Hallo, ich konnte die SAML-Integration einrichten und habe jetzt einige Konten mit SAML-assoziierten Konten.
Meine Frage ist, ob ich die lokale Anmeldung für Benutzer, die ein SAML-Konto haben, deaktivieren kann, damit sie sich nicht mit Benutzername/Passwort anmelden können?
Ja. Wenn SAML funktioniert, können Sie lokale Anmeldungen deaktivieren. Ich glaube, das deaktiviert auch E-Mail-Anmeldungen, sodass Sie das nicht zusätzlich tun müssen.
Ja, ich kenne diese Option, aber es ist eine globale Option. Ich bräuchte sie als Option pro Benutzer.
Die Hälfte meiner Benutzer sind intern, die Hälfte extern.
Externe Benutzer können nur lokale Anmeldungen verwenden, interne müssen SAML verwenden. Hier möchte ich die lokale Anmeldemöglichkeit entfernen (oder deaktivieren).
Ist das möglich?
Wie würde das funktionieren? Wenn sie nicht angemeldet sind, wie könnte es eine Option pro Benutzer sein?
Ich nehme an, Sie könnten ein Plugin haben, das sie nicht anmeldet, wenn der Benutzer zu einer bestimmten Gruppe gehört und SAML nicht verwendet hat. Ich denke, das wären 2 bis 4 Stunden Arbeit? Vielleicht mehr mit den richtigen Spezifikationen. Aber ich habe es mir nicht angesehen. Sie könnten im Marketplace nachfragen, wenn Sie ein Budget haben.
Hallo Jay, okay, vielleicht habe ich mich falsch ausgedrückt. Entschuldigung. 
Ich denke über eine Option nach, so etwas wie
Lokale Anmeldungen für Benutzer mit aktiven zugehörigen SSO-Konten (extern?) deaktivieren/verbieten.
Die Erstellung eines Plugins ist eine gute Idee, ich werde es prüfen, danke!
Nein, es gibt kein Budget…
Denken Sie daran, dass es nicht nur darum geht, die Mittel für die Erstellung eines Plug-ins aufzubringen. Sie müssen es auch warten, damit es bei Upgrades von Discourse weiterhin funktioniert.
Wenn Sie sich das Obige nicht leisten können und nicht über die Fähigkeiten verfügen, selbst etwas zu schreiben, müssen Sie möglicherweise damit leben, dass sich Benutzer gelegentlich lokal anmelden, anstatt SSO zu verwenden.
Ja, das ist mir bewusst.
Sie haben Recht. Eine Möglichkeit wäre, ihr Passwort zu ändern, aber ich glaube nicht, dass ich sie daran hindern kann, es zurückzusetzen und sich wieder lokal anzumelden.
Wenn die SAML-Anmeldung mit ihrem lokalen Konto verknüpft ist, was ist das Problem?
SAML ist ein zentrales IDM und nur aus dem internen (Unternehmens-)LAN erreichbar, während der Discourse-Server öffentlich ist.
Wir möchten, dass sich interne Benutzer nur vom Büro (oder VPN) aus anmelden können, aber während sie die lokale Anmeldemethode verwenden können, können sie sich von überall anmelden und wir können ihre Anmeldung über SAM/IDM nicht deaktivieren (dies muss manuell im Forum erfolgen).
Es ist keine große Sache, aber wir haben eine Richtlinie, die uns befiehlt, uns nach Möglichkeit mit dem zentralen IDM zu verbinden.
Sie könnten Ihre internen Benutzer (diejenigen, die sich über SAML anmelden) zu einer Gruppe hinzufügen. Verstecken Sie dann den lokalen Anmeldebereich für diese Gruppe mithilfe von JS. Sie könnten auch JS hinzufügen, um die SAML-Anmeldung für Benutzer auszublenden, die nicht zu dieser Gruppe gehören.
Nur eine Übergangslösung, aber sie könnte ausreichen, um Ihre Benutzer davon abzuhalten, die falsche Anmeldung zu verwenden.
Aber da sie nicht angemeldet sind, wenn sie sich auf der Anmeldeseite befinden, gibt es keine Möglichkeit, die SAML-Anmeldung vor den Personen zu verbergen, die SAML-Anmeldungen haben. Es wäre vielleicht möglich, etwas zu tun, um die SAML-Anmeldung vor denen zu verbergen, die sich nicht auf der Firmen-IP-Adresse befinden, aber ich bin mir nicht sicher, wie das geht.
Ah! Du hast Recht 
Wenn sie ein Firmen-VPN verwenden, funktioniert vielleicht die Überprüfung der IP-Adresse, aber ansonsten vergiss meine Lösung 
Ich bin mir nicht sicher, ob das nützlich ist, denn es wird sowieso nicht funktionieren. Wenn die SSO-Adresse extern nicht gültig ist, kann der Browser sie über das öffentliche Internet nicht erreichen.
SAML ist ein Authentifizierungsprotokoll, kein IDM oder IdP – es muss Daten von woanders beziehen. Es kann sein, dass Ihr IDM auch SAML unterstützt, aber wenn Sie uns nicht sagen können, welches dieses Backend-System ist, werden wir hier Schwierigkeiten haben, Ihnen zu helfen.
Stimmt
Ja, das weiß ich, der Authentifizierungsdienst ist ein interner ADFS. Aber meine Frage bezieht sich weder auf SAML noch auf ADFS, da die externe Anmeldung perfekt funktioniert, sie gefällt mir sehr gut.
Ich möchte wissen, ob es eine Möglichkeit gibt, nur eine einzige Authentifizierungsquelle in einem Konto zu aktivieren und alle anderen zu deaktivieren, oder anders ausgedrückt, die lokale Anmeldung für Benutzer zu deaktivieren, die eine funktionierende SSO haben.
Ich verstehe, dass dies erst nach einem Anmeldeversuch geschehen kann, das wäre kein Problem.
Sie müssten ein Plugin erstellen, das prüft, ob sie Mitglied einer bestimmten Gruppe sind, und sie dann abmeldet, wenn sie sich in der Gruppe must_use_saml befinden und sich nicht mit SAML angemeldet haben.
Dies würde für einen Entwickler, der damit vertraut ist, wahrscheinlich ein bis zwei Stunden dauern, abhängig davon, wie viel Tests erforderlich sind und ob Spezifikationen erstellt werden.
Danke Jay, ich werde es versuchen!
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.