Differenze

Queste sono le differenze tra la revisione selezionata e la versione attuale della pagina.

--- guide_pubbliche:howto:identity:shibbolethsp_config [2025/01/16 09:42]
riccardo.cappone@unipr.it [Ruoli]
+++ guide_pubbliche:howto:identity:shibbolethsp_config [2025/02/13 06:55] (versione attuale)
riccardo.cappone@unipr.it
@@ Linea 75: / Linea 75: @@
 Per tutti gli entityID non riferiti al dominio unipr.it occorre concordare il rilascio degli attributi, che saranno filtrati e rilasciati in maniera puntuale da parte del nostro IdP.
+Logout URL che il service provider può utilizzare per attivare la funzione di SLO
+**https://shibidp.unipr.it/idp/profile/Logout**
 ===== Istruzioni =====
@@ Linea 345: / Linea 346: @@
 [[https://shibidp.unipr.it/.well-known/openid-configuration]]
-Questo URI consente di ottenere l informazioni principali contenute nel Metadata dell'OP Server di autenticazione/autorizzazione, come ad esempio l'Authorization Endpoint, il token Endpoint, ?introspection Endpoint, etc.
+Questo URI consente di ottenere l informazioni principali contenute nel Metadata dell'OP Server di autenticazione/autorizzazione, come ad esempio l'Authorization Endpoint, il token Endpoint, l'introspection Endpoint, etc.
 __Specifiche OAuth2 implementate e supportate__:
@@ Linea 364: / Linea 365: @@
   * client_id
   * client_secret
-  * resource indicator (obbligatorio durante la request autorizzativa come parametro)
+  * resource indicator (parametro obbligatorio nella request autorizzativa)
+il parametro resource richiesto dal client, sarà utilizzatto come audience nei token che verranno rilasciati. Questo valore di audience sarà verificabile solamente dal Server della risorsa che avrà il corrispondente client_id (e client_secret) per verificarlo via introspezione.
 Il client deve effettuare la request autorizzativa verso il server di autorizzazione richiedendo obbligatoriamente:
@@ Linea 370: / Linea 374: @@
   * redirect_uri=<da comunicare preventivamente per la registrazione del Metadata sul Server di autorizzazione>
   * scope=openid profile email spid offline_access
+  * resource=<fornito in fase di registrazione del Metadata>
 Il metodo di autenticazione da utilizzare quando il Client si autentica con il Server autorizzativo è client_secret_basic (credenziali vengono inviate nell'intestazione di autorizzazione come una stringa codificata in base64)
@@ Linea 391: / Linea 396: @@
 {{ :guide_pubbliche:howto:identity:introspection_call.png?direct&600 |}}
-Esempio di risposta caso di token non valido:
+Esempio response caso token non valido:
-{{ :guide_pubbliche:howto:identity:introspection_failed.png?direct&400 |}}
+{{ :guide_pubbliche:howto:identity:introspection_failed.png?direct&200 |}}
+Esempio response caso token valido:
+{{ :guide_pubbliche:howto:identity:introspection_ok.png?direct&300 |}}
 ===== Utilizzo dell'Auth Code =====
@@ Linea 416: / Linea 424: @@
 {{ :guide_pubbliche:howto:identity:refresh_token_request.png?direct&600 |}}
+{{ :guide_pubbliche:howto:identity:refreeh_aut_code_requests.png?direct&800 |}}

Documentazione Area Sistemi Informativi

Strumenti Utente

Strumenti Sito

Differenze

Strumenti Pagina