Liberty-Repository[8.5.5.4 oder höher]

Akzeptieren von Erkennungsanforderungen durch einen OpenID Connect-Provider konfigurieren

Der Erkennungskonfigurationsendpunkt macht Informationen zu der vom OpenID Connect-Provider-Server (OP-Server) unterstützten Funktionalität verfügbar.

Informationen zu diesem Vorgang

Die von diesem Service zurückgegebenen Metadaten basieren auf den Providermetadaten der Spezifikation OIDC Discovery 1.0 und erweitern diese Metadaten. Wenn nichts angegeben ist, gibt der Service eine Reihe von Standardkonfigurationen zurück. Lesen Sie andernfalls die Liste der Eigenschaften, um sich über deren Zweck und konfigurierbare Optionen zu informieren.

Vorgehensweise

Im Erkennungskonfigurationsservice können Sie die Standardwerte für ausgewählte Eigenschaften außer Kraft setzen. Geben Sie dazu die Werte in der Datei server.xml an. In der folgenden Tabelle sehen Sie die konfigurierbaren Eigenschaften und mögliche Konfigurationsoptionen.
Tabelle 1. Parameter für Erkennungsanforderungen
Attributname Datentyp Erforderlich/Optional Beschreibung
responseTypesSupported Eingabe Optional Vom OpenID Connect-Provider-Server (OP-Server) unterstützte Antworttypen. Wenn nicht anders angegeben, gelten die Standardwerte code, token und id_token token. Sie können mehr als einen Wert angeben. Diese Werte sind Zeichenfolgen. Gültige Werte sind beispielsweise:
  • code
  • token
  • id_token token
subjectTypesSupported Nur Ausgabe Nicht zutreffend Die vom OP-Server unterstützten Subjekttypen. Dieses Attribut ist auf den Wert public gesetzt. Dieser Wert ist eine Zeichenfolge.
idTokenSigningAlgValuesSupported Nur Ausgabe Optional Die vom OP-Server unterstützten Signaturalgorithmen für ID-Token. Dieser Wert wird in der openidConnectProvider-Serverkonfiguration als Serverattribut signatureAlgorithm angegeben. Wenn nicht anders angegeben, lautet der Standardwert HS256. Sie können nur einen Wert angeben. Dies ist eine Zeichenfolge. Gültige Werte für das Attribut signatureAlgorithm in der openidConnectProvider-Konfiguration sind beispielsweise:
  • none
  • RS256
  • HS256
scopesSupported Eingabe Optional Die vom OP-Server unterstützten Bereichswerte. Wenn nicht anders angegeben, sind die Standardwerte openid, general, profile, email, address und phone. Sie können mehr als einen Wert angeben. Diese Werte sind Zeichenfolgen. Gültige Werte sind beispielsweise:
  • openid
  • general
  • profile
  • email
  • address
  • phone
claimsSupported Eingabe Optional Die vom OP-Server unterstützten Anspruchswerte. Wenn nicht anders angegeben, sind die Standardwerte sub, groupIds, name, preferred_username, picture, locale, email und profile. Sie können mehr als einen Wert angeben. Diese Werte sind Zeichenfolgen. Gültige Werte sind beispielsweise:
  • sub
  • groupIds
  • name
  • preferred_username
  • picture
  • locale
  • email
  • profile
responseModesSupported Eingabe Optional Die vom OP-Server unterstützten Antwortmodi. Wenn nicht anders angegeben, sind die Standardwerte query und fragment. Sie können mehr als einen Wert angeben. Diese Werte sind Zeichenfolgen.
  • query
  • fragment
grantTypesSupported Eingabe Optional Die vom OP-Server unterstützten Grant-Typen. Wenn nicht anders angegeben, sind die Standardwerte authorization_code, implicit, refresh_token, client_credentials, password und urn:ietf:params:oauth:grant-type:jwtbearer. Sie können mehr als einen Wert angeben. Diese Werte sind Zeichenfolgen. Gültige Werte sind beispielsweise:
  • authorization_code
  • implicit
  • refresh_token
  • client_credentials
  • password
  • urn:ietf:params:oauth:grant-type:jwtbearer
tokenEndpointAuthMethodsSupported Eingabe Optional Die vom OP-Server unterstützten Autorisierungsmethoden für Tokenendpunkte. Wenn nicht anders angegeben, sind die Standardwerte client_secret_post und client_secret_basic. Sie können mehr als einen Wert angeben. Diese Werte sind Zeichenfolgen. Gültige Werte sind beispielsweise:
  • none
  • client_secret_post
  • client_secret_basic
displayValuesSupported Nur Ausgabe Nicht zutreffend Die vom OP-Server unterstützten Anzeigewerte. Dieses Attribut ist auf page gesetzt. Dieser Wert ist eine Zeichenfolge.
claimTypesSupported Nur Ausgabe Nicht zutreffend Die vom OP-Server unterstützten Werte für den Anspruchstyp. Dieses Attribut ist auf den Wert normal gesetzt. Dieser Wert ist eine Zeichenfolge.
claimsParameterSupported Eingabe Optional Angabe, ob der Anspruchsparameter vom OP-Server unterstützt wird. Wenn nicht anders angegeben, lautet der Standardwert false. Sie können nur einen Wert angeben. Dies ist ein boolescher Wert. Gültige Werte sind beispielsweise:
  • true
  • false
requestParameterSupported Eingabe Optional Angabe, ob ein Anforderungsparameter vom OP-Server unterstützt wird. Wenn nicht anders angegeben, lautet der Standardwert false. Sie können nur einen Wert angeben. Dies ist ein boolescher Wert. Gültige Werte sind beispielsweise:
  • true
  • false
requestUriParameterSupported Eingabe Optional Angabe, ob der Anforderungs-URI-Parameter vom OP-Server unterstützt wird. Wenn nicht anders angegeben, lautet der Standardwert false. Sie können nur einen Wert angeben. Dies ist ein boolescher Wert. Gültige Werte sind beispielsweise:
  • true
  • false
requireRequestUriRegistration Eingabe Optional Angabe, ob der OP-Server unterstützt, dass eine Registrierung der Anforderungs-URI erforderlich ist. Wenn nicht anders angegeben, lautet der Standardwert false. Sie können nur einen Wert angeben. Dies ist ein boolescher Wert. Gültige Werte sind beispielsweise:
  • true
  • false

