OpenID Connect Relying Party Metadata (RP)¶
Un RP DEVE pubblicare all'interno del suo EC un Metadata di tipo federation_entity e uno di tipo openid_relying_party come riportato nel seguente esempio:
Il Metadata di tipo "federation_entity" DEVE contenere almeno i seguenti parametri obbligatori:
| Claim | Descrizione | Supportato da |
|---|---|---|
| organization_name | Vedi Sezione 4.8 di OIDC-FED |   |
| homepage_uri | Vedi Sezione 4.8 di OIDC-FED | |
| policy_uri | Vedi Sezione 4.8 di OIDC-FED | |
| logo_uri | (RACCOMANDATO) URL del logo dell'entità; DEVE essere in formato SVG. Vedi Sezione 4.8 di OIDC-FED | |
| contacts | PEC istituzionale dell'ente. Vedi Sezione 4.8 di OIDC-FED | |
| federation_resolve_endpoint | Vedi Sezione Endpoint di Federazione e OIDC-FED Section 4.6 | |
Il Metadata di tipo "openid_relying_party" DEVE contenere almeno i seguenti parametri obbligatori:
| Claim | Descrizione | Supportato da |
|---|---|---|
| redirect_uris | Vedi OpenID.Registration#ClientMetadata. È obbligatorio l'uso dello schema HTTPS nel caso di client web-based. | |
| grant_types | Vedi OpenID.Registration#ClientMetadata. I valori ammissibili authorization_code e refresh_token. | |
| jwks | Vedi OpenID.Registration#ClientMetadata e JWK. | |
| signed_jwks_uri | Vedi OIDC-FED. | |
| id_token_signed_response_alg | Vedi OpenID.Registration#ClientMetadata. Vedi signature Algoritmi crittografici. | |
| id_token_encrypted_response_alg | OPZIONALE. Se presente, l'OP DEVE restituire l'ID Token firmato e cifrato. Vedi OpenID.Registration#ClientMetadata. Vedi key encryption Algoritmi crittografici. | |
| id_token_encrypted_response_enc | Vedi OpenID.Registration#ClientMetadata. Obbligatorio solo nel caso sia presente anche il parametro id_token_encrypted_response_alg. Vedi content encryption Algoritmi crittografici. | |
| userinfo_signed_response_alg | Vedi OpenID.Registration#ClientMetadata. Vedi signature Algoritmi crittografici. | |
| userinfo_encrypted_response_alg | Vedi OpenID.Registration#ClientMetadata. Vedi key encryption Algoritmi crittografici. | |
| userinfo_encrypted_response_enc | Vedi OpenID.Registration#ClientMetadata. Vedi content encryption Algoritmi crittografici. | |
| token_endpoint_auth_method | Vedi OpenID.Registration#ClientMetadata. Il valore richiesto è private_key_jwt. | |
| client_id | Vedi OpenID.Registration. DEVE essere valorizzato con un HTTPS URL che identifica univocamente il RP. | |
| client_registration_types | Vedi OIDC-FED Section 4.1. Il valore richiesto è automatic. | |
| response_types | Array dei valori di response_type previsti da OAuth 2.0 che il RP userà nelle richieste di autenticazione. Deve contenere il valore code. | |
Nota
Gli URI presenti nel parametro redirect_uris POSSONO anche usare eventuali schemi custom (ad es. myapp://) al fine di supportare applicazioni mobili.
Il Metadata "openid_relying_party" DEVE adottare il parametro jwks.
Il Metadata "openid_relying_party" DEVE adottare il parametro jwks o signed_jwks_uri.