OIDC: Mehrere Behörden teilen sich den gleichen Emittenten, Anliegen?

Question

Wir haben eine Open-ID-Connect-Lösung für mehrere Identity-Identitätsserver mit jedem Mandanten/Kunden, der derzeit seine eigenen spezifischen Autorisierungs-URLs und Metadaten-Informationen besitzt. Wir verwenden die gleichen Schlüssel, um jwts für alle Mieter zu signieren. Beispielautoritäts-URL für einen Mandanten: https://auth.ourdomain.com/tenant123. (Grund ist historisch und nicht sehr einfach zu ändern)

Während wir brauchen unterschiedliche Autorisierung URL für jeden Mieter, würden wir wirklich so viel Einfachheit wie möglich bevorzugen, wenn es um die Validierung der signierten JWts beim Aufbau interner Apis und für Dritte kommt . Momentan ist das Aussteller-URI auch mandantenspezifisch, aber wir denken darüber nach, dies so zu ändern, dass alle Mandanten das gleiche Aussteller-URI teilen und somit eine JWT-Validierung gegenüber einer festen Autoritäts-URI durchgeführt werden kann.

Abgesehen von der Abhängigkeit, dass alle Behörden die gleiche Signierung jwks teilen müssen gibt es irgendwelche Bedenken über mehrere Behörden die gleiche Aussteller URI teilen, wenn es um Sicherheit, Spezifikation oder einfach empfohlene Best Practice?

Answer 1

Im Allgemeinen würde ich nicht die Verwendung desselben Ausstellers empfehlen, da dies das Risiko erhöht, dass Token über mehrere Mandanten hinweg wiederverwendet werden, d. H. Ein Benutzer von einem Mandanten gibt sich als ein anderer Benutzer bei einem anderen Mandanten aus.

Man kann, indem sichergestellt wird, dieses Risiko verringern, dass ein „Publikum“ in dem Token, das den beabsichtigten Empfänger/Mieter Kennungen gesendet wird und darauf achten, dass die Empfänger überprüfen tatsächlich diesen Wert Publikum aber Sie würden abhängig - mehr noch - auf eine korrekte Implementierung beim Empfänger, die schwer zu gewährleisten ist.

Eine weitere Maßnahme, die das Risiko verringern würde, besteht darin, sicherzustellen, dass Benutzer-IDs für alle Mandanten eindeutig sind, aber auch schwer zu gewährleisten sind.

FWIW: das gleiche Argument gilt für die Wiederverwendung von Schlüsseln: es macht es schwieriger, gegen "Kreuzspiel" zu schützen.

Hinweis: Im Prinzip macht die Schlüsselwiederverwendung es auch schwerer, Schlüssel zu überrollen (und vermeiden Sie einen Big Bang Ansatz über alle Mandanten), aber in OIDCs Schlüssel verwenden Sie wahrscheinlich einen jwks_uri dafür, der Dinge basierend auf TLS-Serverzertifikat automatisiert Validierung.