это сторонний сайт, не наш
https://lms.absgroup.ru

они могут сделать SSO авторизацию чз OAuth

соответственно я могу развернуть свой собственный OAuth сервер в интернете
и если на нем будет работать виндовс аутентификация, то круть

Не существует таких решений, OAuth сервера для этого не предназначены, тебе нужно будет писать свою собственную кастомную имплементацию, плюс ко всему этому еще и по-видимому выставлять наружу AD из интранета. Даже если все это каким-то образом заставить работать, то уровень безопасности будет на нуле, для интернет систем с реальными пользователями так не делается.

OAuth сервер не может быть внутренним, как по-твоему клиенты валидность токенов-то проверяют.

ну так подпись-то как по-твоему проверяется? Это делается на основе паблик ключей которые берутся из аутентификационного сервера и кэшируются не некоторый промежуток времени

используйте переменные окружения, хранилище секретов...

при регистрации тенанта никакие ключи в конфиги уже давно не складываются, ты походу их путаешь с id тенанта который действительно прописывается в конфиг. Ключи берутся из эндпоинта, и при валидации каждого токена проверяется айди ключа, в случае несовпадения у сервера запрашивается новый паблик ключ, и произойти это может в любой момент т.к. ключ может оказаться скомпроментированным и плюс в любом случае в продакшн системе ключи находятся в регулярной ротации. Вся эта логика уже заложена в OAuth библиотеки в соответствии со стандартом
"Спрятать" сервер аутентификации от клиента это вообще какая-то феерическая идея Вся суть OAuth состоит в том, что происходит общение между сервером/пользователем/сайтом, к примеру если токена у тебя нет, то происходит перенаправление на этот самый сервер для аутентификации. Свои велосипеды на эту тему конечно можно написать с какими угодно колесами, только к OAuth все это уже не будет иметь никакого отношения