Я создаю приложение, в котором мы хотим, чтобы наши пользователи могли входить в систему, используя свои собственные IDP, и мы используем okta.
Мы не хотим, чтобы нашим пользователям приходилось:
- Создайте всех пользователей своей организации вручную
- Быть зависимым от SCIM (или любой другой синхронизации)
- Поддерживать многих пользователей, большинство из которых, вероятно, не будут использовать нашу систему.
Поскольку наши идентификаторы пользователей — это адреса электронной почты, а все наши клиенты — предприятия, мы хотим сопоставить домены с IDP.
Это означает, что если пример.com является нашим клиентом, то все адреса электронной почты, такие как алиса@example.com или же [email protected] должны обрабатываться их IDP. дело в том, что мы хотим убедиться, что они владеют доменом пример.com перед добавлением их IDP в нашу логику обнаружения.
Мы думали о проверке DNS с помощью ТЕКСТ запись, но мы не уверены, что это правильная практика для этого.
Итак, наконец, мои вопросы:
- Есть ли для этого общепринятая практика?
- Есть ли недостатки у метода проверки записей DNS?
- Есть ли какие-то предостережения, о которых мы должны знать? должны ли мы периодически подтверждать право собственности?
