Location Oauth Multi: Le jeton d'accès doit-il être généré par utilisateur ou locataire?

Question

Nous avons une plate-forme qui fonctionne sur un schéma multi-locataire. Nous avons donc le locataire comme parent et les utilisateurs comme enfants dans le scénario. Nous développons une API Rest sur cette plate-forme (nous avons maintenant des services SOAP) avec le schéma d'authentification Oauth.

Je suis curieux de savoir comment nous allons générer le jeton d'accès sur chaque application que les tiers vont développer. Est-ce par utilisateur ou par locataire? Avec ce que je veux dire, si Utilisateur2 accorde l'accès sur App-A sur Tenant1, cela signifie-t-il que si User1 souhaite utiliser App-A, il ne sera pas invité par la permission d'accorder le dialogue d'accès? Les deux utilisateurs résident sur le même locataire.

Answer 1

Cela dépend de votre cas d'utilisation spécifique mais je voudrais attacher aux lettres de créance étant entré. Par conséquent, si l'utilisateur 1 et l'utilisateur 2 ont un compte différent avec leur propre identifiant/mot de passe (ou autre), ils doivent avoir leur propre jeton d'accès. La raison en est que l'instance de l'application que chaque utilisateur utilise doit se retrouver avec un jeton d'accès - ainsi, dans votre exemple, User2 devrait de toute façon passer par la danse oAuth. L'autre raison, plus générale, est que cela vous protège pour l'avenir lorsque vous finirez par donner des droits différents à différents utilisateurs.

Espérons que ça aide.