valeurs de demande qui sont
acceptées par le serveur de
fournisseur OpenID Connect. Sauf indication contraire, les valeurs
par défaut sont sub, groupIds,
name, preferred_username,
picture, locale,
email et profile. Plusieurs valeurs
peuvent être indiquées.
Ces valeurs sont des chaînes. Par exemple, les valeurs possibles sont les suivantes :
|
responseModesSupported | Entrée | Facultatif | Modes de réponse qui sont
acceptés par le
serveur de fournisseur OpenID Connect. Sauf indication contraire, les
valeurs par défaut sont query et fragment.
Plusieurs
valeurs peuvent être indiquées. Ces valeurs sont des
chaînes.
|
grantTypesSupported | Entrée | Facultatif | Types d'octroi qui sont acceptés par
le serveur de
fournisseur OpenID Connect. Sauf indication contraire, les valeurs
par défaut sont authorization_code, implicit,
refresh_token, client_credentials,
password et urn:ietf:params:oauth:grant-type:jwtbearer. Plusieurs valeurs peuvent être indiquées. Ces valeurs sont des chaînes. Par exemple, les valeurs possibles sont les suivantes :
|
tokenEndpointAuthMethodsSupported | Entrée | Facultatif | Méthodes d'autorisation de noeud final
de jeton qui
sont acceptées par le serveur de fournisseur OpenID Connect. Sauf
indication contraire, les valeurs par défaut sont
client_secret_post et client_secret_basic.
Plusieurs
valeurs peuvent être indiquées. Ces valeurs sont des chaînes. Par exemple, les valeurs possibles sont les suivantes :
|
displayValuesSupported | Sortie uniquement | N/A | Valeurs d'affichage qui sont acceptées par le serveur de fournisseur OpenID Connect. Cette valeur est définie sur page. Il s'agit d'une chaîne. |
claimTypesSupported | Sortie uniquement | N/A | Valeurs de type demande qui sont acceptées par le serveur de fournisseur OpenID Connect. Cette valeur est définie sur normal. Il s'agit d'une chaîne. |
claimsParameterSupported | Entrée | Facultatif | Indication de la prise en charge ou pas du
paramètre de demande par le serveur de fournisseur OpenID. Sauf
indication contraire, la valeur par défaut est
false.
Une seule valeur peut être indiquée. Il
s'agit d'une valeur booléenne. Par exemple, les valeurs possibles sont les suivantes :
|
requestParameterSupported | Entrée | Facultatif | Indication de la prise en charge ou pas du
paramètre de demande par le serveur de fournisseur OpenID. Sauf
indication contraire, la valeur par défaut est
false.
Une seule valeur peut être indiquée. Il
s'agit d'une valeur booléenne. Par exemple, les valeurs possibles sont les suivantes :
|
requestUriParameterSupported | Entrée | Facultatif | Indication de la prise en charge ou pas du
paramètre d'URI de demande par le serveur de fournisseur OpenID. Sauf
indication contraire, la valeur par défaut est
false. Une seule valeur peut être indiquée. Il
s'agit d'une valeur booléenne. Par exemple, les valeurs possibles sont les suivantes :
|
requireRequestUriRegistration | Entrée | Facultatif | Indication de la prise en charge ou pas de
l'enregistrement d'URI de demande par le serveur de fournisseur OpenID. Sauf
indication contraire, la valeur par défaut est
false. Une seule valeur peut être indiquée. Il
s'agit d'une valeur booléenne. Par exemple, les valeurs possibles sont les suivantes :
|
Exemples de configuration de reconnaissance
https://server.example.com:443/oidc/endpoint/<provider_name>/
Le noeud final de configuration de reconnaissance est accessible à l'emplacement :
https://server.example.com:443/oidc/endpoint/<provider_name>/.well-known/openid-configuration
Par exemple, dans le fichier server.xml, un utilisateur peut personnaliser ses propriétés de configuration de reconnaissance OpenID Connect de la manière suivante :
<openidConnectProvider id="OidcConfigSample" oauthProviderRef="OAuthConfigSample">
<discovery
responseTypesSupported="token, id_token token"
subjectTypesSupported="public"
scopesSupported="openid, general, profile"
claimsSupported="sub, groupIds, name"
responseModesSupported="query"
grantTypesSupported="implicit"
tokenEndpointAuthMethodsSupported="client_secret_basic"
displayValuesSupported="page"
claimTypesSupported="normal"
claimsParameterSupported="true"
requestParameterSupported="true"
requestUriParameterSupported="true"
requireRequestUriRegistration="true"
/>
</openidConnectProvider>
<oauthProvider id="OAuthConfigSample">
</oauthProvider>
Request Headers: GET https://server.example.com:443/oidc/endpoint/<provider_name>/.well-known/openid-configuration Response Headers: Status: 200 Content-Type: application/json Cache-Control:public, max-age=3600 Response Body: { "introspection_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/introspect", "coverage_map_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/coverage_map", "issuer":"https://server.example.com:443/oidc/endpoint/<provider_name>", "authorization_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/authorize", "token_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/token", "response_types_supported":[ "token", "id_token token" ], "subject_types_supported":[ "public" ], "userinfo_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/userinfo", "registration_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/registration", "scopes_supported":[ "openid", "general", "profile" ], "claims_supported":[ "sub", "groupIds", "name" ], "response_modes_supported":[ "query" ], "grant_types_supported":[ "implicit" ], "token_endpoint_auth_methods_supported":[ "client_secret_basic" ], "display_values_supported":[ "page" ], "claim_types_supported":[ "normal" ], "claims_parameter_supported":true, "request_parameter_supported":true, "request_uri_parameter_supported":true, "require_request_uri_registration":true, "check_session_iframe":"https://server.example.com:443/oidc/endpoint/<provider_name>/check_session_iframe", "end_session_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/end_session" }
Request Headers: GET https://server.example.com:443/oidc/endpoint/<provider_name>/.well-known/openid-configuration Response Headers: Status: 200 Content-Type: application/json Cache-Control:public, max-age=3600 Response Body: { "introspection_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/introspect", "coverage_map_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/coverage_map", "issuer":"https://server.example.com:443/oidc/endpoint/<provider_name>", "authorization_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/authorize", "token_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/token", "response_types_supported":[ "code", "token", "id_token token" ], "subject_types_supported":[ "public" ], "userinfo_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/userinfo", "registration_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/registration", "scopes_supported":[ "openid", "general", "profile", "email", "address", "phone" ], "claims_supported":[ "sub", "groupIds", "name", "preferred_username", "picture", "locale", "email", "profile" ], "response_modes_supported":[ "query", "fragment" ], "grant_types_supported":[ "authorization_code", "implicit", "refresh_token", "client_credentials", "password", "urn:ietf:params:oauth:grant-type:jwt-bearer" ], "token_endpoint_auth_methods_supported":[ "client_secret_post", "client_secret_basic" ], "display_values_supported":[ "page" ], "claim_types_supported":[ "normal" ], "claims_parameter_supported":false, "request_parameter_supported":false, "request_uri_parameter_supported":false, "require_request_uri_registration":false, "check_session_iframe":"https://server.example.com:443/oidc/endpoint/<provider_name>/check_session_iframe", "end_session_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/end_session" }