테넌트 온보딩 및 사용자 테넌트 등록

SaaS 애플리케이션은 SaaS 자격 증명의 개념을 관찰하고 사용자 자격 증명을 테넌트 자격 증명에 바인딩하는 일반적인 모범 사례를 따릅니다. 바인딩에는 테넌트 식별자를 자격 증명 공급자의 사용자에 대한 클레임 또는 속성으로 저장하는 작업이 포함됩니다. 이렇게 하면 자격 증명을 테넌트에 매핑할 책임이 각 애플리케이션에서 사용자 등록 프로세스로 이동합니다. 그러면 인증된 각 사용자는 JSON 웹 토큰(JWT)의 일부로 올바른 테넌트 자격 증명을 갖게 됩니다.

마찬가지로 권한 부여 요청에 대한 올바른 정책 스토어 선택은 애플리케이션 로직에 의해 결정되어서는 안 됩니다. 특정 권한 부여 요청이 사용해야 하는 정책 스토어를 확인하려면 사용자를 정책 스토어에 매핑하거나 테넌트를 정책 스토어에 매핑합니다. 이러한 매핑은 일반적으로 애플리케이션이 참조하는 Amazon DynamoDB 또는 Amazon Relational Database Service(RDS)와 같은 데이터 스토어에서 유지됩니다. 자격 증명 공급자(IdP)의 데이터로 이러한 매핑을 제공하거나 보완할 수도 있습니다. 그런 다음 테넌트, 사용자 및 정책 저장소 간의 관계는 일반적으로 권한 부여 요청에 필요한 모든 관계가 포함된 JWT를 통해 사용자에게 제공됩니다.

이 예제는 테넌트에 Alice속TenantA하고 권한 부여를 위해 정책 스토어 ID와 함께 정책 스토어를 사용하는 사용자에 ps-43214321 대해 JWT가 어떻게 표시되는지 보여줍니다.

{
   "sub":"1234567890",
   "name":"Alice",
   "tenant":"TenantA",
   "policyStoreId":"ps-43214321"
}