2.6 Shibboleth/Apache-konfigurationsfiler

IdP-förvaltningen har inte själva någon SP-installation med Shibboleth eller RP-installation med Apache och har heller ingen support på en sådan uppsättning men här nedan finns några exempel-filer som kommer från en av e-tjänsterna som använder IdP tillsammans med Shibboleth samt en start på en konfigurationsfil för mod_auth_openidc med Apache (aktivt projekt), då utvecklingen av OIDC för Shibboleth avbrutits.

Utan support

Dessa filer kan användas som en startpunkt för en e-tjänsts integration men Inera och Säkerhetstjänster ger ingen support för dessa konfigurationer

SAML

OIDC (Apache RP mod_auth_openidc)

Använder private_key_jwt och enkelt scope openid med några extra claims

mod_apache_auth_openidc.conf
########################
# Ex auth_openidc.conf #
# VIKTIGT: ÄNDRA MIG!! #
########################
# Referenser
# https://inera.atlassian.net/wiki/display/ST/Attributlista
# https://inera.atlassian.net/wiki/display/ST/Attributstyrning+OIDC
# https://openid.net/specs/openid-connect-core-1_0.html#AuthorizationExamples
# https://wiki.shibboleth.net/confluence/display/IDP30/AuthenticationConfiguration
# https://github.com/zmartzone/mod_auth_openidc
# https://auth0.com/docs/quickstart/webapp/apache/01-login

###### PRODUKTIONSMILJÖ ######
OIDCProviderMetadataURL https://idp.inera.se/oidc/.well-known/openid-configuration
OIDCClientID <klientiD, etjänstens identifikation i statistik mm)
##############################

###### TESTMILJÖ TEST ########
#OIDCProviderMetadataURL https://idp.ineratest.org/oidc/.well-known/openid-configuration
#OIDCClientID (klientiD, etjänstens identifikation i statistik mm)
##############################

######## TESTMILJÖ QA ########
#OIDCProviderMetadataURL https://idp.ineraqa.org/oidc/.well-known/openid-configuration
#OIDCClientID (klientiD, etjänstens identifikation i statistik mm)
##############################

# Hantering av cache
OIDCCryptoPassphrase <unikt lösenord för kryptering av temporära- och sessionskakor>
OIDCCacheEncrypt On
OIDCCacheType <shm|memcache|file[|redis]>
OIDCCacheShmMax <max antal cachade namn-värdepar>
# IdP anslutning (private_key_jwt rekommenderas starkt)
OIDCResponseType "code"
OIDCProviderTokenEndpointAuth private_key_jwt
OIDCOAuthIntrospectionEndpointAuth private_key_jwt
OIDCPublicKeyFiles <sökväg till PEM-formatterad, publik nyckel eller ett X.509 certifikat som innehåller den publika RSA nyckeln.crt>
OIDCPrivateKeyFiles <sökväg till PEM-formatterad privat RSA nyckel.key>
# RP konfiguration
OIDCRedirectURI https://(etjänstens domän och sökväg)/redirect_uri
OIDCSessionInactivityTimeout 3600
OIDCScope "openid"
OIDCPassUserInfoAs "jwt"

# Exempel claims (alla via jwt-svaret id_token, inte userinfo ändpunkt):
# commissionPurpose		Valt medarbetaruppdrags syfte
# employeeHsaId			Individens HSAid
# name				 	Individens för- och efternamn
# acr					Level of Assurance (LoA), obligatoriskt nivå 3 för lyckad autentisering i detta fall
OIDCAuthRequestParams claims={"id_token":{"commissionPurpose":null,"employeeHsaId":null,"name":null,"acr":{"value":"http://id.sambi.se/loa/loa3","essential":true}}}


<Location />
  Options -Indexes
  AuthType openid-connect
  Require claim commissionPurpose
  Require claim employeeHsaId
  Require claim name
  Require claim acr
  Require valid-user
</Location>


Publik Information