mod_auth_openidc

MOD_AUTH_OPENIDC - это модуль аутентификации и авторизации Certified ™ OpenID для сервера Apache 2.x HTTP, который реализует функциональность OpenID Connect Relying Wation.

Этот модуль позволяет веб -серверу Apache 2.x работать в качестве открытого подключения Connect Speeding (RP) для поставщика OpenID Connect (OP). Он передает аутентификацию конечного пользователя поставщику и получает информацию об идентификации пользователя от этого поставщика. Затем он передает эту информацию о личности (AKA претензии) приложениям, защищенным веб -сервером Apache, и устанавливает сеанс аутентификации для идентифицированного пользователя.

Защищенный контент, приложения и службы могут быть размещены самим сервером Apache или обслуживаемым на сервере Origin (ы), находящемся за ним путем настройки Apache в качестве обратного прокси на этих серверах. Последнее позволяет добавлять аутентификацию на основе OpenID Connect к существующим приложениям/службам/спа-салонам без изменения этих приложений, возможно, мигрируя их из устаревших механизмов аутентификации в стандартные стандарты OpenID Connect Single Sign On (SSO).

По умолчанию модуль устанавливает переменную REMOTE_USER для претензии id_token [sub] , объединенной с идентификатором эмитента OP ( [sub]@[iss] ). Другие претензии id_token передаются в заголовках HTTP и/или переменных среды вместе с этими (необязательно), полученными из конечной точки пользователя. Предоставленные заголовки HTTP и переменные среды могут использоваться приложениями, защищенными сервером Apache.

Пользовательские мелкозернистые правила авторизации - основанные на Require Apache - можно указать, чтобы соответствовать набору претензий, представленных в претензиях id_token / userinfo , см. Здесь. Кластеризация для устойчивости и производительности может быть настроена с использованием одного из поддерживаемых параметров бэкэндов кэша, как указано здесь.

Для получения полного обзора всех параметров конфигурации см. Файл auth_openidc.conf . Этот файл также может служить в качестве файла включения для httpd.conf .

MOD_AUTH_OPENIDC - это CERTIDID ™ и поддерживает следующие спецификации:

• OpenID Connect Core 1.0 (основные, неявные, гибридные и обновления потоки)
• OpenID Connect Discovery 1.0
• OpenID Connect Dynamic Registration 1.0
• RFC 7636 - Ключ -доказательство для обмена кодами от OAuth Public Clients
• RFC 9126 - OAUTH 2.0 выдвинул запросы на авторизацию
• RFC 9449 - OAuth 2.0 Демонстрируя доказательство владения (DPOP)
• Профиль безопасности FAPI 2.0
• OAuth 2.0 Form Post Режим ответа 1.0
• OAuth 2.0 Практики кодирования Multiply Response Type 1.0
• OpenID Connect Session Management 1.0 См. Вики для получения информации о том, как его настроить)
• OpenID подключить передний канал Logout 1.0
• OpenID подключить обратный канал вход 1.0

Документацию можно найти в вики (включая часто задаваемые вопросы) по адресу:
https://github.com/openidc/mod_auth_openidc/wiki
По вопросам, вопросам и предложениям используйте форум по обсуждению GitHub по адресу:
https://github.com/openidc/mod_auth_openidc/discussions

Для коммерческого - на основе подписки - поддержка и лицензирование, пожалуйста, свяжитесь:
[email protected]

Пример конфигурации для использования Google в качестве поставщика OpenID Connect, работающего на www.example.com и https://www.example.com/example/redirect_uri зарегистрированной как redirect_uri для клиента через консоли Google API. Вам также придется включить Google+ API в соответствии с APIs & auth в консоли Google API.

OIDCProviderMetadataURL https://accounts.google.com/.well-known/openid-configuration
OIDCClientID < your -client-id-administered-through-the-google-api-console>
OIDCClientSecret < your -client-secret-administered-through-the-google-api-console>

# OIDCRedirectURI is a vanity URL that must point to a path protected by this module but must NOT point to any content
OIDCRedirectURI https://www.example.com/example/redirect_uri
OIDCCryptoPassphrase < password >

< Location /example/>
   AuthType openid-connect
   Require valid-user
</ Location >

Обратите внимание, что если вы хотите безопасно ограничивать вход в систему в конкретном домене Google Apps, вы не только добавите настройку hd=<your-domain> в PRIMITITIONS OIDCAuthRequestParams для пропуски экрана выбора учетной записи Google, но также необходимо попросить применение email Location используя OIDCScope и использовать настройку разрешения Require claim .

OIDCScope " openid email "
Require claim hd:< your -domain>

Выше приведено пример авторизации точного соответствия предоставленной претензии по строковому значению. Для получения дополнительных вариантов авторизации см. Страницу Wiki по авторизации.

1. Установите и загрузите mod_auth_openidc.so на вашем сервере Apache
2. Настройте защищенный контент/местоположения с помощью AuthType openid-connect
3. Установите OIDCRedirectURI на URL «тщеславие» в месте, которое защищено mod_auth_openidc
4. Зарегистрируйте/генерируйте идентификатор клиента и секрет с поставщиком OpenID Connect и настройте его в OIDCClientID и OIDCClientSecret соответственно
5. и зарегистрируйте OIDCRedirectURI в качестве перенаправления или обратного вызова URI с вашим клиентом у поставщика
6. Настройте OIDCProviderMetadataURL , чтобы он указывал на метаданные обнаружения вашего поставщика OpenID Connect, который обслуживается в конечной точке .well-known/openid-configuration
7. Настройка случайного пароля в OIDCCryptoPassphrase для целей шифрования сеанса/состояния

 LoadModule auth_openidc_module modules/mod_auth_openidc.so

OIDCProviderMetadataURL < issuer >/.well-known/openid-configuration
OIDCClientID < client _id>
OIDCClientSecret < client _secret>

# OIDCRedirectURI is a vanity URL that must point to a path protected by this module but must NOT point to any content
OIDCRedirectURI https://< hostname >/secure/redirect_uri
OIDCCryptoPassphrase < password >

< Location /secure>
   AuthType openid-connect
   Require valid-user
</ Location >

Для получения подробной информации о настройке нескольких поставщиков см. Вики.

См. Вики для конфигурации документов для других поставщиков OpenID Connect:

• Сервер Gluu
• KeyCloak
• Microsoft Entra ID (Azure Ad)
• Войти в Apple
• Curity Identity Server
• Lemonldap :: ng
• Гитлаб
• Globus и многое другое

Это программное обеспечение открыто открыто OpenIDC, дочерней компанией Zmartzone Holding BV для коммерческих услуг. Вы можете связаться с OpenIDC, как описано выше в разделе поддержки.