Vous pouvez configurer le fournisseur OpenID Connect afin qu'il utilise l'algorithme
RS256 pour la signature des jetons d'ID.
Pourquoi et quand exécuter cette tâche
Vous pouvez configurer un fournisseur OpenID Connect afin qu'il utilise l'algorithme de signature
RSA-SHA256 pour la signature des jetons d'ID en définissant signatureAlgorithm sur
RS256 et en configurant un magasin de clés avec la clé privée utilisée pour la signature.
Procédure
- Définissez l'attribut signatureAlgorithm du fournisseur OpenID Connect sur RS256.
- Vous pouvez configurer l'OP Liberty pour signer un jeton d'ID avec un certificat X509 dans un magasin de clés physique ou une paire de clés RSA auto-générées qui sont des clés publiques
publiées et régénérées périodiquement dans l'emplacement JWK in jwks_uri.
- Facultatif : certificat X509
Dans le fichier
server.xml, créez un élément keystore qui fait référence au magasin de clés physique contenant la clé privée capable d'exécuter un algorithme de
signature RSA-SHA256. Exemple :
<keyStore id="opTestKeyStore" location="${server.config.dir}/opKeyStore.jks" type="JKS" password="keystorePwd" />
Définissez l'attribut
keyStoreRef sur la valeur d'ID de l'élément keystore utilisé à l'étape 1, et définissez
keyAliasName pour localiser la clé privée dans
le magasin de clés.
Exemple :
<openidConnectProvider id="OAuthConfigSample" oauthProviderRef="OAuthConfigSample" signatureAlgorithm="RS256" keyStoreRef="opTestKeyStore" keyAliasName="myOpKeyAlias" />
- Facultatif : JWK
Pour générer dynamiquement une paire de clés de signature et publier une clé publique dans JWK, ajoutez jwkEnabled="true". La paire de clés est régénérée toutes les 12
heures et vous pouvez configurer jwkRotationTime pour modifier la fréquence.
Résultats
Vous avez maintenant configuré un fournisseur OpenID Connect pour la signature
des jetons d'ID avec l'algorithme RSA-SHA256.