Entity Configuration¶
Un'Entity Configuration (EC) è un Metadata di Federazione in formato Jose e firmato da una Entità e riguardante se stessa, pubblicato presso il web endpoint .well-known/openid-federation.
Firma della Entity Configuration¶
Tutte le operazioni di verifica della firma relative agli ES, EC e TM sono eseguite con le chiavi pubbliche di Federazione. Per quanto riguarda gli algoritmi di firma supportati si veda la Sezione Algoritmi Crittografici.
Avvertimento
Distinguiamo le chiavi di Federazione da quelle di OIDC Core. Queste ultime risiedono nei Metadata OIDC. Un EC contiene sia le chiavi pubbliche di Federazione che i Metadata OIDC. Le chiavi di Federazione DOVREBBERO essere diverse da quelle di OIDC Core.
Entity Configuration - claim comuni¶
| Claim | Descrizione | Supportato da |
|---|---|---|
| iss | String. Identificativo dell'entità che lo emette. |   |
| sub | String. Identificativo del soggetto a cui è riferito. | |
| iat | UNIX Timestamp con l'istante di generazione del JWT, codificato come NumericDate come indicato in RFC 7519 | |
| exp | UNIX Timestamp con l'istante di scadenza del JWT, codificato come NumericDate come indicato in RFC 7519. | |
| jwks | Un JSON Web Key Set (JWKS) RFC 7517 che rappresenta la parte pubblica delle chiavi di firma dell'entità interessata. Ogni JWK nel set JWK DEVE avere un ID di chiave (claim kid). | |
| metadata | JSON Object. Ogni chiave dell'oggetto JSON rappresenta un identificatore del tipo di Metadata e ogni valore DEVE essere un oggetto JSON che rappresenta i Metadata secondo lo schema di Metadata di quel tipo. Una configurazione di entità PUÒ contenere più dichiarazioni di Metadata, ma solo una per ogni tipo di Metadata (<entity_type>). I tipi consentiti sono i seguenti:
|
|
Avvertimento
All'interno dell'EC i valori degli attributi iss e sub contengono il medesimo valore (URL).
Entity Configuration Foglia e intermediari¶
Gli EC delle entità Foglia e intermediari, in aggiunta ai claim precedentemente definiti, contengono anche i seguenti claim:
| Claim | Descrizione | Supportato da |
|---|---|---|
| authority_hints | Array di URL. Contiene una lista di URL delle entità superiori, quali TA o SA che POSSONO emettere un ES relativo a questo soggetto. | |
| trust_marks | Un array JSON contenente i Trust Mark. Vedere la Sezione Trust Mark. Obbligatorio per tutti i partecipanti fatta esclusione del Trust Anchor. | |
Entity Configuration Trust Anchor¶
Gli EC di un TA, in aggiunta ai claim comuni a tutti i partecipanti, contengono anche i seguenti:
| Claim | Descrizione | Supportato da |
|---|---|---|
| constraints | JSON Object che descrive un insieme di vincoli della Trust Chain e che DEVE contenere l'attributo max_path_length. Rappresenta il numero massimo di SA tra una Foglia e il TA. PUÒ anche contenere il claim allowed_leaf_entity_types, che restringe i tipi di Entità riconoscobili come suoi discendenti. | |
| trust_mark_issuers | JSON Array che indica quali autorità sono considerate attendibili nella Federazione per l'emissione di specifici TM, questi assegnati mediante il proprio identificativo univoco. | |
Vedi anche