Discourse OpenID Connect (OIDC)

david · 3 Ottobre 2024, 12:30pm

Ciao @balazsorban44, grazie per il promemoria. Ho fatto una prima revisione della PR. Se l’autore non ha tempo di lavorare su queste cose, allora è probabile che possiamo occuparcene noi. Concordo sul fatto che il supporto PKCE sarebbe utile.

Tuttavia, vale la pena notare: non credo che Discourse sia vulnerabile agli attacchi di “intercettazione del codice di autorizzazione” che PKCE protegge. L’autenticazione di Discourse avviene sempre nel browser tramite https e non utilizza schemi URL personalizzati a livello di sistema operativo che possono essere intercettati da altre app.

Ma ovviamente, non c’è nessun danno nell’aggiungere un ulteriore livello di sicurezza

balazsorban44 · 4 Ottobre 2024, 3:39pm

Non necessariamente preoccupato per la sicurezza.

Ho affrontato il feedback qui, mantenendo la cronologia del contributore originale per dargli credito: feat: PKCE support by balazsorban44 · Pull Request #86 · discourse/discourse-openid-connect · GitHub

Felice di completare il lavoro

Lander_Noterman · 14 Ottobre 2024, 1:09pm

Hai trovato una soluzione a questo problema?

swt2c · 14 Ottobre 2024, 1:26pm

Purtroppo, no.

Lander_Noterman · 14 Ottobre 2024, 2:07pm

@swt2c L’ho inserito nell’estensione aggiungendo

  params << ["client_id", "<my-client-id>"]
  params << ["logout_uri", post_logout_redirect] if post_logout_redirect

dopo la riga params << ["post_logout_redirect_uri", post_logout_redirect] if post_logout_redirect in plugin.rb.

Sarebbe fantastico ottenere un supporto ufficiale per questo!

david · 16 Ottobre 2024, 11:32am

@balazsorban44 grazie per essertene occupato! Ho appena unito la PR, quindi ora abbiamo il supporto PKCE opt-in nel plugin

hhf.technology · 21 Ottobre 2024, 9:48am

Ciao Chris,
come hai integrato Authentik con questo plugin? Qualsiasi suggerimento sarebbe utile. Stiamo lottando da un paio di settimane per farlo funzionare correttamente.

chrisblech · 21 Ottobre 2024, 3:27pm

Hmm, non riesco a ricordare qualcosa di speciale. Qual è esattamente il tuo problema? Vuoi condividere alcuni screenshot della tua configurazione (magari tramite PM)?

hhf.technology · 21 Ottobre 2024, 3:58pm

Grazie per aver risposto, Chris. Certo. Ti contatterò più tardi questa settimana quando il mio team di sviluppo che stava lavorando su Authentik sarà disponibile. I problemi principali riguardano il flusso e l’outpost.

davispuh · 9 Febbraio 2025, 7:29pm

Ho un problema interessante, prima di distribuire pubblicamente voglio testare che tutto funzioni, quindi il mio provider OIDC è ospitato localmente (sottorete privata) e non è accessibile da Internet.
Purtroppo questo fallisce perché Discourse non consente la connessione a IP privati.
oidc.example.org si risolve in un IP privato.

OIDC Log: Fetching discovery document from https://oidc.example.org/application/o/discourse/.well-known/openid-configuration
OIDC Log: Fetching discovery document raised error Faraday::ConnectionFailed FinalDestination: all resolved IPs were disallowed
OIDC Log: Discovery document is

---

(oidc) Request phase initiated.
(oidc) Authentication failure! openid_connect_discovery_error: OmniAuth::OpenIDConnect::DiscoveryError, Discovery document is missing

Penso che poiché openid_connect_discovery_document può essere modificato solo dall’amministratore, dovrebbe essere considerato attendibile e consentire anche IP privati.

github.com/discourse/discourse

lib/final_destination/ssrf_detector.rb

main

# frozen_string_literal: true

class FinalDestination
  module SSRFDetector
    class DisallowedIpError < SSRFError
    end

    class LookupFailedError < SSRFError
    end

    # This is a list of private IPv4 IP ranges that are not allowed to be globally reachable as given by
    # https://www.iana.org/assignments/iana-ipv4-special-registry/iana-ipv4-special-registry.xhtml.
    PRIVATE_IPV4_RANGES = [
      IPAddr.new("0.0.0.0/8"),
      IPAddr.new("10.0.0.0/8"),
      IPAddr.new("100.64.0.0/10"),
      IPAddr.new("127.0.0.0/8"),
      IPAddr.new("169.254.0.0/16"),
      IPAddr.new("172.16.0.0/12"),
      IPAddr.new("192.0.0.0/24"),

This file has been truncated. show original

david · 10 Febbraio 2025, 10:53am

C’è un’impostazione del sito chiamata ‘allowed_internal_hosts’. Se aggiungi l’hostname interno a quell’elenco, le richieste ad esso verranno consentite dal Rilevatore SSRF.

