Peut-on changer de fournisseur SSO ?

Nous sommes passés en production sur Discourse il y a environ deux ans, et nous utilisons le SSO de notre système principal de back-office comme fournisseur d’authentification. Il utilise un identifiant externe (GUID).

Nous nous préparons à changer notre système principal de back-office pour un autre fournisseur. Celui-ci prend en charge OAuth2/OpenID, mais lorsque nous passerons à ce nouveau système, les identifiants externes de nos utilisateurs (GUID) changeront. Je me demande donc si d’autres personnes sont déjà passées par là et si je devrai d’une manière ou d’une autre effectuer une mise à jour massive des identifiants externes actuellement stockés dans notre Discourse.

Vous devriez être tranquille tant que l’adresse e-mail d’un utilisateur reste la même.

Merci, malheureusement, j’obtiens l’erreur « l’e-mail principal est déjà utilisé » lorsque je teste mon nouveau fournisseur SSO.

image694×662 28.2 KB

Et j’ai ce paramètre en place :

C’est parce que vous essayez de vous inscrire alors que vous devriez vous connecter (puisque le compte existe déjà).

Mais je n’essaie pas de m’inscrire. J’arrive sur la page d’accueil, puis je clique sur « Se connecter » ; j’arrive sur la page de connexion de mon fournisseur SSO, avec laquelle je peux m’authentifier avec succès, mais après avoir entré mon mot de passe, j’arrive sur la page « Créons votre compte » alors que je n’ai jamais cliqué sur « S’inscrire ».

J’ai aussi ces paramètres en place qui, je pense, devraient être appropriés.

image753×506 22.1 KB

Pour le dépannage, je commencerais avec uniquement les paramètres requis. Veuillez confirmer qu’un utilisateur avec cet e-mail existe des deux côtés.

Avez-vous saisi cet e-mail manuellement dans Discourse ou a-t-il été automatiquement renseigné par le serveur SSO ?

Ce que je pense qu’il se passe peut-être ici, c’est que l’e-mail est associé à un nom d’utilisateur différent sur Discourse et que votre serveur SSO envoie un nouveau nom d’utilisateur, ce qui provoque ce conflit.

Avez-vous quelque chose dans les journaux de Discourse lié au SSO ? Cela pourrait aider à identifier la cause exacte de ce problème.

Merci. J’ai vérifié que je peux désactiver SSO/OpenID dans Discourse et me connecter avec la même adresse e-mail à Discourse. J’ai vérifié que ces mêmes identifiants fonctionnent avec mon fournisseur SSO.

Lorsque je réactive OpenID dans Discourse, je m’authentifie avec succès via mon fournisseur SSO, mais je me retrouve toujours sur l’écran Discourse où il souhaite créer un compte. Les trois valeurs de cet écran (e-mail, nom d’utilisateur et nom complet) sont automatiquement remplies par le fournisseur SSO.

Et j’ai essayé de désactiver tous ces paramètres ci-dessus, mais ce comportement n’a pas changé.

Pourriez-vous aller sur discourse.example.com/logs et vérifier s’il y a des avertissements ou des erreurs liés au SSO ?

Merci, oui, aucune erreur SSO et aucune erreur OIDC. Et j’ai également activé la journalisation détaillée pour OpenID.

Désolé, je n’ai pas de suggestions pour le moment. Je répondrai si je trouve quelque chose.