Configuration d'un fournisseur OpenID Connect pour l'acceptation de demandes de reconnaissance

Le noeud final de configuration de reconnaissance donne accès à des informations concernant les fonctions prises en charge par le serveur du fournisseur OpenID.

Pourquoi et quand exécuter cette tâche

Les métadonnées qui sont renvoyées par ce service utilisent comme base et étendent les métadonnées du fournisseur de spécification OIDC Discovery 1.0. Ce service renvoie un ensemble de configurations par défaut si rien n'est indiqué. Dans les autres cas, consultez la liste des propriétés afin de comprendre leur objet et les options de configurable possibles.

Procédure

Vous pouvez remplacer les valeurs par défaut des propriétés sélectionnées dans le service de configuration de reconnaissance. Cette action est effectuée par l'application de valeurs dans le fichier server.xml. Consultez le tableau de propriétés ci-après pour afficher les propriétés configurable et les options de configuration possibles.
Tableau 1. Paramètres de demande de reconnaissance
Nom d'attribut Type de données Obligatoire/Facultatif Description
responseTypesSupported Entrée Facultatif Types de réponse qui sont acceptés par le serveur de fournisseur OpenID Connect. Sauf indication contraire, les valeurs par défaut sont code, token et id_token token. Plusieurs valeurs peuvent être indiquées. Ces valeurs sont des chaînes. Par exemple, les valeurs possibles sont les suivantes :
  • code
  • token
  • id_token token
subjectTypesSupported Sortie uniquement N/A Types de sujet qui sont acceptés par serveur de fournisseur OpenID Connect. Cette valeur est définie sur public. Il s'agit d'une chaîne.
idTokenSigningAlgValuesSupported Sortie uniquement Facultatif Algorithmes de signature des jeton d'ID qui sont acceptés par le serveur de fournisseur OpenID Connect. Cette valeur est spécifiée comme attribut de serveur signatureAlgorithm dans la configuration de serveur openidConnectProvider. Sauf indication contraire, la valeur par défaut est HS256. Une seule valeur peut être indiquée. Il s'agit d'une chaîne. Par exemple, les valeurs possibles pour l'attribute signatureAlgorithm dans la configuration openidConnectProvider sont les suivantes :
  • none
  • RS256
  • HS256
scopesSupported Entrée Facultatif Valeurs de portée qui sont acceptées par le serveur de fournisseur OpenID Connect. Sauf indication contraire, les valeurs par défaut sont openid, general, profile, email, address et phone. Plusieurs valeurs peuvent être indiquées. Ces valeurs sont des chaînes. Par exemple, les valeurs possibles sont les suivantes :
  • openid
  • general
  • profil
  • email
  • address
  • phone
claimsSupported Entrée Facultatif Valeurs de demande qui sont acceptées par le serveur de fournisseur OpenID Connect. Sauf indication contraire, les valeurs par défaut sont sub, groupIds, name, preferred_username, picture, locale, email et profile. Plusieurs valeurs peuvent être indiquées. Ces valeurs sont des chaînes. Par exemple, les valeurs possibles sont les suivantes :
  • sub
  • groupIds
  • name
  • preferred_username
  • picture
  • locale
  • email
  • profil
responseModesSupported Entrée Facultatif Modes de réponse qui sont acceptés par le serveur de fournisseur OpenID Connect. Sauf indication contraire, les valeurs par défaut sont query et fragment. Plusieurs valeurs peuvent être indiquées. Ces valeurs sont des chaînes.
  • query
  • fragment
grantTypesSupported Entrée Facultatif Types d'octroi qui sont acceptés par le serveur de fournisseur OpenID Connect. Sauf indication contraire, les valeurs par défaut sont authorization_code, implicit, refresh_token, client_credentials, password et urn:ietf:params:oauth:grant-type:jwtbearer. Plusieurs valeurs peuvent être indiquées. Ces valeurs sont des chaînes. Par exemple, les valeurs possibles sont les suivantes :
  • authorization_code
  • implicit
  • refresh_token
  • client_credentials
  • password
  • urn:ietf:params:oauth:grant-type:jwtbearer
tokenEndpointAuthMethodsSupported Entrée Facultatif Méthodes d'autorisation de noeud final de jeton qui sont acceptées par le serveur de fournisseur OpenID Connect. Sauf indication contraire, les valeurs par défaut sont client_secret_post et client_secret_basic. Plusieurs valeurs peuvent être indiquées. Ces valeurs sont des chaînes. Par exemple, les valeurs possibles sont les suivantes :
  • none
  • client_secret_post
  • client_secret_basic
displayValuesSupported Sortie uniquement N/A Valeurs d'affichage qui sont acceptées par le serveur de fournisseur OpenID Connect. Cette valeur est définie sur page. Il s'agit d'une chaîne.
claimTypesSupported Sortie uniquement N/A Valeurs de type demande qui sont acceptées par le serveur de fournisseur OpenID Connect. Cette valeur est définie sur normal. Il s'agit d'une chaîne.
claimsParameterSupported Entrée Facultatif Indication de la prise en charge ou pas du paramètre de demande par le serveur de fournisseur OpenID. Sauf indication contraire, la valeur par défaut est false. Une seule valeur peut être indiquée. Il s'agit d'une valeur booléenne. Par exemple, les valeurs possibles sont les suivantes :
  • true
  • false
requestParameterSupported Entrée Facultatif Indication de la prise en charge ou pas du paramètre de demande par le serveur de fournisseur OpenID. Sauf indication contraire, la valeur par défaut est false. Une seule valeur peut être indiquée. Il s'agit d'une valeur booléenne. Par exemple, les valeurs possibles sont les suivantes :
  • true
  • false
requestUriParameterSupported Entrée Facultatif Indication de la prise en charge ou pas du paramètre d'URI de demande par le serveur de fournisseur OpenID. Sauf indication contraire, la valeur par défaut est false. Une seule valeur peut être indiquée. Il s'agit d'une valeur booléenne. Par exemple, les valeurs possibles sont les suivantes :
  • true
  • false
requireRequestUriRegistration Entrée Facultatif Indication de la prise en charge ou pas de l'enregistrement d'URI de demande par le serveur de fournisseur OpenID. Sauf indication contraire, la valeur par défaut est false. Une seule valeur peut être indiquée. Il s'agit d'une valeur booléenne. Par exemple, les valeurs possibles sont les suivantes :
  • true
  • false