Beispiele für Erkennungskonfigurationen

Im folgenden Beispiel wird davon ausgegangen, dass der Liberty-OP mit SSL am Port 443 konfiguriert ist.
https://server.example.com:443/oidc/endpoint/<Providername>/

Der Erkennungskonfigurationsendpunkt ist zugänglich unter:

https://server.example.com:443/oidc/endpoint/<Providername>/.well-known/openid-configuration

Ein Benutzer kann die Eigenschaften seiner OpenID-Connect-Erkennungskonfiguration in der Datei server.xml beispielsweise wie folgt anpassen:

<openidConnectProvider id="OidcConfigSample" oauthProviderRef="OAuthConfigSample">
	<discovery
		responseTypesSupported="token, id_token token" 
		subjectTypesSupported="public" 
		scopesSupported="openid, general, profile"
		claimsSupported="sub, groupIds, name" 
		responseModesSupported="query"
		grantTypesSupported="implicit"
		tokenEndpointAuthMethodsSupported="client_secret_basic" 
		displayValuesSupported="page"
		claimTypesSupported="normal" 
		claimsParameterSupported="true"
		requestParameterSupported="true" 
		requestUriParameterSupported="true"
		requireRequestUriRegistration="true"
	/>
</openidConnectProvider>
<oauthProvider id="OAuthConfigSample">
</oauthProvider>
Beispiel einer angepassten Erkennungskonfiguration
Anforderungsheader:
GET https://server.example.com:443/oidc/endpoint/<Providername>/.well-known/openid-configuration


Antwortheader:
Status: 200
Content-Type: application/json
Cache-Control:public, max-age=3600

Antworthauptteil:
{  
   "introspection_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/introspect",
   "coverage_map_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/coverage_map",
   "issuer":"https://server.example.com:443/oidc/endpoint/<Providername>",
   "authorization_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/authorize",
   "token_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/token",
   "response_types_supported":[  
      "token",
      "id_token token"
   ],
   "subject_types_supported":[  
      "public"
   ],
   "userinfo_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/userinfo",
   "registration_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/registration",
   "scopes_supported":[  
      "openid",
      "general",
      "profile"
   ],
   "claims_supported":[  
      "sub",
      "groupIds",
      "name"
   ],
   "response_modes_supported":[  
      "query"
   ],
   "grant_types_supported":[  
      "implicit"
   ],
   "token_endpoint_auth_methods_supported":[  
      "client_secret_basic"
   ],
   "display_values_supported":[  
      "page"
   ],
   "claim_types_supported":[  
      "normal"
   ],
   "claims_parameter_supported":true,
   "request_parameter_supported":true,
   "request_uri_parameter_supported":true,
   "require_request_uri_registration":true,
   "check_session_iframe":"https://server.example.com:443/oidc/endpoint/<Providername>/check_session_iframe",
   "end_session_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/end_session"
}
Beispiel für eine Standarderkennungskonfiguration
Anforderungsheader:
GET https://server.example.com:443/oidc/endpoint/<Providername>/.well-known/openid-configuration


Antwortheader:
Status: 200
Content-Type: application/json
Cache-Control:public, max-age=3600

Antworthauptteil:
{  
   "introspection_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/introspect",
   "coverage_map_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/coverage_map",
   "issuer":"https://server.example.com:443/oidc/endpoint/<Providername>",
   "authorization_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/authorize",
   "token_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/token",
   "response_types_supported":[
      "code",
      "token",
      "id_token token"
   ],
   "subject_types_supported":[  
      "public"
   ],
   "userinfo_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/userinfo",
   "registration_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/registration",
   "scopes_supported":[  
      "openid",
      "general",
      "profile",
      "email",
      "address",
      "phone"
   ],
   "claims_supported":[  
      "sub",
      "groupIds",
      "name",
      "preferred_username",
      "picture",
      "locale",
      "email",
      "profile"
   ],
   "response_modes_supported":[  
      "query",
      "fragment"
   ],
   "grant_types_supported":[  
      "authorization_code",
      "implicit",
      "refresh_token",
      "client_credentials",
      "password",
      "urn:ietf:params:oauth:grant-type:jwt-bearer"
   ],
   "token_endpoint_auth_methods_supported":[  
      "client_secret_post",
      "client_secret_basic"
   ],
   "display_values_supported":[  
      "page"
   ],
   "claim_types_supported":[  
      "normal"
   ],
   "claims_parameter_supported":false,
   "request_parameter_supported":false,
   "request_uri_parameter_supported":false,
   "require_request_uri_registration":false,
   "check_session_iframe":"https://server.example.com:443/oidc/endpoint/<Providername>/check_session_iframe",
   "end_session_endpoint":"https://server.example.com:443/oidc/endpoint/<Providername>/end_session"
}

Symbol das den Typ des Artikels anzeigt. Taskartikel

Nutzungsbedingungen für Information Center | Feedback


Symbol für Zeitmarke Letzte Aktualisierung: 25.08.2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_oidc_discovery_config
Dateiname: twlp_oidc_discovery_config.html