2.6 Shibboleth/Apache-konfigurationsfiler
IdP-förvaltningen har inte själva någon SP-installation med Shibboleth eller RP-installation med Apache och har heller ingen support på en sådan uppsättning men här nedan finns några exempel-filer som kommer från en av e-tjänsterna som använder IdP tillsammans med Shibboleth samt en start på en konfigurationsfil för mod_auth_openidc med Apache (aktivt projekt), då utvecklingen av OIDC för Shibboleth avbrutits.
Utan support
Dessa filer kan användas som en startpunkt för en e-tjänsts integration men Inera och Säkerhetstjänster ger ingen support för dessa konfigurationer
SAML
- Shibboleth SP-config: shibboleth2.xml
- Shibboleth attribute-map: attribute-map-ineraidp.xml
OIDC (Apache RP mod_auth_openidc)
Använder private_key_jwt och enkelt scope openid med några extra claims
mod_apache_auth_openidc.conf
######################## # Ex auth_openidc.conf # # VIKTIGT: ÄNDRA MIG!! # ######################## # Referenser # https://inera.atlassian.net/wiki/display/ST/Attributlista # https://inera.atlassian.net/wiki/display/ST/Attributstyrning+OIDC # https://openid.net/specs/openid-connect-core-1_0.html#AuthorizationExamples # https://wiki.shibboleth.net/confluence/display/IDP30/AuthenticationConfiguration # https://github.com/zmartzone/mod_auth_openidc # https://auth0.com/docs/quickstart/webapp/apache/01-login ###### PRODUKTIONSMILJÖ ###### OIDCProviderMetadataURL https://idp.inera.se/oidc/.well-known/openid-configuration OIDCClientID <klientiD, etjänstens identifikation i statistik mm) ############################## ###### TESTMILJÖ TEST ######## #OIDCProviderMetadataURL https://idp.ineratest.org/oidc/.well-known/openid-configuration #OIDCClientID (klientiD, etjänstens identifikation i statistik mm) ############################## ######## TESTMILJÖ QA ######## #OIDCProviderMetadataURL https://idp.ineraqa.org/oidc/.well-known/openid-configuration #OIDCClientID (klientiD, etjänstens identifikation i statistik mm) ############################## # Hantering av cache OIDCCryptoPassphrase <unikt lösenord för kryptering av temporära- och sessionskakor> OIDCCacheEncrypt On OIDCCacheType <shm|memcache|file[|redis]> OIDCCacheShmMax <max antal cachade namn-värdepar> # IdP anslutning (private_key_jwt rekommenderas starkt) OIDCResponseType "code" OIDCProviderTokenEndpointAuth private_key_jwt OIDCOAuthIntrospectionEndpointAuth private_key_jwt OIDCPublicKeyFiles <sökväg till PEM-formatterad, publik nyckel eller ett X.509 certifikat som innehåller den publika RSA nyckeln.crt> OIDCPrivateKeyFiles <sökväg till PEM-formatterad privat RSA nyckel.key> # RP konfiguration OIDCRedirectURI https://(etjänstens domän och sökväg)/redirect_uri OIDCSessionInactivityTimeout 3600 OIDCScope "openid" OIDCPassUserInfoAs "jwt" # Exempel claims (alla via jwt-svaret id_token, inte userinfo ändpunkt): # commissionPurpose Valt medarbetaruppdrags syfte # employeeHsaId Individens HSAid # name Individens för- och efternamn # acr Level of Assurance (LoA), obligatoriskt nivå 3 för lyckad autentisering i detta fall OIDCAuthRequestParams claims={"id_token":{"commissionPurpose":null,"employeeHsaId":null,"name":null,"acr":{"value":"http://id.sambi.se/loa/loa3","essential":true}}} <Location /> Options -Indexes AuthType openid-connect Require claim commissionPurpose Require claim employeeHsaId Require claim name Require claim acr Require valid-user </Location>
Publik Information