Nei servizi di hosting condiviso (come l’hosting ufficiale discourse.org), gli amministratori non sono considerati attendibili per effettuare richieste all’interno dell’ambiente di hosting, motivo per cui questa protezione esiste per impostazione predefinita.

Cesare_Caoduro · 24 Febbraio 2025, 5:54am

Mi scuso, ma non sono sicuro di poter seguire l’istruzione per installare il plugin. Sto eseguendo Discourse nel mio ambiente Docker locale e non riesco a trovare un app.yml per aggiungere la configurazione.
Può essere una domanda stupida, ma esiste una guida per installarlo in un ambiente di sviluppo locale?

NateDhaliwal · 24 Febbraio 2025, 7:09am

Per un ambiente di sviluppo Docker, prova a controllare in /var/discourse/containers/app.yml?
Tuttavia, per installazioni di sviluppo non Docker, vedi qui:

Cesare_Caoduro · 24 Febbraio 2025, 7:22am

Il problema è che non riesco a trovare una cartella contenitori

NateDhaliwal · 24 Febbraio 2025, 7:28am

Supponendo che tu abbia seguito questa guida, forse segui questo post per installare i plugin?

zabin · 5 Marzo 2025, 7:57pm

Ciao.
Ho aggiunto questo plugin e funziona bene. Il problema che riscontro è che la nostra app discourse ha degli alias, quindi posso accedere con 2 URL. Entrambi sono stati configurati in Azure con URL di callback appropriati. Ho notato che la chiamata a https://discourse.company.com/auth/oidc restituisce l’URL di destinazione con l’URL alias, come https://login-blah-bla/authorize?client_id=&redirect_uri=https%3A%2F%[2Fdiscourse.us.company.com](http://2fdiscourse.us.company.com/)%2Fauth%2Foidc%2Fcallback.
Non dovrebbe rispettare l’URL di origine?

C’è un openid_connect_error_redirects ma credo che sia per i casi di errore. Hai qualche idea su come posso cambiare il reindirizzamento all’autorità (aka discourse.company.com).

steinhh · 13 Marzo 2025, 3:55pm

Durante un’installazione manuale del bundle ottengo questo:

Messaggio post-installazione di oauth2:

Hai installato la versione oauth2 1.4.11, che è in EOL.
Non si prevede ulteriore supporto per la serie 1.4.x.

E consigli di aggiornare alla versione 2 di oauth2. Sarebbe molto più confortevole senza questi messaggi, ci sono piani per aggiornare?

Ottengo anche:
Hai installato oauth versione 1.1.0, congratulazioni!

Il supporto non commerciale per la serie 1.x finirà entro aprile 2025. Ti preghiamo di pianificare l’aggiornamento alla versione successiva prima di quella data.
L’unico cambiamento che potrebbe causare problemi sarà la rimozione del supporto per Ruby 2.7 e altre versioni che anche loro avranno raggiunto l’EOL entro allora.

Ma suppongo che questo non sia “tu”?

SamKer · 28 Maggio 2025, 12:26pm

Buongiorno,
l’opzione Allow new registrations (Consenti nuove registrazioni) è strettamente necessaria per il funzionamento del plugin. Questo permette di creare automaticamente l’account alla prima connessione a Discourse e mostra un pulsante “register” (registrati). Ma sarebbe possibile permetterne la disattivazione: cioè, non lasciare la possibilità all’utente che si connette tramite OpenID Connect di modificare i suoi parametri e creare direttamente il suo account. Questo permetterebbe di rimuovere dalla visualizzazione i pulsanti “register” che non hanno motivo di esistere in questo contesto.
Cordiali saluti

marlowleon · 18 Giugno 2025, 11:23pm

Sei riuscito a capirlo? Sono bloccato sullo stesso messaggio.

marlowleon · 19 Giugno 2025, 3:00am

Ehi, sei riuscito a configurarlo? Non so perché sono bloccato/a con questo, tra le centinaia di app che ho gestito con OpenID o auth, questa mi sta dando più problemi.

Argomento		Risposte	Visualizzazioni
Discourse OAuth2 Basic Plugin official , oauth2 , auth-plugins , included-in-core	31	64088	Luglio 24, 2025
Use Discourse as an identity provider (SSO, DiscourseConnect) Integrations sso , discourseconnect , how-to	143	49254	Novembre 9, 2024
Configure sign up and log in with Auth0 using the OAuth2 Basic Plugin Integrations sso , oauth2 , auth-plugins , how-to	72	19427	Aprile 10, 2025
Well known support? SSO oauth2	0	471	Maggio 28, 2023
Setup DiscourseConnect - Official Single-Sign-On for Discourse (sso) Integrations sso , discourseconnect , configuring , how-to	42	450555	Novembre 13, 2025

Discourse OpenID Connect (OIDC)

Argomenti correlati