具有分区客户端和范围配置的单个标识

Question

问题

让我们说，一个组织需要一个单一的用户身份为其所有的消费者(非工作人员)用户。该组织规模很大，有许多业务部门运营自己的面向客户的应用程序，但所有这些业务都需要使用单个IDP的用户。

每个业务单元必须能够使用IDP控制自己的应用程序配置，并且不能控制任何其他BU的应用程序配置。

所有消费者身份都是作为组织用户配置过程的一部分创建的，以验证此人是谁。不会有自我注册的。

备选案文1

我的第一个想法是有单独的身份服务器，每个业务单位一台。这至少提供了配置分离。然后，只有一个单一的组织国内流离失所者为消费者用户。

每个特定于BU的IDP将支持来自组织IDP的登录，或者从BU登录屏幕中选择，或者在BU特定的应用程序需要时立即重定向到org IDP。

这是一种多租户，虽然不是在一个单一的服务提供。这意味着每个BU管理他们的用户身份和应用程序配置，并允许通过单一的组织身份登录(加上本地的BU帐户)。此外，管理员(一些工作人员)用户可以通过本地BU帐户或公司AAD身份登录，如果配置如此的话。

备选方案2

拥有一个单一的组织标识服务器，并提供一个配置api/ui来支持客户端和范围数据的分区。这意味着每个BU将仅限于他们的应用程序身份配置数据，但允许所有用户使用所有的应用程序，而不需要多个本地帐户(每个BU中有一个)。

每个应用程序都必须对作用域有某种命名约定，以避免与另一个BU应用程序中使用的作用域发生冲突。有点像_mywebapi。

我的问题是，选项1应该是体系结构选择，而不是选项2，因为许多业务单位希望控制自己基于令牌的应用程序，但却想要使用单个用户身份？还是有其他选择？

Answer 1

你可以把两者结合起来。您可以有一个中央令牌服务来实现SSO，它所做的一切都为用户向所有业务单元发出一个唯一的id。然后，业务单位拥有自己的令牌服务，允许它们控制应用程序和apis的访问和配置。

要将两个令牌服务连接在一起，您可以将业务单元令牌服务联合到中央令牌服务。