Exemples de configuration de reconnaissance

L'exemple suivant suppose que le Liberty OP est configuré avec SSL sur le port 443.
https://server.example.com:443/oidc/endpoint/<provider_name>/

Le noeud final de configuration de reconnaissance est accessible à l'emplacement :

https://server.example.com:443/oidc/endpoint/<provider_name>/.well-known/openid-configuration

Par exemple, dans le fichier server.xml, un utilisateur peut personnaliser ses propriétés de configuration de reconnaissance OpenID Connect de la manière suivante :

<openidConnectProvider id="OidcConfigSample" oauthProviderRef="OAuthConfigSample">
	<discovery
		responseTypesSupported="token, id_token token" 
		subjectTypesSupported="public" 
		scopesSupported="openid, general, profile"
		claimsSupported="sub, groupIds, name" 
		responseModesSupported="query"
		grantTypesSupported="implicit"
		tokenEndpointAuthMethodsSupported="client_secret_basic" 
		displayValuesSupported="page"
		claimTypesSupported="normal" 
		claimsParameterSupported="true"
		requestParameterSupported="true" 
		requestUriParameterSupported="true"
		requireRequestUriRegistration="true"
	/>
</openidConnectProvider>
<oauthProvider id="OAuthConfigSample">
</oauthProvider>
Exemple de configuration de reconnaissance personnalisée
Request Headers:
GET https://server.example.com:443/oidc/endpoint/<provider_name>/.well-known/openid-configuration


Response Headers:
Status: 200
Content-Type: application/json
Cache-Control:public, max-age=3600

Response Body:
{  
   "introspection_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/introspect",
   "coverage_map_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/coverage_map",
   "issuer":"https://server.example.com:443/oidc/endpoint/<provider_name>",
   "authorization_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/authorize",
   "token_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/token",
   "response_types_supported":[  
      "token",
      "id_token token"
   ],
   "subject_types_supported":[  
      "public"
   ],
   "userinfo_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/userinfo",
   "registration_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/registration",
   "scopes_supported":[  
      "openid",
      "general",
      "profile"
   ],
   "claims_supported":[  
      "sub",
      "groupIds",
      "name"
   ],
   "response_modes_supported":[  
      "query"
   ],
   "grant_types_supported":[  
      "implicit"
   ],
   "token_endpoint_auth_methods_supported":[  
      "client_secret_basic"
   ],
   "display_values_supported":[  
      "page"
   ],
   "claim_types_supported":[  
      "normal"
   ],
   "claims_parameter_supported":true,
   "request_parameter_supported":true,
   "request_uri_parameter_supported":true,
   "require_request_uri_registration":true,
   "check_session_iframe":"https://server.example.com:443/oidc/endpoint/<provider_name>/check_session_iframe",
   "end_session_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/end_session"
}
Exemple de configuration de reconnaissance par défaut
Request Headers:
GET https://server.example.com:443/oidc/endpoint/<provider_name>/.well-known/openid-configuration


Response Headers:
Status: 200
Content-Type: application/json
Cache-Control:public, max-age=3600

Response Body:
{  
   "introspection_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/introspect",
   "coverage_map_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/coverage_map",
   "issuer":"https://server.example.com:443/oidc/endpoint/<provider_name>",
   "authorization_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/authorize",
   "token_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/token",
   "response_types_supported":[  
      "code",
      "token",
      "id_token token"
   ],
   "subject_types_supported":[  
      "public"
   ],
   "userinfo_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/userinfo",
   "registration_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/registration",
   "scopes_supported":[  
      "openid",
      "general",
      "profile",
      "email",
      "address",
      "phone"
   ],
   "claims_supported":[  
      "sub",
      "groupIds",
      "name",
      "preferred_username",
      "picture",
      "locale",
      "email",
      "profile"
   ],
   "response_modes_supported":[  
      "query",
      "fragment"
   ],
   "grant_types_supported":[  
      "authorization_code",
      "implicit",
      "refresh_token",
      "client_credentials",
      "password",
      "urn:ietf:params:oauth:grant-type:jwt-bearer"
   ],
   "token_endpoint_auth_methods_supported":[  
      "client_secret_post",
      "client_secret_basic"
   ],
   "display_values_supported":[  
      "page"
   ],
   "claim_types_supported":[  
      "normal"
   ],
   "claims_parameter_supported":false,
   "request_parameter_supported":false,
   "request_uri_parameter_supported":false,
   "require_request_uri_registration":false,
   "check_session_iframe":"https://server.example.com:443/oidc/endpoint/<provider_name>/check_session_iframe",
   "end_session_endpoint":"https://server.example.com:443/oidc/endpoint/<provider_name>/end_session"
}

Icône indiquant le type de rubrique Rubrique Tâche



Icône d'horodatage Dernière mise à jour: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_oidc_discovery_config
Nom du fichier : twlp_oidc_discovery_config.html