Af Mikkel Hald, 28/05/25
WAYF idriftsatte for nylig understøttelse for code flow-udgaven af OIDC og offentliggjorde i den forbindelse her på websitet de konfigurationsdata man skal bruge for at forbinde en tjeneste til WAYF med den protokol.
I en del OIDC-biblioteker for tjenester kan tjenesteudbyderen inddatere alle konfigurationsoplysningerne for OpenID Provider'e (autentifikationskilder) manuelt, men ikke i alle: Her forudsætter biblioteket i stedet at konfigurationen kan læses et sted på nettet i et standardiseret format. Derfor offentliggør vi nu også WAYFs konfiguration som OpenID Provider på den måde, nemlig på URL'en https://wayf.wayf.dk/oidc/config/.well-known/openid-configuration.
Derudover har vi nu også gjort det muligt for tjenesteudbydere som måtte ønske dét, at få en direkte OIDC-forbindelse til hver brugerorganisation i WAYF: Hver organisation (og NemLog-in) fremstår nu som selvstændig OpenID Provider med konfigurationen på https://wayf.wayf.dk/oidc/config/domæne/.well-known/openid-configuration, hvor domæne er organisationens DNS-domæne. Konfigurationen for Aalborg Universitet som OpenID Provider kan man altså hente på https://wayf.wayf.dk/oidc/config/aau.dk/.well-known/openid-configuration. Selvom WAYFs server i virkeligheden indgår i login-flow'et, oplever brugerne det på helt samme måde som hvis tjenesten rent faktisk var tilsluttet organisationens OpenID Provider direkte: WAYF er usynlig for dem.
Det er ikke tilfældigt at alle URL'erne ender på /.well-known/openid-configuration: Mange OIDC-biblioteker underforstår den konvention og vil faktisk kun have URL'ens indledende del, fx https://wayf.wayf.dk/oidc/config/aau.dk for Aalborg Universitet, inddateret som onlineplacering for OpenID Provider'ens konfiguration.
Tjenesteudbydere som indlæser OpenID Provider-konfigurationer på den måde, skal dog være opmærksomme på – og indforståede med – at føderationens særskilte tillidsstruktur over for dem er sat ud af kraft: OIDC-konfigurationsdata er nemlig i modsætning til vores SAML-metadata ikke digitalt underskrevet med føderationens særlige privatnøgle for metadata – så eneste holdepunkt for at konfigurationsdataene rent faktisk stammer fra WAYF, er selve TLS-forbindelsen til domænet wayf.wayf.dk, som dataene læses fra. Det er en afgørende forskel fra SAML-protokollen.