Discourse OpenID Connect (OIDC)

david · Outubro 3, 2024, 12:30pm

Olá @balazsorban44, obrigado pelo lembrete. Fiz uma primeira revisão do PR. Se o autor não tiver tempo para trabalhar nessas coisas, é provável que possamos assumir. Concordo que ter suporte a PKCE seria bom.

No entanto, vale notar: não acho que o Discourse seja vulnerável aos ataques de “interceptação de código de autorização” contra os quais o PKCE protege. A autenticação do Discourse sempre acontece no navegador via https e não usa esquemas de URL personalizados de nível de sistema operacional que podem ser interceptados por outros aplicativos.

Mas, claro, não há problema em adicionar a camada extra de segurança

balazsorban44 · Outubro 4, 2024, 3:39pm

Não necessariamente preocupado com a segurança.

Abordei o feedback aqui, mantendo o histórico do contribuidor original para crédito: feat: PKCE support by balazsorban44 · Pull Request #86 · discourse/discourse-openid-connect · GitHub

Feliz em finalizar o trabalho

Lander_Noterman · Outubro 14, 2024, 1:09pm

Você encontrou uma solução para isso?

swt2c · Outubro 14, 2024, 1:26pm

Infelizmente, não.

Lander_Noterman · Outubro 14, 2024, 2:07pm

@swt2c Eu o implementei no plugin adicionando

  params << ["client_id", "<my-client-id>"]
  params << ["logout_uri", post_logout_redirect] if post_logout_redirect

após a linha params << ["post_logout_redirect_uri", post_logout_redirect] if post_logout_redirect em plugin.rb.

Seria ótimo ter suporte oficial para isso!

david · Outubro 16, 2024, 11:32am

@balazsorban44 obrigado por assumir isso! Acabei de mesclar o PR, então agora temos suporte PKCE opcional no plugin

hhf.technology · Outubro 21, 2024, 9:48am

Olá Chris,
Como você integrou o Authentik com este plugin? Qualquer insight seria útil. Estamos lutando há algumas semanas para fazê-lo funcionar corretamente.

chrisblech · Outubro 21, 2024, 3:27pm

Hmm, não consigo me lembrar de algo especial. Qual é exatamente o seu problema? Você quer compartilhar algumas capturas de tela da sua configuração (talvez por mensagem privada)?

hhf.technology · Outubro 21, 2024, 3:58pm

obrigado por responder, Chris. Claro. Falarei com você mais tarde esta semana, quando minha equipe de desenvolvimento que estava trabalhando no Authentik estiver por perto. Os principais problemas são com o fluxo e o outpost.

davispuh · Fevereiro 9, 2025, 7:29pm

Tenho um problema interessante, antes de implantar publicamente, quero testar se tudo funciona, então meu provedor OIDC está hospedado localmente (sub-rede privada) e não é acessível pela internet.
Infelizmente, isso falha porque o Discourse não permite a conexão com IPs privados.
oidc.example.org resolve para um IP privado.

Log OIDC: Buscando documento de descoberta em https://oidc.example.org/application/o/discourse/.well-known/openid-configuration
Log OIDC: Buscar documento de descoberta gerou erro Faraday::ConnectionFailed FinalDestination: todos os IPs resolvidos foram desautorizados
Log OIDC: Documento de descoberta é

---

(oidc) Fase de solicitação iniciada.
(oidc) Falha na autenticação! openid_connect_discovery_error: OmniAuth::OpenIDConnect::DiscoveryError, Documento de descoberta está ausente

Acho que como openid_connect_discovery_document só pode ser alterado pelo Admin, ele deve ser confiável e permitir até mesmo IPs privados.

github.com/discourse/discourse

lib/final_destination/ssrf_detector.rb

main

# frozen_string_literal: true

class FinalDestination
  module SSRFDetector
    class DisallowedIpError < SSRFError
    end

    class LookupFailedError < SSRFError
    end

    # This is a list of private IPv4 IP ranges that are not allowed to be globally reachable as given by
    # https://www.iana.org/assignments/iana-ipv4-special-registry/iana-ipv4-special-registry.xhtml.
    PRIVATE_IPV4_RANGES = [
      IPAddr.new("0.0.0.0/8"),
      IPAddr.new("10.0.0.0/8"),
      IPAddr.new("100.64.0.0/10"),
      IPAddr.new("127.0.0.0/8"),
      IPAddr.new("169.254.0.0/16"),
      IPAddr.new("172.16.0.0/12"),
      IPAddr.new("192.0.0.0/24"),

This file has been truncated. show original

david · Fevereiro 10, 2025, 10:53am

Existe uma configuração de site chamada ‘allowed_internal_hosts’. Se você adicionar o nome de host interno a essa lista, as solicitações para ele serão permitidas pelo SSRF Detector.

