Strumenti Utente
guide_pubbliche:howto:identity:shibbolethsp_config
Differenze
Queste sono le differenze tra la revisione selezionata e la versione attuale della pagina.
| Entrambe le parti precedenti la revisione Revisione precedente Prossima revisione | Revisione precedente | ||
|
guide_pubbliche:howto:identity:shibbolethsp_config [2025/01/16 10:17] riccardo.cappone@unipr.it |
guide_pubbliche:howto:identity:shibbolethsp_config [2025/02/13 06:55] (versione attuale) riccardo.cappone@unipr.it |
||
|---|---|---|---|
| Linea 75: | Linea 75: | ||
| Per tutti gli entityID non riferiti al dominio unipr.it occorre concordare il rilascio degli attributi, che saranno filtrati e rilasciati in maniera puntuale da parte del nostro IdP. | Per tutti gli entityID non riferiti al dominio unipr.it occorre concordare il rilascio degli attributi, che saranno filtrati e rilasciati in maniera puntuale da parte del nostro IdP. | ||
| + | Logout URL che il service provider può utilizzare per attivare la funzione di SLO | ||
| + | **https://shibidp.unipr.it/idp/profile/Logout** | ||
| ===== Istruzioni ===== | ===== Istruzioni ===== | ||
| Linea 364: | Linea 365: | ||
| * client_id | * client_id | ||
| * client_secret | * client_secret | ||
| - | * resource indicator (obbligatorio durante la request autorizzativa come parametro) | + | * resource indicator (parametro obbligatorio nella request autorizzativa) |
| + | |||
| + | il parametro resource richiesto dal client, sarà utilizzatto come audience nei token che verranno rilasciati. Questo valore di audience sarà verificabile solamente dal Server della risorsa che avrà il corrispondente client_id (e client_secret) per verificarlo via introspezione. | ||
| Il client deve effettuare la request autorizzativa verso il server di autorizzazione richiedendo obbligatoriamente: | Il client deve effettuare la request autorizzativa verso il server di autorizzazione richiedendo obbligatoriamente: | ||
| Linea 370: | Linea 374: | ||
| * redirect_uri=<da comunicare preventivamente per la registrazione del Metadata sul Server di autorizzazione> | * redirect_uri=<da comunicare preventivamente per la registrazione del Metadata sul Server di autorizzazione> | ||
| * scope=openid profile email spid offline_access | * scope=openid profile email spid offline_access | ||
| + | * resource=<fornito in fase di registrazione del Metadata> | ||
| Il metodo di autenticazione da utilizzare quando il Client si autentica con il Server autorizzativo è client_secret_basic (credenziali vengono inviate nell'intestazione di autorizzazione come una stringa codificata in base64) | Il metodo di autenticazione da utilizzare quando il Client si autentica con il Server autorizzativo è client_secret_basic (credenziali vengono inviate nell'intestazione di autorizzazione come una stringa codificata in base64) | ||
Strumenti Pagina
