การยืนยันความเป็นเจ้าของโดเมนใน OIDC

ฉันกำลังสร้างแอปพลิเคชันที่เราต้องการให้ผู้ใช้ลงชื่อเข้าใช้โดยใช้ IDP ของตนเอง และเรากำลังใช้ okta

เราไม่ต้องการให้ผู้ใช้ของเราต้อง:

• สร้างผู้ใช้ในองค์กรทั้งหมดด้วยตนเอง
• ขึ้นอยู่กับ SCIM (หรือการซิงโครไนซ์อื่น ๆ )
• รักษาผู้ใช้จำนวนมากซึ่งส่วนใหญ่อาจจะไม่ใช้ระบบของเรา

เนื่องจากรหัสผู้ใช้ของเราคือที่อยู่อีเมลและลูกค้าทั้งหมดของเราเป็นองค์กร เราจึงต้องการแมปโดเมนกับ IDP

แปลว่า ถ้า ตัวอย่าง.คอม เป็นลูกค้าของเราแล้วที่อยู่อีเมลทั้งหมดเช่น [email protected] หรือ บ๊อบ@example.com ควรได้รับการจัดการโดย IDP ของพวกเขา สิ่งสำคัญคือเราต้องการให้แน่ใจว่าพวกเขาเป็นเจ้าของโดเมน ตัวอย่าง.คอม ก่อนที่จะเพิ่ม IDP ของพวกเขาในตรรกะการค้นพบของเรา

เรากำลังคิดที่จะทำการตรวจสอบ DNS โดยใช้ TXT บันทึก แต่เราไม่แน่ใจว่านี่คือวิธีปฏิบัติที่ถูกต้องสำหรับสิ่งนี้

ในที่สุดคำถามของฉันคือ:

1. มีวิธีปฏิบัติทั่วไปสำหรับสิ่งนี้หรือไม่?
2. มีข้อเสียสำหรับวิธีการตรวจสอบระเบียน DNS หรือไม่
3. มีข้อแม้ที่เราควรทราบหรือไม่? เราควรตรวจสอบความเป็นเจ้าของเป็นระยะๆ หรือไม่?