Asp.net Core 2使用Identity Server 4启用多租户

时间:2018-07-08 11:50:01

标签: c# asp.net-core identityserver4 multi-tenant

我有一个IDP(身份服务器4),托管有多个绑定:auth.company1.com和auth.company2.com 我也有一个不受该IDP保护的API。因此,为了访问API,我需要从IDP获取访问令牌。像下面这样在API级别的启动类中进行配置:

     services.AddAuthentication("Bearer")
            .AddIdentityServerAuthentication(options =>
            {
                options.Authority = "https://auth.company1.com/";
                options.RequireHttpsMetadata = true;
                options.ApiName = "atb_api";
            });

如何配置选项。Authority动态地允许来自多个域https://auth.company1.com/https://auth.company2.com/的授权?

1 个答案:

答案 0 :(得分:4)

我解决了这个问题。

在启动类的保护API级别上,我具有以下配置:

services.AddAuthentication("Bearer")
        .AddIdentityServerAuthentication(options =>
        {
            options.Authority = "https://shared-domain-for-every-tenant/";
            options.RequireHttpsMetadata = true;
            options.ApiName = "atb_api";
        });

魔术发生在IDP级别(IdentityServer4),在配置IdentityServer时,我添加了选项IssuerUri,如下所示:

services.AddIdentityServer(options => {
            options.IssuerUri = "https://shared-domain-for-every-tenant/";
        })..AddDeveloperSigningCredential() ...other configurations ...

当我导航到https://auth.company1.com/.well-known/openid-configuration时 返回的文档是这样的:

  {
    "issuer": "https://shared-domain-for-every-tenant/",
    "jwks_uri": "https://auth.company1.com/.well-known/openid-configuration/jwks",
    "authorization_endpoint": "https://auth.company1.com/connect/authorize",
    "token_endpoint": "https://auth.company1.com/connect/token",
    "userinfo_endpoint": "https://auth.company1.com/connect/userinfo",
    ...
  }

请注意,issure是一个静态URL,而所有其他端点都特定于发出请求的租户。这样一来,API即可验证访问令牌,并且每个租户都有不同的终结点(我需要为每个租户显示不同的登录屏幕)。

希望它可以帮助某个人:)