IdP-förvaltningen har inte själva någon SP-installation med Shibboleth eller RP-installation med Apache och har heller ingen support på en sådan uppsättning men här nedan finns några exempel-filer som kommer från en av e-tjänsterna som använder IdP tillsammans med Shibboleth samt en start på en konfigurationsfil för mod_auth_openidc med Apache (aktivt projekt), då utvecklingen av OIDC för Shibboleth avbrutits.
Utan support
Dessa filer kan användas som en startpunkt för en e-tjänsts integration men Inera och Säkerhetstjänster ger ingen support för dessa konfigurationer
SAML
- Shibboleth SP-config: shibboleth2.xml
- Shibboleth attribute-map: attribute-map-ineraidp.xml
OIDC (Apache RP mod_auth_openidc)
Använder private_key_jwt och enkelt scope openid med några extra claims
mod_apache_auth_openidc.conf
########################
# Ex auth_openidc.conf #
# VIKTIGT: ÄNDRA MIG!! #
########################
# Referenser
# https://confluence.cgiostersund.se/display/ST/Attributlista
# https://confluence.cgiostersund.se/display/ST/Attributstyrning+OIDC
# https://openid.net/specs/openid-connect-core-1_0.html#AuthorizationExamples
# https://wiki.shibboleth.net/confluence/display/IDP30/AuthenticationConfiguration
# https://github.com/zmartzone/mod_auth_openidc
# https://auth0.com/docs/quickstart/webapp/apache/01-login
###### PRODUKTIONSMILJÖ ######
OIDCProviderMetadataURL https://idp.inera.se/oidc/.well-known/openid-configuration
OIDCClientID <klientiD, etjänstens identifikation i statistik mm)
##############################
###### TESTMILJÖ TEST ########
#OIDCProviderMetadataURL https://idp.ineratest.org/oidc/.well-known/openid-configuration
#OIDCClientID (klientiD, etjänstens identifikation i statistik mm)
##############################
######## TESTMILJÖ QA ########
#OIDCProviderMetadataURL https://idp.ineraqa.org/oidc/.well-known/openid-configuration
#OIDCClientID (klientiD, etjänstens identifikation i statistik mm)
##############################
# Hantering av cache
OIDCCryptoPassphrase <unikt lösenord för kryptering av temporära- och sessionskakor>
OIDCCacheEncrypt On
OIDCCacheType <shm|memcache|file[|redis]>
OIDCCacheShmMax <max antal cachade namn-värdepar>
# IdP anslutning (private_key_jwt rekommenderas starkt)
OIDCResponseType "code"
OIDCProviderTokenEndpointAuth private_key_jwt
OIDCOAuthIntrospectionEndpointAuth private_key_jwt
OIDCPublicKeyFiles <sökväg till PEM-formatterad, publik nyckel eller ett X.509 certifikat som innehåller den publika RSA nyckeln.crt>
OIDCPrivateKeyFiles <sökväg till PEM-formatterad privat RSA nyckel.key>
# RP konfiguration
OIDCRedirectURI https://(etjänstens domän och sökväg)/redirect_uri
OIDCSessionInactivityTimeout 3600
OIDCScope "openid"
OIDCPassUserInfoAs "jwt"
# Exempel claims (alla via jwt-svaret id_token, inte userinfo ändpunkt):
# commissionPurpose Valt medarbetaruppdrags syfte
# employeeHsaId Individens HSAid
# name Individens för- och efternamn
# acr Level of Assurance (LoA), obligatoriskt nivå 3 för lyckad autentisering i detta fall
OIDCAuthRequestParams claims={"id_token":{"commissionPurpose":null,"employeeHsaId":null,"name":null,"acr":{"value":"http://id.sambi.se/loa/loa3","essential":true}}}
<Location />
Options -Indexes
AuthType openid-connect
Require claim commissionPurpose
Require claim employeeHsaId
Require claim name
Require claim acr
Require valid-user
</Location>