OpenID Connect Provider Metadata (OP)¶
Un OP DEVE pubblicare all'interno del suo EC un Metadata da federation_entity e uno da openid_provider come riportato nel seguente esempio:
L'EC di un OP DEVE configurare un metadata di tipo "federation_entity" e contenere almeno i seguenti parametri obbligatori:
| Claim | Descrizione | Supportato da |
|---|---|---|
| organization_name | Vedi Sezione 4.8 di OIDC-FED |   |
| homepage_uri | Vedi Sezione 4.8 di OIDC-FED | |
| policy_uri | Vedi Sezione 4.8 di OIDC-FED | |
| logo_uri | URL del logo dell'entità; DEVE essere in formato SVG. Vedi Sezione 4.8 di OIDC-FED | |
| contacts | PEC istituzionale dell'ente. Vedi Sezione 4.8 di OIDC-FED | |
| federation_resolve_endpoint | Vedi Sezione Endpoint di Federazione e OIDC-FED Section 4.6 | |
L'EC di un OP DEVE configurare un metadata di tipo "openid_provider" DEVE contenere almeno i seguenti parametri obbligatori:
| Claim | Descrizione | Supportato da |
|---|---|---|
| issuer | Vedi OpenID.Discovery#OP_Metadata. DEVE essere valorizzato con un HTTPS URL che identifica univocamente l'OP. | |
| authorization_endpoint | Vedi OpenID.Discovery#OP_Metadata. | |
| token_endpoint | Vedi OpenID.Discovery#OP_Metadata. | |
| userinfo_endpoint | Vedi OpenID.Discovery#OP_Metadata. | |
| introspection_endpoint | Vedi RFC 8414#page-4. | |
| revocation_endpoint | Vedi RFC 8414#page-4. | |
| revocation_endpoint_auth_methods_supported | Vedi RFC 8414#page-4. Il valore supportato è private_key_jwt | |
| code_challenge_methods_supported | Vedi RFC 8414#page-4. L'OP DEVE supportare S256 (vedi RFC 7636#section-4.3). | |
| scopes_supported | Vedi OpenID.Discovery#OP_Metadata. I valori supportati sono openid e offline_access. CIE id supporta anche profile, email. Per maggiori dettagli vedi Sezione User Claims. | |
| response_types_supported | Vedi OpenID.Discovery#OP_Metadata. Il valore supportato è code. | |
| response_modes_supported | Vedi OpenID.Discovery#OP_Metadata. I valori supportati sono form_post e query. | |
| grant_types_supported | Vedi OpenID.Discovery#OP_Metadata. I valori supportati sono refresh_token e authorization_code. | |
| acr_values_supported | Vedi OpenID.Discovery#OP_Metadata. I valori supportati sono:
|
|
| subject_types_supported | Vedi OpenID.Discovery#OP_Metadata. Il valore supportato è pairwise. | |
| id_token_signing_alg_values_supported | Vedi OpenID.Discovery#OP_Metadata. Vedi signature Algoritmi crittografici. | |
| id_token_encryption_alg_values_supported | See OpenID.Discovery#OP_Metadata. Vedi key encryption Algoritmi crittografici. | |
| id_token_encryption_enc_values_supported | See OpenID.Discovery#OP_Metadata. Vedi content encryption Algoritmi crittografici. | |
| userinfo_signing_alg_values_supported | Vedi OpenID.Discovery#OP_Metadata. Vedi signature Algoritmi crittografici. | |
| userinfo_encryption_alg_values_supported | Vedi OpenID.Discovery#OP_Metadata. Vedi key encryption Algoritmi crittografici. | |
| userinfo_encryption_enc_values_supported | Vedi OpenID.Discovery#OP_Metadata. Vedi content encryption Algoritmi crittografici. | |
| request_object_signing_alg_values_supported | Vedi OpenID.Discovery#OP_Metadata. Vedi signature Algoritmi crittografici. | |
| token_endpoint_auth_methods_supported | Vedi OpenID.Discovery#OP_Metadata. Il valore supportato è private_key_jwt | |
| token_endpoint_auth_signing_alg_values_supported | Vedi OpenID.Discovery#OP_Metadata. Vedi signature Algoritmi crittografici. | |
| claims_supported | Vedi OpenID.Discovery#OP_Metadata. Vedi Attributi Utente per maggiori dettagli. | |
| claims_parameter_supported | Vedi OpenID.Discovery#OP_Metadata. Il valore supportato è true. | |
| request_parameter_supported | Vedi OpenID.Discovery#OP_Metadata. Il valore supportato è true. | |
| authorization_response_iss_parameter_supported | Vedi RFC 9207#section-3. Deve valere true. | |
| jwks | Vedi OIDC-FED Section 4.2 e JWK. | |
| client_registration_types_supported | Vedi OIDC-FED Section 4.2. Il valore supportato è automatic. | |
| request_authentication_methods_supported | Vedi OIDC-FED Section 4.2. Il valore supportato è request_object. | |
| request_authentication_signing_alg_values_supported | Vedi OIDC-FED Section 4.2. Vedi signature Algoritmi crittografici. | |
Fino a diversa indicazione di AgID, i parametri request_object_encryption_alg_values_supported e request_object_encryption_enc_values_supported, NON DEVONO essere inclusi nel Metadata OP SPID.
Avvertimento
Il Metadata "openid_provider" DEVE adottare il parametro jwks o signed_jwks_uri come normato da OID-FED invece del parametro jwks_uri come richiesto in OpenID.Discovery#OP_Metadata.
Vedi anche