本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 租戶加入和使用者租戶註冊
<a name="avp-design-onboarding-registration"></a>

SaaS 應用程式會觀察[ SaaS 身分](https://docs.aws.amazon.com/wellarchitected/latest/saas-lens/saas-identity.html)的概念，並遵循將[使用者身分繫結至租用戶身分](https://docs.aws.amazon.com/wellarchitected/latest/saas-lens/general-design-principles.html)的一般最佳實務。繫結涉及將租戶識別符儲存為身分提供者中使用者的宣告或屬性。這會轉移將身分映射到租用戶的責任，從每個應用程式映射到使用者註冊程序。然後，每個已驗證的使用者都會擁有正確的租戶身分，做為 JSON Web Token (JWT) 的一部分。

同樣地，為授權請求選擇正確的政策存放區不應由應用程式邏輯決定。若要判斷特定授權請求應使用的政策存放區，請維護使用者與政策存放區或租用戶與政策存放區的映射。這些映射通常會維護在您的應用程式參考的資料存放區中，例如 Amazon DynamoDB 或 Amazon Relational Database Service (Amazon RDS)。您也可以透過身分提供者 (IdP) 中的資料提供或補充這些映射。然後，租用戶、使用者和政策存放區之間的關係通常會透過 JWT 提供給使用者，其中包含授權請求所需的所有關係。

此範例顯示 JWT 如何為屬於租用戶的使用者 顯示`Alice`，`TenantA`並使用具有政策存放區 ID 的政策存放區`ps-43214321`進行授權。

```
{
   "sub":"1234567890",
   "name":"Alice",
   "tenant":"TenantA",
   "policyStoreId":"ps-43214321"
}
```