Saltar a contenido

Integrar Apache2 usando OIDC

Para integrar Apache2 con SIU usando OIDC, tienes que instalar y configurar el módulo mod_auth_openidc en el servidor web.

Instalación de mod_auth_openidc

Lo recomendado es utilizar la versión empaquetada por tu distribución:

apt install libapache2-mod-auth-openidc

yum install mod_auth_openidc

Seguidamente se debe activar y cargar el módulo

a2enmod auth_openidc
systemctl restart apache2

Configuración del sitio

Una vez instalado el módulo, tienes que configurar el host para que haga uso de la validación.

Tip

Es aconsejable plantear la configuración junto con la petición del cliente. En la peticion hay que mandar la URL indicada como ODICRedirectUri y proporciona varios de los parámetros necesarios.

Para ello hay que determinar:

  • Home URL: Es la URL de inicio en la que se muestra la portada de la aplicación que se desea autenticar.

  • Protected URL: Es la URL bajo la que se presta el servicio protegido. Cualquier acceso a esta URL, o cualquier cosa bajo ella, lanzará el proceso de autenticación.

  • Redirect URI: Es la URL a la que el SIU devolverá la información del usuario una vez lo autentique.

    Warning

    Es imprescindible que esta URL esté bajo protected URL para que se active el módulo OIDC y pueda realizarse la autenticación.

En la petición es necesario enviar el Home URL y la Redirect URI. Tras crear el cliente en SIU, se proporcionarán los parámetros necesarios para completar la configuración:

/etc/apache2/sites-available/example.org.conf
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<VirtualHost *:80>
    ServerName   example.org
    ServerAdmin  webmaster@example.org
    DocumentRoot /srv/www/example.org/

    # Contraseña aleatoria para realizar cifrados
    OIDCCryptoPassphrase    "<clave-secreta>"

    # Esta información se proporcionará tras el cliente
    OIDCProviderMetadataURL "https://siu.upm.es/realms/<realm>/.well-known/openid-configuration"
    OIDCClientID            "<client-id>"
    OIDCClientSecret        "<client-secret>"
    # Esta URL se utilizará para recibir la información de autenticación.
    OIDCRedirectURI         "https://example.org/<auth>/"

    # Scopes que precisa la aplicación
    OIDCScope               "openid email"
    # Atributo que el servidor web enviará a la aplicación
    OIDCRemoteUserClaim     "email"

    # Esta es la URL protegida mediante OIDC.
    <Location />
        AuthType openid-connect
        Require  valid-user
    </Location>
</VirtualHost>

Tip

La aplicación no tiene porqué preocuparse de la URL indicada en OIDCRedirectURI. Esta URL no tiene que existir ya que el propio módulo de OIDC la usará para hacer la autenticación.

Warning

Es imprescindible que la URL indicada en OIDCRedirectURI esté protegida bajo OIDC (bajo la URL indicada en la línea 21) para que el módulo pueda recibir la respuesta.

Tip

En el parámetro OIDCCryptoPassphrase se puede usar cualquier valor aleatorio. Sería posible usar algo como:

openssl rand -base64 15