Apache2のmod_authnz_ldapで, .htaccess で AuthBasicProvider ldap を指定して組織のLDAPサーバを引いてディレクトリごとに認可していた.

環境の変化により, LDAPが使えなくなるが, Google WorkspaceのOpenID Connectは使えるので, 3rd party module mod_auth_openidc を使ってそちらに移行することを検討.

以下の記事が詳しく, とても有用だった. qiita.com

複数のDirectoryの ~/.htaccess に別々のRequire claim email:user1@example.com email:user1@example.com を書こうという話なのだが, 設定ファイルauth_openidc.conf で設定される OIDCCookiePath は, 相対URLとして上位(一部分)でなければいけないという(文書化されていない)要求があるようだ. デフォルトの/ならそうなる. 上の記事では, LocationとOIDCCookiePathを同じにしている. Locationが1個なら, それも可能な設定.