背景:
我们正在 Google Cloud Platform (GCP) 中开发多租户应用程序。具有多租户的身份平台设置非常适合使用 Firebase 由 Google Cloud API 网关进行身份验证的最终用户。
所有对“租户感知”端点的请求都必须有一个 TENANT_ID 标头,并且该值必须与经过身份验证的用户的 firebase.tenant 声明相匹配。因此,这是后端应用程序(在 Cloud Run 上)识别用户代表哪个租户操作的地方,并且只能访问该租户的数据。
问题:
但是现在我们想授予客户的后端应用程序访问我们的系统和该租户的数据的权限,以便他们可以顺利地将我们的系统集成到他们的系统中。然后,我们的客户可以获取他们存储在我们系统中的数据,并在他们自己的应用程序中使用和显示。
由于我们客户的应用程序并不真正代表实际用户,而是租户本身,我们不能使用(我认为)Identity Platform 的多租户机制。
我们可以为每个客户创建一个服务帐户,但这会生成大量服务帐户,然后 API 网关配置必须包含每个客户服务帐户的安全描述。另外,这样的服务帐号如何绑定到特定的租户,我们如何对租户服务帐号进行身份验证和授权?
在这种情况下我们应该怎么做?