大规模解决多租户登录问题

Question

我在一个真正的建筑或购买斗争。GCP身份平台将满足我们几乎所有的需求。

基本上，我希望自己构建用户管理(包括rbac和组)，只想用以下需求解决登录和令牌问题。我对jwt和身份验证有相当多的了解。我要问我自己的问题是，最好是自己建立一个解决方案，或者使用一个现有的解决方案。

是否有任何支持以下内容的替代办法：

• 多租户(规模>10k租户)
• 外交部
• 社会登录
• 带oidc和saml的SSO
• 当然，持久化(使用刷新令牌)

有关于自我建设的建议吗？还有别的选择吗？任何方向都非常感谢。

PS：

这些都不是我所需要的:奥利，克赖克，奥克塔，auth0，富通，古鲁

Answer 1

用户数据

当您集成OAuth时，始终有两个用户数据源：

• 身份数据对用户的看法
• 您自己的业务数据对用户的看法

我认为您的意思是，您希望对用户数据进行更好的控制，同时也将困难的安全工作具体化。

令牌和索赔

身份系统应该能够在访问令牌中包含诸如Tenant ID之类的值，而不管每个值存储在哪个数据源中。

类似地，您的业务数据中的User ID也可能需要在令牌中。这个值应该以一致的方式提供给您的API，不管用户是如何登录的，这是通过帐户链接来管理的。

设计端到端流

最重要的是要仔细考虑这些新用户和现有用户的工作方式。这个详细的礼仪文章提供了一些有用的例子。

选择一个解决方案

在您设计了端到端的流程并澄清了您的需求之前，不要选择第三方身份系统。OAuth的关键在于它需要可扩展的构建块，而不是一个现成的解决方案。

一些公司从本土发展的身份微服务开始，这可能会成为很多工作，但在早期可能是好的。我总是建议保持应用程序代码的可移植性，以便将来可以迁移到更好的提供者(如果需要的话)。

Answer 2

您是否只考虑开放源码解决方案？Azure广告在你所有的盒子里滴答作响。

Answer 3

您不应该自己实现安全逻辑，比如授权、身份验证或加密。使用现有的解决方案总是更好--特别是像MFA这样的功能并不容易实现。

这些都不是我所需要的:奥利，克赖克，奥克塔，auth0，富通，古鲁

为什么会这样呢？在我看来，其中大部分对你来说都是一个很好的选择--尤其是开源的。