OpenID Connect Relying Party Metadata (RP)¶
Un RP DEVE pubblicare all'interno del suo EC un Metadata di tipo federation_entity e uno di tipo openid_relying_party come riportato nel seguente esempio:
{
"metadata":{
"federation_entity":{
...
}
"openid_relying_party":{
...
}
}
}
Il Metadata di tipo "federation_entity" DEVE contenere almeno i seguenti parametri obbligatori:
Claim |
Descrizione |
Supportato da |
|---|---|---|
organization_name |
Vedi Sezione 4.8 di OIDC-FED |
|
homepage_uri |
Vedi Sezione 4.8 di OIDC-FED |
|
policy_uri |
Vedi Sezione 4.8 di OIDC-FED |
|
logo_uri |
(RACCOMANDATO) URL del logo dell'entità; DEVE essere in formato SVG. Vedi Sezione 4.8 di OIDC-FED |
|
contacts |
PEC istituzionale dell'ente. Vedi Sezione 4.8 di OIDC-FED |
|
federation_resolve_endpoint |
Vedi Sezione Endpoint di Federazione e OIDC-FED Section 4.6 |
|
Il Metadata di tipo "openid_relying_party" DEVE contenere almeno i seguenti parametri obbligatori:
Claim |
Descrizione |
Supportato da |
|---|---|---|
redirect_uris |
Vedi OpenID.Registration#ClientMetadata. È obbligatorio l'uso dello schema HTTPS nel caso di client web-based. |
|
grant_types |
Vedi OpenID.Registration#ClientMetadata. I valori ammissibili authorization_code e refresh_token. |
|
jwks |
|
|
signed_jwks_uri |
Vedi OIDC-FED. |
|
id_token_signed_response_alg |
Vedi OpenID.Registration#ClientMetadata. Vedi signature Algoritmi crittografici. |
|
id_token_encrypted_response_alg |
OPZIONALE. Se presente, l'OP DEVE restituire l'ID Token firmato e cifrato. Vedi OpenID.Registration#ClientMetadata. Vedi key encryption Algoritmi crittografici. |
|
id_token_encrypted_response_enc |
Vedi OpenID.Registration#ClientMetadata. Obbligatorio solo nel caso sia presente anche il parametro id_token_encrypted_response_alg. Vedi content encryption Algoritmi crittografici. |
|
userinfo_signed_response_alg |
Vedi OpenID.Registration#ClientMetadata. Vedi signature Algoritmi crittografici. |
|
userinfo_encrypted_response_alg |
Vedi OpenID.Registration#ClientMetadata. Vedi key encryption Algoritmi crittografici. |
|
userinfo_encrypted_response_enc |
Vedi OpenID.Registration#ClientMetadata. Vedi content encryption Algoritmi crittografici. |
|
token_endpoint_auth_method |
Vedi OpenID.Registration#ClientMetadata. Il valore richiesto è private_key_jwt. |
|
client_id |
Vedi OpenID.Registration. DEVE essere valorizzato con un HTTPS URL che identifica univocamente il RP. |
|
client_registration_types |
Vedi OIDC-FED Section 4.1. Il valore richiesto è automatic. |
|
response_types |
Array dei valori di response_type previsti da OAuth 2.0 che il RP userà nelle richieste di autenticazione. Deve contenere il valore code. |
|
Nota
Gli URI presenti nel parametro redirect_uris POSSONO anche usare eventuali schemi custom (ad es. myapp://) al fine di supportare applicazioni mobili.
Il Metadata "openid_relying_party" DEVE adottare il parametro jwks.
Il Metadata "openid_relying_party" DEVE adottare il parametro jwks o signed_jwks_uri.