У нас есть решение для подключения к многопользовательскому серверу идентификации с открытым идентификатором, в котором каждый арендатор/клиент в настоящее время имеет свой собственный URL-адрес авторизации и информацию о метаданных. Мы используем одни и те же ключи для подписи jwt для всех арендаторов. Пример URL-адреса полномочий для одного клиента: https://auth.ourdomain.com/tenant123. (причина историческая и ее не очень легко изменить)
Хотя нам нужны разные URL-адреса авторизации для каждого арендатора, мы действительно предпочли бы как можно больше простоты, когда дело доходит до проверки подписанных jwts при создании внутреннего API и для третьих сторон. В настоящее время uri эмитента также зависит от арендатора, но мы думаем об изменении этого, чтобы все арендаторы использовали один и тот же uri эмитента, и, таким образом, проверка jwt могла выполняться по фиксированному uri центра.
Помимо зависимости от того, что все органы должны использовать одни и те же подписывающие jwks, есть ли какие-либо опасения по поводу того, что несколько органов используют один и тот же uri эмитента, когда речь идет о безопасности, спецификации или просто рекомендуемой передовой практике?