SAMLでローカルログインを無効にする

tnagy · 2022 年 8 月 3 日午後 1:13

こんにちは。SAML連携の設定に成功し、SAML連携アカウントを持つユーザーが数名います。

質問なのですが、SAMLアカウントを持つユーザーのローカルログインを無効にして、ユーザー名/パスワードでのログインができないようにすることは可能でしょうか？

pfaffman · 2022 年 8 月 3 日午後 8:24

はい。SAMLが機能している場合は、ローカルログインを無効にできます。これにより、メールログインも無効になるはずなので、それも無効にする必要はないはずです。

tnagy · 2022 年 8 月 3 日午後 9:20

はい、このオプションは知っていますが、グローバルオプションです。ユーザーごとのオプションとして必要です。
ユーザーの半分は内部、半分は外部です。
外部ユーザーはローカルログインのみ使用可能ですが、内部ユーザーはSAMLを使用する必要があります。ここでローカルログインの可能性を削除（または無効化）したいと考えています。

可能でしょうか？

pfaffman · 2022 年 8 月 4 日午前 1:37

それはどのように機能しますか？ログインしていない場合、それはユーザーごとのオプションになり得ますか？

特定のグループに属していてSAMLを使用していないユーザーはログインを拒否するプラグインを導入できると思います。2〜4時間でできると思いますが、仕様によってはもっとかかるかもしれません。しかし、まだ確認していません。予算がある場合は、Marketplace で質問できます。

tnagy · 2022 年 8 月 4 日午前 10:08

ジェイさん、こんにちは。言葉遣いを間違えたかもしれません。すみません

次のようなオプションを考えています。

「アクティブなSSO（外部？）アカウントが関連付けられているユーザーのローカルログインを無効にする/許可しない」

プラグインを作成するのは良いアイデアですね。確認してみます。ありがとうございます！
予算はありません…

Stephen · 2022 年 8 月 4 日午前 10:56

プラグインを作成するための資金を調達するだけでは済まないことを忘れないでください。Discourse がアップグレードされたときにプラグインが機能し続けるように、保守する必要もあります。

上記を実行する余裕がなく、自分で何かを作成するスキルもない場合は、ユーザーが SSO を使用するのではなく、ローカルでログインする状況に甘んじなければならない場合があります。

tnagy · 2022 年 8 月 4 日午前 11:01

はい、承知しております。

おっしゃる通りです。パスワードを変更するという選択肢もありますが、パスワードリセットを防ぎ、再度ローカルログインを使用させないようにすることはできないと思います。

Stephen · 2022 年 8 月 4 日午前 11:05

SAML ログインがローカルアカウントに関連付けられている場合、問題は何ですか?

tnagy · 2022 年 8 月 4 日午前 11:31

SAMLは中央IDMであり、内部（社内）LANからのみ到達可能ですが、Discourseサーバーは公開されています。

内部ユーザーはオフィス（またはVPN）からのみログインできるようにしたいのですが、ローカルログイン方法を使用できる場合、どこからでもログインでき、SAML/IDM経由のログインを無効にすることはできません（これはフォーラムで手動で行う必要があります）。

大きな問題ではありませんが、可能な場合は中央IDMに接続するようにというポリシーがあります。

cocococosti · 2022 年 8 月 4 日午後 3:35

内部ユーザー（SAML経由でログインするユーザー）をグループに追加できます。次に、そのグループからJSを使用してローカルログインセクションを非表示にできます。そのグループに属していないユーザーからSAMLログインを非表示にするJSを追加することもできます。

これは回避策ですが、ユーザーが間違ったログインを使用しないようにするには十分かもしれません。

pfaffman · 2022 年 8 月 4 日午後 3:57

しかし、ログインページにいるときはログインしていないため、SAMLログインを持つユーザーからSAMLログインを非表示にする方法はありません。企業のIPアドレスにいないユーザーからSAMLログインを非表示にするために何かを行うことは可能かもしれませんが、その方法がわかりません。

cocococosti · 2022 年 8 月 4 日午後 3:58

ああ！おっしゃる通りです🤦🏽‍♀️ 企業VPNを使用している場合、IPアドレスを確認すれば機能するかもしれませんが、それ以外では私の解決策は忘れてください😅

Stephen · 2022 年 8 月 4 日午後 4:09

どちらにしても機能しないため、あまり役に立たないかもしれません。SSOアドレスが無効な場合、ブラウザはパブリックインターネット経由でそれに到達できません。

SAMLはIdMやIdPではなく、認証プロトコルです。どこか別の場所からデータを消費する必要があります。IdMがSAMLもサポートしているかもしれませんが、このバックエンドシステムが何であるかを教えていただけない限り、ここでお手伝いするのは難しいでしょう。

tnagy · 2022 年 8 月 4 日午後 5:48

その通りです。

はい、それは知っています。認証サービスは内部ADFSです。しかし、私の質問は、外部ログインが完全に機能しているため、SAMLやADFSに関するものではありません。

アカウントで1つの認証ソースのみを有効にし、他のすべてのソースを無効にする方法があるかどうか、つまり、SSOが機能しているユーザーのローカルログインを無効にする方法があるかどうかを知りたいです。

ログイン試行後にのみ発生する可能性があることは理解しており、問題ありません。

pfaffman · 2022 年 8 月 5 日午前 10:35

次のようなプラグインを作成する必要があります。ユーザーが特定のグループのメンバーであるかどうかをテストし、must_use_saml グループに属していて SAML でログインしていない場合はログアウトさせます。

これは、開発者が慣れている場合、必要なテストの量や仕様が作成されるかどうかによって異なりますが、おそらく 1 ～ 2 時間程度でしょう。

tnagy · 2022 年 8 月 5 日午前 10:48

ジェイ、ありがとう。試してみます！

system · 2022 年 9 月 4 日午前 10:48

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

トピック		返信	表示
SAML is creating error for local user log out SSO	7	796	2023 年 5 月 25 日
Is there a way to link local accounts with the discourse-saml plugin? SSO	1	489	2022 年 12 月 12 日
SAML Plugin on Self Hosted Discourse Support	10	2288	2020 年 8 月 22 日
Change login button action Support	6	1427	2020 年 7 月 14 日
Landing page on saml login Support	14	1311	2020 年 5 月 30 日

SAMLでローカルログインを無効にする

関連トピック