mod_auth_openidc
release 2.4.16.6
mod_auth_openidc는 OpenID Connect의 Relying Party 기능을 구현하는 APACHE 2.X HTTP 서버의 OpenID Certified ™ 인증 및 인증 모듈입니다.
이 모듈을 사용하면 Apache 2.X 웹 서버가 OpenID Connect 제공 업체 (OP)를 향한 OpenID Connect Relying Party (RP)로 작동 할 수 있습니다. 최종 사용자 인증을 공급자에게 릴레이하고 해당 제공 업체로부터 사용자 ID 정보를받습니다. 그런 다음 해당 ID 정보 (일명 청구)를 Apache 웹 서버에서 보호하는 응용 프로그램에 전달하고 식별 된 사용자를위한 인증 세션을 설정합니다.
보호 된 컨텐츠, 애플리케이션 및 서비스는 Apache Server 자체에서 호스팅되거나 Apache를 해당 서버 앞의 역 프록시로 구성하여 해당 오리지널 서버에서 제공 할 수 있습니다. 후자는 해당 응용 프로그램을 수정하지 않고 기존 응용 프로그램/서비스/SPA에 OpenID Connect 기반 인증을 추가하여 레거시 인증 메커니즘에서 표준 기반 OpenID Connect 단일 부호 (SSO)로 마이그레이션 할 수 있습니다.
기본적으로 모듈은 OP의 발급자 식별자 ( [sub]@[iss] )와 관련된 REMOTE_USER 변수를 id_token [sub] 주장으로 설정합니다. 다른 id_token 클레임은 HTTP 헤더 및/또는 환경 변수와 함께 userinfo 종점에서 얻은 (선택적으로) 변수로 전달됩니다. 제공된 HTTP 헤더 및 환경 변수는 Apache 서버에서 보호하는 응용 프로그램으로 소비 할 수 있습니다.
APACHE의 프리미티브를 기반으로하는 사용자 Require 세분화 인증 규칙은 id_token / userinfo 클레임에 제공된 클레임 세트와 일치하도록 지정할 수 있습니다. 복원력 및 성능을위한 클러스터링은 여기에 나열된 지원되는 캐시 백엔드 옵션 중 하나를 사용하여 구성 할 수 있습니다.
For a complete overview of all configuration options, see the file auth_openidc.conf . 이 파일은 httpd.conf 에 대한 포함 파일로도 사용될 수 있습니다.
mod_auth_openidc 는 OpenID Certified ™이며 다음 사양을 지원합니다.
문서화는 위키 (자주 묻는 질문 포함)에서 찾을 수 있습니다.
https://github.com/openidc/mod_auth_openidc/wiki
질문, 문제 및 제안은 Github 토론 포럼을 사용합니다.
https://github.com/openidc/mod_auth_openidc/discussions
상업용 구독 기반 - 지원 및 라이센스는 다음과 같이 문의하십시오.
[email protected]
www.example.com 에서 실행되는 OpenID Connect 제공 업체로 Google을 사용하기위한 샘플 구성 및 https://www.example.com/example/redirect_uri Google API 콘솔을 통해 클라이언트의 redirect_uri 로 등록되었습니다. 또한 Google API 콘솔에서 APIs & auth 에서 Google+ API 활성화해야합니다.
OIDCProviderMetadataURL https://accounts.google.com/.well-known/openid-configuration
OIDCClientID < your -client-id-administered-through-the-google-api-console>
OIDCClientSecret < your -client-secret-administered-through-the-google-api-console>
# OIDCRedirectURI is a vanity URL that must point to a path protected by this module but must NOT point to any content
OIDCRedirectURI https://www.example.com/example/redirect_uri
OIDCCryptoPassphrase < password >
< Location /example/>
AuthType openid-connect
Require valid-user
</ Location > 참고 로그인을 특정 Google Apps 도메인으로 안전하게 제한하려면 Google 계정 선택기 화면을 건너 뛰기 위해 hd=<your-domain> > 설정을 OIDCAuthRequestParams Primitive에 추가 할뿐만 아니라 OIDCScope 사용하여 email 범위를 요청하고 다음과 유사한 Location 에서 Require claim 허가 설정 설정을 요청해야합니다.
OIDCScope " openid email "
Require claim hd:< your -domain>위는 문자열 값에 대한 제공된 청구의 정확한 일치의 승인 예입니다. 더 많은 승인 옵션은 승인시 위키 페이지를 참조하십시오.
mod_auth_openidc.so 설치하고로드하십시오AuthType openid-connectOIDCRedirectURI mod_auth_openidc에 의해 보호되는 위치 내의 "Vanity"URL로 설정하십시오.OIDCClientID 및 OIDCClientSecret 구성합니다.OIDCRedirectURI 제공 업체의 클라이언트와 리디렉션 또는 콜백 URI로 등록하십시오.OIDCProviderMetadataURL 구성하여 .well-known/openid-configuration endpoint에서 제공되는 OpenID Connect 제공자의 발견 메타 데이터를 가리 킵니다.OIDCCryptoPassphrase 의 임의 비밀번호 구성 LoadModule auth_openidc_module modules/mod_auth_openidc.so
OIDCProviderMetadataURL < issuer >/.well-known/openid-configuration
OIDCClientID < client _id>
OIDCClientSecret < client _secret>
# OIDCRedirectURI is a vanity URL that must point to a path protected by this module but must NOT point to any content
OIDCRedirectURI https://< hostname >/secure/redirect_uri
OIDCCryptoPassphrase < password >
< Location /secure>
AuthType openid-connect
Require valid-user
</ Location >여러 제공 업체 구성에 대한 자세한 내용은 Wiki를 참조하십시오.
다른 OpenID Connect 제공 업체의 구성 문서는 Wiki를 참조하십시오.
이 소프트웨어는 Zmartzone Holding BV Holding Bv의 자회사 인 OpenIDC가 공개적으로 공개됩니다.
