Wir haben eine Open-ID-Connect-Lösung für mehrere Identity-Identitätsserver mit jedem Mandanten/Kunden, der derzeit seine eigenen spezifischen Autorisierungs-URLs und Metadaten-Informationen besitzt. Wir verwenden die gleichen Schlüssel, um jwts für alle Mieter zu signieren. Beispielautoritäts-URL für einen Mandanten: https://auth.ourdomain.com/tenant123. (Grund ist historisch und nicht sehr einfach zu ändern)OIDC: Mehrere Behörden teilen sich den gleichen Emittenten, Anliegen?
Während wir brauchen unterschiedliche Autorisierung URL für jeden Mieter, würden wir wirklich so viel Einfachheit wie möglich bevorzugen, wenn es um die Validierung der signierten JWts beim Aufbau interner Apis und für Dritte kommt . Momentan ist das Aussteller-URI auch mandantenspezifisch, aber wir denken darüber nach, dies so zu ändern, dass alle Mandanten das gleiche Aussteller-URI teilen und somit eine JWT-Validierung gegenüber einer festen Autoritäts-URI durchgeführt werden kann.
Abgesehen von der Abhängigkeit, dass alle Behörden die gleiche Signierung jwks teilen müssen gibt es irgendwelche Bedenken über mehrere Behörden die gleiche Aussteller URI teilen, wenn es um Sicherheit, Spezifikation oder einfach empfohlene Best Practice?