Ciao, sono riuscito a configurare l’integrazione SAML e ora ho alcuni account con account associati a SAML.
La mia domanda è se posso disabilitare l’accesso locale per gli utenti che hanno un account SAML in modo che non possano accedere con nome utente/password?
Sì. Se SAML funziona, puoi disabilitare gli accessi locali; penso che ciò disabiliterà anche gli accessi via e-mail, quindi non dovresti aver bisogno di farlo anche tu.
Sì, conosco questa opzione ma è un’opzione globale, ne avrei bisogno come opzione per utente.
Metà dei miei utenti è interna, metà è esterna.
Gli utenti esterni possono utilizzare solo il login locale, gli interni devono utilizzare SAML, qui vorrei rimuovere (o disabilitare) la possibilità di login locale.
È possibile?
Come funzionerebbe? Se non sono connessi, come potrebbe essere un’opzione per utente?
Suppongo che potresti avere un plugin che rifiuterebbe di farli accedere se l’utente fosse in un certo gruppo e non avesse usato SAML. Penso che ci vogliano dalle 2 alle 4 ore di lavoro? Forse di più con specifiche adeguate. Ma non ho guardato. Potresti chiedere in Marketplace se hai un budget.
Ciao Jay, ok, forse ho usato le parole sbagliate. mi dispiace. 
Sto pensando a un’opzione, qualcosa come
Disabilita/Non consentire il login locale per gli utenti che hanno account SSO (esterni?) attivi associati.
Creare un plugin è una buona idea, lo controllerò, grazie!
No, non c’è budget…
Ricorda che non si tratta solo di raccogliere i fondi per far scrivere un plug-in. Dovrai anche mantenerlo in modo che continui a funzionare quando Discourse viene aggiornato.
Se non puoi permetterti quanto sopra e non hai le competenze per scrivere qualcosa da solo, potresti dover accettare che gli utenti accedano occasionalmente localmente anziché utilizzare l’SSO.
sì, ne sono consapevole.
hai ragione. Un’opzione potrebbe essere quella di cambiare la loro password, ma penso di non poter impedire loro di reimpostarla e di utilizzare nuovamente l’accesso locale.
Se l’accesso SAML è associato al loro account locale, qual è il problema?
SAML è un IDM centrale e raggiungibile solo dalla LAN interna (aziendale), mentre il server Discourse è pubblico.
Vorremmo che gli utenti interni potessero accedere solo dall’ufficio (o VPN), ma mentre possono utilizzare il metodo di accesso locale, possono accedere da ovunque e non possiamo disabilitare il loro accesso tramite SAM/IDM (questo deve essere fatto manualmente nel forum).
Non è un grosso problema, ma abbiamo una policy che ci impone di connetterci all’IDM centrale se possibile.
Potresti aggiungere i tuoi utenti interni (quelli che accedono tramite SAML) a un gruppo. Quindi nascondere la sezione di accesso locale a quel gruppo utilizzando JS. Potresti anche aggiungere JS per nascondere l’accesso SAML agli utenti non appartenenti a quel gruppo.
Solo una soluzione temporanea, ma potrebbe essere sufficiente per scoraggiare i tuoi utenti dall’utilizzare l’accesso errato.
Ma dato che non saranno connessi quando si troveranno sulla pagina di accesso, non c’è modo di nascondere l’accesso SAML a coloro che dispongono di accessi SAML. Potrebbe essere possibile fare qualcosa per nascondere l’accesso SAML a coloro che non si trovano sull’indirizzo IP aziendale, ma non sono sicuro di come farlo.
Ah! Hai ragione 
Se usassero una VPN aziendale, forse controllare l’indirizzo IP funzionerebbe, ma altrimenti, dimentica la mia soluzione 
Non sono sicuro che sia utile, perché non funzionerà in nessun caso. Se l’indirizzo SSO non è valido esternamente, il browser non sarà in grado di raggiungerlo tramite Internet pubblico.
SAML è un protocollo di autenticazione, non un IdM o IdP: deve consumare dati da qualcos’altro. È possibile che il tuo IdM supporti anche SAML, ma a meno che tu non possa dirci quale sia questo sistema backend, avremo difficoltà ad aiutarti qui.
Vero
Sì, lo so, il servizio di autenticazione è un ADFS interno. Ma la mia domanda non riguarda SAML né ADFS poiché l’accesso esterno funziona perfettamente, mi piace molto.
Vorrei sapere se c’è un modo per abilitare una sola fonte di autenticazione in un account e disabilitare tutte le altre o, in altre parole, disabilitare l’accesso locale sugli utenti che hanno SSO funzionante.
Capisco che possa accadere solo dopo un tentativo di accesso, non sarebbe un problema.
Sarebbe necessario creare un plugin che faccia qualcosa come verificare se l’utente è membro di un certo gruppo e quindi disconnetterlo se si trova nel gruppo must_use_saml e non ha effettuato l’accesso con SAML.
Probabilmente ci vorrà un’ora o due per uno sviluppatore esperto in questo, a seconda di quanto test sia richiesto e se vengono creati degli specifici.
Grazie Jay, ci proverò!
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.