
![[8.5.5.4 oder höher]](../ng_v8554.gif)
Akzeptieren von Erkennungsanforderungen durch einen OpenID Connect-Provider konfigurieren
Der Erkennungskonfigurationsendpunkt macht Informationen zu der vom OpenID Connect-Provider-Server (OP-Server) unterstützten Funktionalität verfügbar.
Informationen zu diesem Vorgang
Die von diesem Service zurückgegebenen Metadaten basieren auf den Providermetadaten der Spezifikation OIDC Discovery 1.0 und erweitern diese Metadaten. Wenn nichts angegeben ist, gibt der Service eine Reihe von Standardkonfigurationen zurück. Lesen Sie andernfalls die Liste der Eigenschaften, um sich über deren Zweck und konfigurierbare Optionen zu informieren.
Vorgehensweise
Im Erkennungskonfigurationsservice können Sie die Standardwerte für ausgewählte Eigenschaften außer Kraft setzen. Geben Sie dazu die Werte in der Datei
server.xml an.
In der folgenden Tabelle sehen Sie die konfigurierbaren Eigenschaften und mögliche Konfigurationsoptionen.
Attributname | Datentyp | Erforderlich/Optional | Beschreibung |
---|---|---|---|
responseTypesSupported | Eingabe | Optional | Vom
OpenID Connect-Provider-Server (OP-Server) unterstützte Antworttypen. Wenn nicht anders angegeben, gelten die Standardwerte
code, token und id_token
token. Sie können mehr als einen Wert angeben. Diese Werte sind Zeichenfolgen. Gültige Werte sind beispielsweise:
|
subjectTypesSupported | Nur Ausgabe | Nicht zutreffend | Die vom OP-Server unterstützten Subjekttypen. Dieses Attribut ist auf den Wert public gesetzt. Dieser Wert ist eine Zeichenfolge. |
idTokenSigningAlgValuesSupported | Nur Ausgabe | Optional | Die vom OP-Server unterstützten Signaturalgorithmen für ID-Token. Dieser Wert wird
in der openidConnectProvider-Serverkonfiguration als Serverattribut signatureAlgorithm angegeben. Wenn nicht anders angegeben, lautet der Standardwert
HS256. Sie können nur einen Wert angeben. Dies ist eine Zeichenfolge. Gültige Werte für das Attribut
signatureAlgorithm in der openidConnectProvider-Konfiguration sind beispielsweise:
|
scopesSupported | Eingabe | Optional | Die vom OP-Server unterstützten Bereichswerte. Wenn nicht anders angegeben, sind die Standardwerte openid, general, profile,
email, address
und phone. Sie können mehr als einen Wert angeben. Diese Werte sind Zeichenfolgen. Gültige Werte sind beispielsweise:
|
claimsSupported | Eingabe | Optional | Die vom OP-Server unterstützten Anspruchswerte. Wenn nicht anders angegeben, sind die Standardwerte sub, groupIds, name,
preferred_username, picture, locale, email
und profile. Sie können mehr als einen Wert angeben. Diese Werte sind Zeichenfolgen. Gültige Werte sind beispielsweise:
|
responseModesSupported | Eingabe | Optional | Die vom OP-Server unterstützten Antwortmodi. Wenn nicht anders angegeben, sind die Standardwerte query und fragment.
Sie können mehr als einen Wert angeben. Diese Werte sind Zeichenfolgen.
|
grantTypesSupported | Eingabe | Optional | Die vom OP-Server unterstützten Grant-Typen. Wenn nicht anders angegeben, sind die Standardwerte
authorization_code, implicit, refresh_token, client_credentials, password
und urn:ietf:params:oauth:grant-type:jwtbearer. Sie können mehr als einen Wert angeben. Diese Werte sind Zeichenfolgen. Gültige Werte sind beispielsweise:
|
tokenEndpointAuthMethodsSupported | Eingabe | Optional | Die vom OP-Server unterstützten Autorisierungsmethoden für Tokenendpunkte. Wenn nicht anders angegeben, sind die Standardwerte
client_secret_post und client_secret_basic.
Sie können mehr als einen Wert angeben. Diese Werte sind Zeichenfolgen. Gültige Werte sind beispielsweise:
|
displayValuesSupported | Nur Ausgabe | Nicht zutreffend | Die vom OP-Server unterstützten Anzeigewerte. Dieses Attribut ist auf page gesetzt. Dieser Wert ist eine Zeichenfolge. |
claimTypesSupported | Nur Ausgabe | Nicht zutreffend | Die vom OP-Server unterstützten Werte für den Anspruchstyp. Dieses Attribut ist auf den Wert normal gesetzt. Dieser Wert ist eine Zeichenfolge. |
claimsParameterSupported | Eingabe | Optional | Angabe, ob der Anspruchsparameter vom OP-Server unterstützt wird. Wenn nicht anders angegeben, lautet der Standardwert
false. Sie können nur einen Wert angeben. Dies ist ein boolescher Wert.
