Некоторые сети настроены так, что доверенные клиенты и поставщики ресурсов получают доступ к IdP через обратный канал URL (например, http://idp.mycorp.local),, в то время как публичные клиенты, такие как SPA, получают доступ к нему через фронтальный канал URL (например, https://idp.mycorp.com).
Что является идеальным решением для такой конфигурации сети?
Мы сталкивались со следующими вариантами:
- Заполнитьнекоторые конечные точки (authorization_endpoint, end_session_endpoint) в документе обнаружения с именем хоста переднего канала независимо от того, какое имя хоста использовалось для запроса документа;
- Настройка доверенных клиентов для доступа к IdP через URL обратного канала, но переключениеиспользовать URL-адрес фронтального канала, когда он собирается перенаправить пользовательский агент на IdP.