具有分区客户端和范围配置的单一身份
Single identity with partitioned client and scope configuration
问题
假设一个组织要求其所有消费者(非员工)用户使用单一用户身份。该组织规模庞大,拥有许多运营自己的面向消费者的应用程序的业务部门,但所有这些都需要使用单个 IDP 的用户。
每个业务部门必须能够使用 IDP 控制自己的应用程序配置,而不能控制任何其他 BU 的应用程序配置。
所有消费者身份都是作为组织用户配置过程的一部分创建的,以验证此人是谁。不会有自助注册。
选项 1
我的第一个想法是拥有单独的身份服务器,每个业务部门一个。这至少提供了配置分离。然后有一个仅供消费者用户使用的组织 IDP。
每个特定于 BU 的 IDP 都将支持从组织 IDP 登录,方法是从 BU IDP 登录屏幕选择,或者如果特定于 BU 的应用要求它这样做,则立即重定向到组织 IDP。
这是一种多租户,尽管不是在单一服务产品中。这确实意味着每个 BU 管理其用户身份和应用程序配置,并允许通过单一组织身份(加上本地 BU IDP 帐户)登录。此外,管理员(部分员工)用户可以通过本地 BU 帐户或公司 AAD 身份登录(如果已配置)。
选项 2
拥有单个组织身份服务器并提供配置api/ui以支持客户端和范围数据的分区。这意味着每个 BU 将仅限于其应用程序身份配置数据,但将允许所有用户使用所有应用程序而无需许多本地帐户(每个 BU IDP 一个)。
每个应用都必须有某种范围命名约定,以免与另一个 BU 的应用中使用的范围发生冲突。像 _mywebapi.
我的问题是选项 1 是否应该是选项 2 的体系结构选择,因为许多业务部门想要控制他们自己的基于令牌的应用程序但想要使用单个用户身份?或者还有其他选择吗?
您可以将两者结合起来。您可以拥有一个中央令牌服务来实现 SSO,它所做的一切都会为所有业务部门的用户发布一个唯一的 ID。然后,业务部门拥有自己的令牌服务,允许他们控制对其应用程序和 API 的访问和配置。
要将两个令牌服务连接在一起,您需要将业务单元令牌服务联合到中央令牌服务。
问题
假设一个组织要求其所有消费者(非员工)用户使用单一用户身份。该组织规模庞大,拥有许多运营自己的面向消费者的应用程序的业务部门,但所有这些都需要使用单个 IDP 的用户。
每个业务部门必须能够使用 IDP 控制自己的应用程序配置,而不能控制任何其他 BU 的应用程序配置。
所有消费者身份都是作为组织用户配置过程的一部分创建的,以验证此人是谁。不会有自助注册。
选项 1
我的第一个想法是拥有单独的身份服务器,每个业务部门一个。这至少提供了配置分离。然后有一个仅供消费者用户使用的组织 IDP。
每个特定于 BU 的 IDP 都将支持从组织 IDP 登录,方法是从 BU IDP 登录屏幕选择,或者如果特定于 BU 的应用要求它这样做,则立即重定向到组织 IDP。
这是一种多租户,尽管不是在单一服务产品中。这确实意味着每个 BU 管理其用户身份和应用程序配置,并允许通过单一组织身份(加上本地 BU IDP 帐户)登录。此外,管理员(部分员工)用户可以通过本地 BU 帐户或公司 AAD 身份登录(如果已配置)。
选项 2
拥有单个组织身份服务器并提供配置api/ui以支持客户端和范围数据的分区。这意味着每个 BU 将仅限于其应用程序身份配置数据,但将允许所有用户使用所有应用程序而无需许多本地帐户(每个 BU IDP 一个)。
每个应用都必须有某种范围命名约定,以免与另一个 BU 的应用中使用的范围发生冲突。像 _mywebapi.
我的问题是选项 1 是否应该是选项 2 的体系结构选择,因为许多业务部门想要控制他们自己的基于令牌的应用程序但想要使用单个用户身份?或者还有其他选择吗?
您可以将两者结合起来。您可以拥有一个中央令牌服务来实现 SSO,它所做的一切都会为所有业务部门的用户发布一个唯一的 ID。然后,业务部门拥有自己的令牌服务,允许他们控制对其应用程序和 API 的访问和配置。
要将两个令牌服务连接在一起,您需要将业务单元令牌服务联合到中央令牌服务。