xác minh quyền sở hữu tên miền trong OIDC

Tôi đang xây dựng một ứng dụng mà chúng tôi muốn cho phép người dùng của mình đăng nhập bằng IDP của riêng họ và chúng tôi đang sử dụng okta.

Chúng tôi không muốn người dùng của mình phải:

• Tạo thủ công tất cả người dùng trong tổ chức của họ
• Phụ thuộc vào SCIM (hoặc bất kỳ đồng bộ hóa nào khác)
• Duy trì nhiều người dùng mà hầu hết trong số họ có thể sẽ không sử dụng hệ thống của chúng tôi

Vì id người dùng của chúng tôi là địa chỉ email và tất cả khách hàng của chúng tôi đều là doanh nghiệp nên chúng tôi muốn ánh xạ miền tới IDP.

Có nghĩa là nếu ví dụ.com là khách hàng của chúng tôi, thì tất cả các địa chỉ email như [email protected] hoặc [email protected] nên được xử lý bởi IDP của họ. vấn đề là chúng tôi muốn đảm bảo rằng họ sở hữu miền ví dụ.com trước khi thêm IDP của họ vào logic khám phá của chúng tôi.

Chúng tôi đã nghĩ đến việc thực hiện xác thực DNS bằng cách sử dụng TXT ghi lại, nhưng chúng tôi không chắc chắn rằng đây là cách làm đúng cho việc này.

Vì vậy, cuối cùng câu hỏi của tôi là:

1. Có một thực tế phổ biến cho việc này?
2. Có nhược điểm nào đối với phương pháp xác thực bản ghi DNS không?
3. Có bất kỳ cảnh báo nào chúng ta nên biết không? chúng ta có nên xác thực lại quyền sở hữu theo định kỳ không?