Discourse OpenID Connect (OIDC)

david · Octobre 3, 2024, 12:30

Salut @balazsorban44, merci pour le rappel. J’ai fait une première passe de revue de la PR. Si l’auteur n’a pas le temps de travailler sur ces points, alors c’est probablement quelque chose que nous pouvons prendre en charge. Je suis d’accord, le support PKCE serait bien.

Cependant, il est bon de noter : je ne pense pas que Discourse soit vulnérable aux attaques « d’interception de code d’autorisation » que PKCE protège. L’authentification Discourse se fait toujours dans le navigateur via https, et n’utilise pas de schémas d’URL personnalisés au niveau du système d’exploitation qui peuvent être interceptés par d’autres applications.

Mais bien sûr, il n’y a aucun mal à ajouter cette couche de sécurité supplémentaire

balazsorban44 · Octobre 4, 2024, 3:39

Pas nécessairement préoccupé par la sécurité.

J’ai pris en compte les commentaires ici, en conservant l’historique du contributeur d’origine pour le crédit : feat: PKCE support by balazsorban44 · Pull Request #86 · discourse/discourse-openid-connect · GitHub

Heureux de terminer le travail dessus

Lander_Noterman · Octobre 14, 2024, 1:09

Avez-vous trouvé une solution à ce problème ?

swt2c · Octobre 14, 2024, 1:26

Malheureusement, non.

Lander_Noterman · Octobre 14, 2024, 2:07

@swt2c Je l’ai intégré au plugin en ajoutant

  params << ["client_id", "<my-client-id>"]
  params << ["logout_uri", post_logout_redirect] if post_logout_redirect

après la ligne params << ["post_logout_redirect_uri", post_logout_redirect] if post_logout_redirect dans plugin.rb.

Ce serait formidable d’avoir un support officiel pour cela !

david · Octobre 16, 2024, 11:32

@balazsorban44 merci de prendre cela en charge ! Je viens de fusionner la PR, nous avons donc maintenant la prise en charge PKCE en option dans le plugin

hhf.technology · Octobre 21, 2024, 9:48

Salut Chris,
Comment as-tu intégré Authentik avec ce plugin ? Des éclaircissements seraient utiles. Nous avons du mal depuis quelques semaines à le faire fonctionner correctement.

chrisblech · Octobre 21, 2024, 3:27

Hmm, je ne me souviens de rien de spécial. Quel est votre problème exactement ? Voulez-vous partager des captures d’écran de votre configuration (peut-être par MP) ?

hhf.technology · Octobre 21, 2024, 3:58

Merci de votre réponse Chris. Bien sûr. Je vous contacterai plus tard dans la semaine lorsque mon équipe de développement qui travaillait sur authentik sera disponible. Les principaux problèmes concernent le flux et l’outpost.

davispuh · Février 9, 2025, 7:29

J’ai un problème intéressant, avant de déployer publiquement, je veux tester que tout fonctionne, donc mon fournisseur OIDC est hébergé localement (sous-réseau privé) et n’est pas accessible depuis Internet.
Malheureusement, cela échoue car Discourse ne permet pas de se connecter à des adresses IP privées.
oidc.example.org se résout en une adresse IP privée.

OIDC Log: Fetching discovery document from https://oidc.example.org/application/o/discourse/.well-known/openid-configuration
OIDC Log: Fetching discovery document raised error Faraday::ConnectionFailed FinalDestination: all resolved IPs were disallowed
OIDC Log: Discovery document is

---

(oidc) Request phase initiated.
(oidc) Authentication failure! openid_connect_discovery_error: OmniAuth::OpenIDConnect::DiscoveryError, Discovery document is missing

Je pense que parce que openid_connect_discovery_document ne peut être modifié que par l’administrateur, il devrait être approuvé et autoriser même les adresses IP privées.

github.com/discourse/discourse

lib/final_destination/ssrf_detector.rb

main

# frozen_string_literal: true

class FinalDestination
  module SSRFDetector
    class DisallowedIpError < SSRFError
    end

    class LookupFailedError < SSRFError
    end

    # This is a list of private IPv4 IP ranges that are not allowed to be globally reachable as given by
    # https://www.iana.org/assignments/iana-ipv4-special-registry/iana-ipv4-special-registry.xhtml.
    PRIVATE_IPV4_RANGES = [
      IPAddr.new("0.0.0.0/8"),
      IPAddr.new("10.0.0.0/8"),
      IPAddr.new("100.64.0.0/10"),
      IPAddr.new("127.0.0.0/8"),
      IPAddr.new("169.254.0.0/16"),
      IPAddr.new("172.16.0.0/12"),
      IPAddr.new("192.0.0.0/24"),

This file has been truncated. show original

david · Février 10, 2025, 10:53

Il existe un paramètre de site appelé « allowed_internal_hosts ». Si vous ajoutez le nom d’hôte interne à cette liste, les requêtes vers celui-ci seront autorisées par le détecteur SSRF.