Em serviços de hospedagem compartilhada (como a hospedagem oficial do discourse.org), os administradores não são confiáveis para fazer solicitações dentro do ambiente de hospedagem, é por isso que essa proteção existe por padrão.

Cesare_Caoduro · Fevereiro 24, 2025, 5:54am

Desculpe, mas não tenho certeza se posso seguir a instrução para instalar o plugin. Estou executando o Discourse no meu ambiente Docker local, e realmente não consigo encontrar um app.yml para adicionar a configuração.
Pode ser uma pergunta idiota, mas há um guia para instalar em um ambiente de desenvolvimento local?

NateDhaliwal · Fevereiro 24, 2025, 7:09am

Para um ambiente de desenvolvimento Docker, tente verificar em /var/discourse/containers/app.yml?
No entanto, para instalações de desenvolvimento não Docker, veja aqui:

Cesare_Caoduro · Fevereiro 24, 2025, 7:22am

O problema é que não consigo encontrar uma pasta containers

NateDhaliwal · Fevereiro 24, 2025, 7:28am

Assumindo que você seguiu este guia, talvez siga esta postagem para instalar plugins?

zabin · Março 5, 2025, 7:57pm

Olá.\nAdicionei este plugin e ele funciona bem. O problema que vejo é que nosso aplicativo Discourse tem aliases, então posso fazer login com 2 URLs. Ambos foram configurados no Azure com URLs de retorno de chamada adequadas. Notei que a chamada para https://discourse.company.com/auth/oidc está retornando a URL de Localização com a URL do alias, como https://login-blah-bla/authorize?client_id=&redirect_uri=https%3A%2F%[2Fdiscourse.us.company.com](http://2fdiscourse.us.company.com/)%2Fauth%2Foidc%2Fcallback.\nNão deveria respeitar a URL de origem?\n\nHá um openid_connect_error_redirects, mas acredito que seja para o caso de erros. Alguma ideia de como posso mudar o redirecionamento para a autoridade (também conhecida como discourse.company.com).

steinhh · Março 13, 2025, 3:55pm

Durante uma instalação manual de pacote, recebo isto:

Mensagem pós-instalação de oauth2:

Você instalou a versão 1.4.11 do oauth2, que está em fim de vida.
Não se espera mais suporte para a série 1.4.x.

e recomendações para atualizar para a versão 2 do oauth2. Seria muito mais confortável sem essas mensagens, há planos para atualização?

Também recebo:
Parabéns! Você instalou a versão 1.1.0 do oauth.

O suporte não comercial para a série 1.x terminará até abril de 2025. Por favor, planeje uma atualização para a próxima versão antes dessa data.
A única mudança que causará quebra será o suporte removido para Ruby 2.7 e outras versões que também terão chegado ao fim de sua vida útil até então.

Mas acho que isso não é “você”?

SamKer · Maio 28, 2025, 12:26pm

Olá,
a opção Permitir novos registros é estritamente necessária para o funcionamento do plugin. Isso permite criar automaticamente a conta na primeira conexão ao Discourse e exibe um botão “register”. Mas seria possível permitir a desativação: ou seja, não deixar a possibilidade para o usuário que se conecta via OpenID Connect de modificar seus parâmetros e criar diretamente sua conta. Isso permitiria remover da exibição os botões “register” que não têm razão de existir neste contexto.

Cordialmente

marlowleon · Junho 18, 2025, 11:23pm

Você conseguiu descobrir? Estou preso na mesma mensagem.

marlowleon · Junho 19, 2025, 3:00am

E aí, você conseguiu configurar isso? Não sei por que estou travado nisso, de centenas de aplicativos que gerenciei com openid ou autenticação, este está me dando mais trabalho.

Tópico		Respostas	Visualizações
Discourse OAuth2 Basic Plugin official , oauth2 , auth-plugins , included-in-core	31	64089	24 de Julho de 2025
Use Discourse as an identity provider (SSO, DiscourseConnect) Integrations sso , discourseconnect , how-to	143	49255	9 de Novembro de 2024
Configure sign up and log in with Auth0 using the OAuth2 Basic Plugin Integrations sso , oauth2 , auth-plugins , how-to	72	19427	10 de Abril de 2025
Well known support? SSO oauth2	0	471	28 de Maio de 2023
Setup DiscourseConnect - Official Single-Sign-On for Discourse (sso) Integrations sso , discourseconnect , configuring , how-to	42	450556	13 de Novembro de 2025

Discourse OpenID Connect (OIDC)

Tópicos relacionados