Мы используем библиотеку OIDC, и на данный момент мы разрешаем только вход в MSA. Итак, мы настроили параметры ValidateIssuer = true и Validissuers = https://login.microsoftonline.com/..” Однако теперь нам нужно подключить к нашему приложению других арендаторов AAD (например, abc@dell.com), поэтому мы решили установить ValidateIssuer = false.
Поскольку для моего приложения уже создана резервная копия с пользовательской авторизацией, мне сложно понять назначение этого флага в целом. По сути, мой вопрос заключается в том, при каких обстоятельствах не хотелось бы устанавливать этот флаг на false И с каким риском можно столкнуться, если установить значение false?
Я просмотрел документы AAD, опубликованные здесь , и все еще не смог найти убедительного ответа на комментарии к фрагменту кода:
// ValidateIssuer set to false to allow work accounts from any organization to sign in to your application
// To only allow users from a single organizations, set ValidateIssuer to true and 'tenant' setting in web.config to the tenant name or Id (example: contoso.onmicrosoft.com)
// To allow users from only a list of specific organizations, set ValidateIssuer to true and use ValidIssuers parameter
TokenValidationParameters = new TokenValidationParameters()
{
ValidateIssuer = false
},