6.2.1. Метаданные сервера авторизации

Для целей этого документа используются следующие метаданные сервера авторизации (раздел 4 [8]):

- <grant_types_supported>: (опциональный) перечень поддерживаемых сервером авторизации типов разрешений на доступ (grants); для обеспечения аутентификации конечного пользователя по отдельному каналу определяется дополнительный тип разрешения на доступ "urn: openid: params: grant-type: ciba". Данный тип разрешения на доступ должен использоваться в метаданных сервера авторизации, поддерживающего режимы Ping или Poll;

Примечание. Рекомендации по расширению типов разрешений на доступ определены в подразделе 4.5 [12].

- <token_endpoint_auth_methods_supported>: (опциональный) перечень поддерживаемых сервером авторизации методов аутентификации клиента;

- <token_endpoint_auth_signing_alg_values_supported>: (опциональный) перечень алгоритмов подписи JWS конечной точки аутентификации по обратному каналу сервера;

- <backchannel_token_delivery_modes_supported>: (обязательный) JSON-массив с перечнем поддерживаемых режимов; возможные варианты: "poll", "ping", "push";

- <backchannel_authentication_endpoint>: (обязательный) URL-адрес конечной точки аутентификации по отдельному каналу сервера авторизации;

- <backchannel_authentication_request_signing_alg_values_supported>: (опциональный) JSON-массив с перечнем идентификаторов алгоритмов подписи структуры JWS (параметр <alg>), которые поддерживает сервер авторизации для обработки подписанных запросов аутентификации (подпункт 6.3.1.1). Сервера авторизации, соответствующие настоящему стандарту, должны поддерживать значения, приведенные в подразделе 9.1 [6]. Если параметр отсутствует, подписанные запросы аутентификации не поддерживаются сервером авторизации; <backchannel_ user_code_parameter_supported>: (опциональный) логическое значение, указывающее, поддерживает ли сервер авторизации параметр <user_code> (значение "true" означает поддержку). Если параметр отсутствует, значением по умолчанию является "false".