Contexte : Une plateforme SaaS héberge plusieurs entreprises clientes sur la même infrastructure avec un Identity Provider commun. Le Problème : Garantir qu'un utilisateur authentifié dans un tenant ne puisse jamais accéder aux ressources d'un autre tenant via un token valide. Contraintes : Utiliser OpenID Connect. Les tokens doivent contenir un claim tenant_id signé. Validation obligatoire côté application. Aucun partage d'audience entre tenants. Livrable attendu : Proposer une architecture SSO multi-tenant incluant gestion des claims, validation stricte du tenant_id et mécanisme empêchant toute élévation de privilèges inter-tenant.