Asp.net Core 2使用Identity Server 4实现多租户

Question

我有一个托管有多个绑定的IDP（Identity Server 4）：auth.company1.com和auth.company2.com我还有一个受该IDP保护的API。 因此，为了访问API，我需要从IDP获取访问令牌。 这是在API级别的启动类中配置的，如下所示：

     services.AddAuthentication("Bearer")
            .AddIdentityServerAuthentication(options =>
            {
                options.Authority = "https://auth.company1.com/";
                options.RequireHttpsMetadata = true;
                options.ApiName = "atb_api";
            });

如何配置options.Authority动态，以便它允许来自多个域的权限https://auth.company1.com/和https://auth.company2.com/ ？

Answer 1

我解决了这个问题

在启动类的保护API级别，我有这样的配置：

services.AddAuthentication("Bearer")
        .AddIdentityServerAuthentication(options =>
        {
            options.Authority = "https://shared-domain-for-every-tenant/";
            options.RequireHttpsMetadata = true;
            options.ApiName = "atb_api";
        });

神奇的发生在IDP级别（IdentityServer4），配置IdentityServer时，我添加选项IssuerUri，如下所示：

services.AddIdentityServer(options => {
            options.IssuerUri = "https://shared-domain-for-every-tenant/";
        })..AddDeveloperSigningCredential() ...other configurations ...

当我导航到https://auth.company1.com/.well-known/openid-configuration时 ，返回的文档如下所示：

  {
    "issuer": "https://shared-domain-for-every-tenant/",
    "jwks_uri": "https://auth.company1.com/.well-known/openid-configuration/jwks",
    "authorization_endpoint": "https://auth.company1.com/connect/authorize",
    "token_endpoint": "https://auth.company1.com/connect/token",
    "userinfo_endpoint": "https://auth.company1.com/connect/userinfo",
    ...
  }

请注意，issure是一个静态URL，而所有其他端点都是特定于发出请求的租户。 这允许API验证访问令牌，并且每个租户也有不同的端点（我需要它为每个租户显示不同的登录屏幕）。

希望它可以帮助那里的人:)