IdentityServer3 PublicOriginとIssuerUri IdentityServerOptionsの違いと使用方法

Question

IISにデプロイするときに問題が発生しました。明らかに、クライアントはリバースプロキシと、ドメイン名ではなくIPアドレスを示すOpenId構成ディスコを使用しています。 PublicOriginは私の問題を解決します。私は変化を示すディスコなどもあれば、両方の値から見ることができます

var options = new IdentityServerOptions 
{ 
    PublicOrigin = "https://myids/project1/", 
    IssuerUri = "https://myids/project1/", 
    ... 
} 

：しかし、私はまだ、実施例

PublicOrigin 

と

IssuerUri 

、間に別のを理解していませんそれぞれ更新されました。

{ 
    "issuer": "https://myids/project1/", 
    "jwks_uri": "https://myids/project1/.well-known/jwks", 
    "authorization_endpoint": "https://myids/project1/connect/authorize", 
    "token_endpoint": "https://myids/project1/connect/token", 
    "userinfo_endpoint": "https://myids/project1/connect/userinfo", 
    "end_session_endpoint": "https://myids/project1/connect/endsession", 
    "check_session_iframe": "https://myids/project1/connect/checksession", 
    "revocation_endpoint": "https://myids/project1/connect/revocation", 
    "introspection_endpoint": "https://myids/project1/connect/introspect", 
    ... 
} 

なぜそれをIssuerUriと同じにしないのですか？私はこれに関する文書を読んだ。技術的には、プロパティの説明だけです。私はもっ​​と理解したいです。

多くのありがとうございます。

Answer 1

IssuerUriは、認証サーバーの一意の識別子です。このプロパティの値は、issプロパティのIDトークンに埋め込まれ、トークンの検証中です。

他方、PublicOriginは、サーバの単なる公開URIです。サーバがリバースプロキシの背後にある場合、このヒントなしでOpenID Connectメタデータ（.well-known/openid-configuration）にプライベートURIを広告します。

なぜ単一のプロパティを持たないのですか？ OpenID Connect仕様（§ 16.15. Issuer Identifier）は、同じホストとポートに存在する複数の発行者をサポートしています。ただし、仕様の同じセクションでは、ホストとポート（つまりシングルテナント）ごとに発行者を1つだけホストすることを推奨しています。

マルチテナントアーキテクチャはいつ使用しますか？独自のサービス認証を構築して販売したいとします。これで、各顧客に専用のURI（PublicOrigin）を割り当てるか、顧客ごとにPublicOriginを1つだけ使用してIssuerUriを使用するという2つの選択肢があります。