3

我正在尝试查找 RP(中继方)和 OP(OpenID 提供者)是否可以在同一个域上。我们有一个在未来实施内部 SSO 的用例,并被要求在同一域上为每个客户端实施授权。

我们总共有 3 个域,要求为每个域实施授权。这意味着每个 RP 都将是它自己的 OP。显然,这解决了 3 个客户端中的两个的问题,与会话有关。

我认为这是一种不好的方法,但我找不到任何文档或案例研究来加强我的论点。

这似乎是对规范的滥用。我这么想的原因是:

  1. 我在网上找不到任何其他人在同一域上调用授权的示例
  2. 我在文档中找不到任何参考来说明您可以或不能
  3. 常见问题解答中它说:

它使应用程序和网站开发人员无需承担存储和管理密码的责任,因为互联网上充斥着试图破坏用户帐户以谋取私利的人。

鉴于我们在同一个系统上调用授权,我们仍然有存储和管理密码的责任。

问题

  • 是否有任何文档支持或拒绝 OpenId Connect 的这个用例?
  • 你知道有什么例子吗?

非常感谢!

4

1 回答 1

1

这不是 OIDC 的典型用例,但我认为这不是一个糟糕的主意。规范中没有任何内容说您不能在同一域上使用 OIDC。

据我所知,谷歌已经为他们的所有产品实现了自己的类似 OIDC 的流程,并且它们都在 google 子域下运行。

于 2017-01-30T17:56:33.433 回答