Dans les services d’hébergement partagé (comme l’hébergement officiel discourse.org), les administrateurs ne sont pas autorisés à effectuer des requêtes dans l’environnement d’hébergement, c’est pourquoi cette protection existe par défaut.

Cesare_Caoduro · Février 24, 2025, 5:54

Désolé, mais je ne suis pas sûr de pouvoir suivre la consigne pour installer le plugin. Je fais fonctionner Discourse dans mon environnement Docker local, et je ne trouve pas vraiment de app.yml pour ajouter la configuration.
Ce peut être une question stupide, mais y a-t-il un guide pour l’installer dans un environnement de développement local ?

NateDhaliwal · Février 24, 2025, 7:09

Pour un environnement de développement Docker, essayez de vérifier sous /var/discourse/containers/app.yml ?
Cependant, pour les installations de développement non-Docker, voir ici :

Cesare_Caoduro · Février 24, 2025, 7:22

Le problème est que je ne trouve pas de dossier containers

NateDhaliwal · Février 24, 2025, 7:28

En supposant que vous ayez suivi ce guide, peut-être suivre ce post pour installer des plugins ?

zabin · Mars 5, 2025, 7:57

Salut.\nJ’ai ajouté ce plugin et il fonctionne bien. Le problème que je vois est que notre application discourse a des alias, donc je peux me connecter avec 2 URL. Les deux ont été configurées dans Azure avec les URL de rappel appropriées. J’ai remarqué que l’appel à https://discourse.company.com/auth/oidc renvoie l’URL de localisation avec l’URL alias, comme https://login-blah-bla/authorize?client_id=&redirect_uri=https%3A%2F%[2Fdiscourse.us.company.com](http://2fdiscourse.us.company.com/)%2Fauth%2Foidc%2Fcallback.\nNe devrait-il pas respecter l’URL d’origine ?\n\nIl y a un openid_connect_error_redirects mais je pense que c’est pour les cas d’erreur. Avez-vous une idée de comment je peux changer la redirection vers l’autorité (alias discourse.company.com).

steinhh · Mars 13, 2025, 3:55

Lors d’une installation manuelle de bundle, je reçois ceci:

Message post-installation de oauth2:

Vous avez installé oauth2 version 1.4.11, qui est en fin de vie (EOL).
Aucune assistance supplémentaire n’est prévue pour la série 1.4.x.

Et des recommandations pour mettre à jour vers oauth2 version 2. Il serait beaucoup plus rassurant de ne pas avoir de tels messages, avez-vous des plans pour mettre à jour ?

Je reçois aussi:
Vous avez installé oauth version 1.1.0, félicitations !

Le support non commercial pour la série 1.x prendra fin d’ici avril 2025. Veuillez planifier la mise à jour vers la version suivante avant cette date.
La seule modification de rupture sera la suppression du support pour Ruby 2.7 et toute autre version qui aura également atteint sa fin de vie d’ici là.

Mais je suppose que ce n’est pas “vous” ?

SamKer · Mai 28, 2025, 12:26

Bonjour,
l’option Allow new registrations est strictement requise pour le fonctionnement du plugin. Cela permet de créer automatiquement le compte à la première connexion à discourse et affiche un bouton “register”. Mais serait-il possible d’en permettre la désactivation: c’est à dire ne pas laisser la possibilité à l’utilisateur se connectant via openidconnect de modifier ses parametres et créer directement son compte. cela permettrait de supprimer à l’affichage les boutons “register” qui n’ont pas lieu d’être dans ce contexte .
cordialement

marlowleon · Juin 18, 2025, 11:23

As-tu réussi à comprendre ? Je suis bloqué sur le même message.

marlowleon · Juin 19, 2025, 3:00

Salut, as-tu pu configurer ça ? Je ne sais pas pourquoi je suis complètement bloqué là-dessus. Parmi les centaines d’applications que j’ai gérées avec OpenID ou l’authentification, c’est celle-ci qui me pose le plus de problèmes.

Sujet		Réponses	Vues
Discourse OAuth2 Basic Plugin official , oauth2 , auth-plugins , included-in-core	31	64108	Juillet 24, 2025
Use Discourse as an identity provider (SSO, DiscourseConnect) Integrations sso , discourseconnect , how-to	143	49272	Novembre 9, 2024
Configure sign up and log in with Auth0 using the OAuth2 Basic Plugin Integrations sso , oauth2 , auth-plugins , how-to	72	19437	Avril 10, 2025
Well known support? SSO oauth2	0	471	Mai 28, 2023
Setup DiscourseConnect - Official Single-Sign-On for Discourse (sso) Integrations sso , discourseconnect , configuring , how-to	42	450664	Novembre 13, 2025

Discourse OpenID Connect (OIDC)

Sujets connexes