مرحباً، لقد تمكنت من إعداد تكامل SAML ولدي الآن بعض الحسابات المرتبطة بحساب SAML.
سؤالي هو ما إذا كان بإمكاني تعطيل تسجيل الدخول المحلي للمستخدمين الذين لديهم حساب SAML حتى لا يتمكنوا من تسجيل الدخول باستخدام اسم المستخدم/كلمة المرور؟
نعم. إذا كان SAML يعمل، يمكنك تعطيل تسجيلات الدخول المحلية؛ أعتقد أن هذا سيعطل أيضًا تسجيلات الدخول عبر البريد الإلكتروني، لذلك لا تحتاج إلى القيام بذلك أيضًا.
نعم، أعرف هذا الخيار ولكنه خيار عام، أحتاجه كخيار لكل مستخدم.
نصف مستخدمي هو داخلي، ونصفهم خارجي.
يمكن للمستخدمين الخارجيين استخدام تسجيل الدخول المحلي فقط، ويجب على المستخدمين الداخليين استخدام SAML، هنا أود إزالة (أو تعطيل) إمكانية تسجيل الدخول المحلي.
هل هذا ممكن؟
كيف سيعمل ذلك؟ إذا لم يسجلوا الدخول، فكيف يمكن أن يكون خيارًا لكل مستخدم؟
أفترض أنه يمكنك الحصول على إضافة ترفض تسجيل دخولهم إذا كان المستخدم في مجموعة معينة ولم يستخدم SAML. أعتقد أن هذا سيستغرق من ساعتين إلى 4 ساعات عمل؟ ربما أكثر مع المواصفات المناسبة. لكنني لم ألقِ نظرة. يمكنك السؤال في Marketplace إذا كانت لديك ميزانية.
مرحباً جاي، حسناً، ربما استخدمت كلمات خاطئة. آسف. 
أنا أفكر في خيار، شيء مثل
تعطيل/منع تسجيل الدخول المحلي للمستخدمين الذين لديهم حسابات SSO (خارجية؟) نشطة مرتبطة.
إنشاء إضافة فكرة جيدة، سأتحقق منها، شكراً!
لا، لا توجد ميزانية…
إعجاب واحد (1)
تذكر أنه ليس مجرد مسألة جمع الأموال لكتابة إضافة. ستحتاج أيضًا إلى صيانتها حتى تستمر في العمل عند ترقية Discourse.
إذا لم تتمكن من تحمل تكلفة ما سبق ولم تكن لديك المهارات اللازمة لكتابة شيء بنفسك، فقد تضطر إلى التعايش مع قيام المستخدمين بتسجيل الدخول محليًا من حين لآخر بدلاً من استخدام SSO.
نعم، أنا على علم بذلك.
أنت على حق. أحد الخيارات يمكن أن يكون تغيير كلمة المرور الخاصة بهم ولكن أعتقد أنني لا أستطيع منعهم من إعادة تعيينها واستخدام تسجيل الدخول المحلي مرة أخرى.
إذا كان تسجيل الدخول عبر SAML مرتبطًا بحسابهم المحلي، فما المشكلة؟
SAML هو معرف مركزي (IDM) ولا يمكن الوصول إليه إلا من شبكة LAN الداخلية (الشركات)، بينما خادم Discourse عام.
نود أن يتمكن المستخدمون الداخليون من تسجيل الدخول فقط من المكتب (أو VPN)، ولكن بينما يمكنهم استخدام طريقة تسجيل الدخول المحلية، يمكنهم تسجيل الدخول من أي مكان ولا يمكننا تعطيل تسجيل الدخول الخاص بهم عبر SAM/IDM (يجب القيام بذلك يدويًا في المنتدى).
إنها ليست مشكلة كبيرة، ولكن لدينا سياسة تأمرنا بالاتصال بمعرف IDM المركزي إن أمكن.
يمكنك إضافة المستخدمين الداخليين (الذين يسجلون الدخول عبر SAML) إلى مجموعة. ثم إخفاء قسم تسجيل الدخول المحلي عن تلك المجموعة باستخدام JS. يمكنك أيضًا إضافة JS لإخفاء تسجيل الدخول SAML عن المستخدمين الذين ليسوا في تلك المجموعة.
مجرد حل بديل، ولكنه قد يكون كافياً لردع المستخدمين عن استخدام تسجيل الدخول الخاطئ.
إعجاب واحد (1)
ولكن نظرًا لأنهم لن يكونوا مسجلين الدخول عندما يكونون على صفحة تسجيل الدخول، فلا توجد طريقة لإخفاء تسجيل الدخول SAML عن الأشخاص الذين لديهم تسجيلات دخول SAML. قد يكون من الممكن القيام بشيء لإخفاء تسجيل الدخول SAML عن أولئك الذين ليسوا على عنوان IP الخاص بالشركة، لكنني لست متأكدًا من كيفية القيام بذلك.
إعجابَين (2)
آه! أنت على حق 
إذا كانوا يستخدمون شبكة VPN خاصة بالشركة، فربما يعمل التحقق من عنوان IP ولكن بخلاف ذلك، انسَ حلي 
3 إعجابات
لست متأكدًا من أن هذا مفيد، لأنه لن يعمل في أي من الحالتين. إذا لم يكن عنوان SSO صالحًا خارجيًا، فلن يتمكن المتصفح من الوصول إليه عبر الإنترنت العام.
SAML هو بروتوكول مصادقة، وليس IdM أو IdP - يجب أن يستهلك بيانات من مكان آخر. قد يكون أن IdM الخاص بك يدعم أيضًا SAML، ولكن ما لم تتمكن من إخبارنا بما هو هذا النظام الخلفي، فسوف نكافح لمساعدتك هنا.
إعجاب واحد (1)
صحيح
نعم، أعرف ذلك، خدمة المصادقة هي ADFS داخلي. لكن سؤالي ليس عن SAML ولا ADFS لأن تسجيل الدخول الخارجي يعمل بشكل مثالي، أنا معجب به حقًا.
أود أن أعرف ما إذا كانت هناك طريقة لتمكين مصدر مصادقة واحد فقط في حساب وتعطيل جميع المصادر الأخرى أو بعبارة أخرى، تعطيل تسجيل الدخول المحلي للمستخدمين الذين لديهم SSO يعمل.
أتفهم أنه يمكن أن يحدث بعد محاولة تسجيل الدخول فقط، ولن تكون مشكلة.
ستحتاج إلى إنشاء إضافة (plugin) تقوم بشيء مثل اختبار ما إذا كانوا أعضاء في مجموعة معينة ثم تسجيل خروجهم إذا كانوا في مجموعة must_use_saml ولم يسجلوا الدخول باستخدام SAML.
من المحتمل أن يستغرق الأمر ساعة أو ساعتين لمطور مطلع على مثل هذه الأمور، اعتمادًا على مقدار الاختبار المطلوب وما إذا تم إنشاء مواصفات.
إعجاب واحد (1)
شكرا جاي، سأجرب ذلك!
إعجاب واحد (1)
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.