在SSO中实施电子邮件变更的最佳方式是什么

Question

我有一个集中的身份提供商，可以全面管理用户的身份验证。

其他应用使用SSO与身份服务器集成。 （他们使用“电子邮件”将本地用户映射到SSO用户）

我必须处理用户在身份提供商中更改其电子邮件的情况。 （现在需要在所有系统中传播此更改）。我有两种方法来实现它。

1. 当电子邮件发生变化时，Identity Server会公开其他应用可以订阅的webhook。
2. 使用唯一的user_id将本地用户映射到SSO（这样，电子邮件中的更改不会影响身份验证）

＃2方法有多好？考虑到我可能必须在更改电子邮件时更新多个表。

Answer 1

您实际上可以实现这两种方法，它们不是互斥的：

• 为应用程序公开webhooks以订阅用户配置文件更新，可以让他们始终拥有最新的配置文件信息，而无需用户重新进行身份验证或必须轮询身份提供商进行更改。
• 拥有与电子邮件等个人资料信息无关的唯一，不可变的用户ID通常是一种很好的做法。这使您可以将标识符与电子邮件分离，并允许您实现SSO，而不会将用户电子邮件泄露给不应该使用它们的应用程序，这对于向不受信任的第三方应用程序执行SSO时尤其重要。

作为一个具体的例子，A​​uth0（免责声明 - 我为Auth0工作）为其内置的身份存储实现了第二种方法，但也可以实现第一种方法来简化用户配置文件修改的传播。