Gültige Werte sind beispielsweise:
|
requestParameterSupported | Eingabe | Optional | Angabe, ob ein Anforderungsparameter vom OP-Server unterstützt wird. Wenn nicht anders angegeben, lautet der Standardwert
false. Sie können nur einen Wert angeben. Dies ist ein boolescher Wert.
Gültige Werte sind beispielsweise:
|
requestUriParameterSupported | Eingabe | Optional | Angabe, ob der Anforderungs-URI-Parameter vom OP-Server unterstützt wird. Wenn nicht anders angegeben, lautet der Standardwert
false. Sie können nur einen Wert angeben. Dies ist ein boolescher Wert.
Gültige Werte sind beispielsweise:
|
requireRequestUriRegistration | Eingabe | Optional | Angabe, ob der OP-Server unterstützt, dass eine Registrierung der Anforderungs-URI erforderlich ist. Wenn nicht anders angegeben, lautet der Standardwert
false. Sie können nur einen Wert angeben. Dies ist ein boolescher Wert.
Gültige Werte sind beispielsweise:
|
Beispiele für Erkennungskonfigurationen
Im folgenden Beispiel wird davon ausgegangen, dass der Liberty-OP mit SSL am Port 443 konfiguriert ist.
https://server.example.com:443/oidc/endpoint/<Providername>/
Der Erkennungskonfigurationsendpunkt ist zugänglich unter:
https://server.example.com:443/oidc/endpoint/<Providername>/.well-known/openid-configuration
Ein Benutzer kann die Eigenschaften seiner OpenID-Connect-Erkennungskonfiguration in der Datei server.xml beispielsweise wie folgt anpassen:
<openidConnectProvider id="OidcConfigSample" oauthProviderRef="OAuthConfigSample">
<discovery
responseTypesSupported="token, id_token token"
subjectTypesSupported="public"
scopesSupported="openid, general, profile"
claimsSupported="sub, groupIds, name"
responseModesSupported="query"
grantTypesSupported="implicit"
tokenEndpointAuthMethodsSupported="client_secret_basic"
displayValuesSupported="page"
claimTypesSupported="normal"
claimsParameterSupported="true"
requestParameterSupported="true"
requestUriParameterSupported="true"
requireRequestUriRegistration="true"
/>
</openidConnectProvider>
<oauthProvider id="OAuthConfigSample">
</oauthProvider>
Anforderungsheader: GET https://server.example.com:443/oidc/endpoint/<Providername>/.well-known/openid-configuration Antwortheader: Status: 200 Content-Type: application/json Cache-Control:public, max-age=3600 Antworthauptteil: { "introspection_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/introspect", "coverage_map_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/coverage_map", "issuer":"https://server.example.com:443/oidc/endpoint/<Providername>", "authorization_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/authorize", "token_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/token", "response_types_supported":[ "token", "id_token token" ], "subject_types_supported":[ "public" ], "userinfo_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/userinfo", "registration_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/registration", "scopes_supported":[ "openid", "general", "profile" ], "claims_supported":[ "sub", "groupIds", "name" ], "response_modes_supported":[ "query" ], "grant_types_supported":[ "implicit" ], "token_endpoint_auth_methods_supported":[ "client_secret_basic" ], "display_values_supported":[ "page" ], "claim_types_supported":[ "normal" ], "claims_parameter_supported":true, "request_parameter_supported":true, "request_uri_parameter_supported":true, "require_request_uri_registration":true, "check_session_iframe":"https://server.example.com:443/oidc/endpoint/<Providername>/check_session_iframe", "end_session_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/end_session" }
Anforderungsheader: GET https://server.example.com:443/oidc/endpoint/<Providername>/.well-known/openid-configuration Antwortheader: Status: 200 Content-Type: application/json Cache-Control:public, max-age=3600 Antworthauptteil: { "introspection_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/introspect", "coverage_map_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/coverage_map", "issuer":"https://server.example.com:443/oidc/endpoint/<Providername>", "authorization_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/authorize", "token_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/token", "response_types_supported":[ "code", "token", "id_token token" ], "subject_types_supported":[ "public" ], "userinfo_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/userinfo", "registration_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/registration", "scopes_supported":[ "openid", "general", "profile", "email", "address", "phone" ], "claims_supported":[ "sub", "groupIds", "name", "preferred_username", "picture", "locale", "email", "profile" ], "response_modes_supported":[ "query", "fragment" ], "grant_types_supported":[ "authorization_code", "implicit", "refresh_token", "client_credentials", "password", "urn:ietf:params:oauth:grant-type:jwt-bearer" ], "token_endpoint_auth_methods_supported":[ "client_secret_post", "client_secret_basic" ], "display_values_supported":[ "page" ], "claim_types_supported":[ "normal" ], "claims_parameter_supported":false, "request_parameter_supported":false, "request_uri_parameter_supported":false, "require_request_uri_registration":false, "check_session_iframe":"https://server.example.com:443/oidc/endpoint/<Providername>/check_session_iframe", "end_session_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/end_session" }