Docs Italia beta

Documenti pubblici, digitali.

SPID/CIE OIDC - Regole Tecniche version: latest documentazione
Progetto: Progetto demo
Amministrazione: Organizzazione demo
Informazioni
Sorgente
Azioni

OpenID Connect Provider Metadata (OP)

Un OP DEVE pubblicare all'interno del suo EC un Metadata da federation_entity e uno da openid_provider come riportato nel seguente esempio:

{
   "metadata":{
     "federation_entity":{
       ...
     }
     "openid_provider":{
       ...
     }
   }
}

L'EC di un OP DEVE configurare un metadata di tipo "federation_entity" e contenere almeno i seguenti parametri obbligatori:

Claim

Descrizione

Supportato da

organization_name

Vedi Sezione 4.8 di OIDC-FED

spid-icon cieid-icon

homepage_uri

Vedi Sezione 4.8 di OIDC-FED

spid-icon cieid-icon

policy_uri

Vedi Sezione 4.8 di OIDC-FED

spid-icon cieid-icon

logo_uri

URL del logo dell'entità; DEVE essere in formato SVG. Vedi Sezione 4.8 di OIDC-FED

spid-icon cieid-icon

contacts

PEC istituzionale dell'ente. Vedi Sezione 4.8 di OIDC-FED

spid-icon cieid-icon

federation_resolve_endpoint

Vedi Sezione Endpoint di Federazione e OIDC-FED Section 4.6

spid-icon cieid-icon

L'EC di un OP DEVE configurare un metadata di tipo "openid_provider" DEVE contenere almeno i seguenti parametri obbligatori:

Claim

Descrizione

Supportato da

issuer

Vedi OpenID.Discovery#OP_Metadata. DEVE essere valorizzato con un HTTPS URL che identifica univocamente l'OP.

spid-icon cieid-icon

authorization_endpoint

Vedi OpenID.Discovery#OP_Metadata.

spid-icon cieid-icon

token_endpoint

Vedi OpenID.Discovery#OP_Metadata.

spid-icon cieid-icon

userinfo_endpoint

Vedi OpenID.Discovery#OP_Metadata.

spid-icon cieid-icon

introspection_endpoint

Vedi RFC 8414#page-4.

spid-icon cieid-icon

revocation_endpoint

Vedi RFC 8414#page-4.

spid-icon cieid-icon

revocation_endpoint_auth_methods_supported

Vedi RFC 8414#page-4. Il valore supportato è private_key_jwt

cieid-icon

code_challenge_methods_supported

Vedi RFC 8414#page-4. L'OP DEVE supportare S256 (vedi RFC 7636#section-4.3).

spid-icon cieid-icon

scopes_supported

Vedi OpenID.Discovery#OP_Metadata. I valori supportati sono openid e offline_access. CIE id supporta anche profile, email. Per maggiori dettagli vedi Sezione User Claims.

spid-icon cieid-icon

response_types_supported

Vedi OpenID.Discovery#OP_Metadata. Il valore supportato è code.

spid-icon cieid-icon

response_modes_supported

Vedi OpenID.Discovery#OP_Metadata. I valori supportati sono form_post e query.

spid-icon cieid-icon

grant_types_supported

Vedi OpenID.Discovery#OP_Metadata. I valori supportati sono refresh_token e authorization_code.

spid-icon cieid-icon

acr_values_supported

Vedi OpenID.Discovery#OP_Metadata. I valori supportati sono:

https://www.spid.gov.it/SpidL1 https://www.spid.gov.it/SpidL2 https://www.spid.gov.it/SpidL3

spid-icon cieid-icon

subject_types_supported

Vedi OpenID.Discovery#OP_Metadata. Il valore supportato è pairwise.

spid-icon cieid-icon

id_token_signing_alg_values_supported

Vedi OpenID.Discovery#OP_Metadata. Vedi signature Algoritmi crittografici.

spid-icon cieid-icon

id_token_encryption_alg_values_supported

See OpenID.Discovery#OP_Metadata. Vedi key encryption Algoritmi crittografici.

cieid-icon

id_token_encryption_enc_values_supported

See OpenID.Discovery#OP_Metadata. Vedi content encryption Algoritmi crittografici.

cieid-icon

userinfo_signing_alg_values_supported

Vedi OpenID.Discovery#OP_Metadata. Vedi signature Algoritmi crittografici.

spid-icon cieid-icon

userinfo_encryption_alg_values_supported

Vedi OpenID.Discovery#OP_Metadata. Vedi key encryption Algoritmi crittografici.

spid-icon cieid-icon

userinfo_encryption_enc_values_supported

Vedi OpenID.Discovery#OP_Metadata. Vedi content encryption Algoritmi crittografici.

spid-icon cieid-icon

request_object_signing_alg_values_supported

Vedi OpenID.Discovery#OP_Metadata. Vedi signature Algoritmi crittografici.

spid-icon cieid-icon

token_endpoint_auth_methods_supported

Vedi OpenID.Discovery#OP_Metadata. Il valore supportato è private_key_jwt

spid-icon cieid-icon

token_endpoint_auth_signing_alg_values_supported

Vedi OpenID.Discovery#OP_Metadata. Vedi signature Algoritmi crittografici.

spid-icon cieid-icon

claims_supported

Vedi OpenID.Discovery#OP_Metadata. Vedi Attributi Utente per maggiori dettagli.

spid-icon cieid-icon

claims_parameter_supported

Vedi OpenID.Discovery#OP_Metadata. Il valore supportato è true.

spid-icon cieid-icon

request_parameter_supported

Vedi OpenID.Discovery#OP_Metadata. Il valore supportato è true.

spid-icon cieid-icon

authorization_response_iss_parameter_supported

Vedi RFC 9207#section-3. Deve valere true.

cieid-icon

jwks

Vedi OIDC-FED Section 4.2 e JWK.

spid-icon cieid-icon

client_registration_types_supported

Vedi OIDC-FED Section 4.2. Il valore supportato è automatic.

spid-icon cieid-icon

request_authentication_methods_supported

Vedi OIDC-FED Section 4.2. Il valore supportato è request_object.

spid-icon cieid-icon

request_authentication_signing_alg_values_supported

Vedi OIDC-FED Section 4.2. Vedi signature Algoritmi crittografici.

spid-icon cieid-icon

spid-icon

Fino a diversa indicazione di AgID, i parametri request_object_encryption_alg_values_supported e request_object_encryption_enc_values_supported, NON DEVONO essere inclusi nel Metadata OP SPID.

Avvertimento

Il Metadata "openid_provider" DEVE adottare il parametro jwks o signed_jwks_uri come normato da OID-FED invece del parametro jwks_uri come richiesto in OpenID.Discovery#OP_Metadata.

Vedi anche