¿Utiliza SSO direcciones IP filtradas para bloquear registros?

Soporte SSO
1

Creo que conozco la respuesta a esto, pero quería confirmar si esto es esperado y no un error de ningún tipo (creo que es esperado).

Versión resumida: nuestro sitio utiliza SSO. El sitio web principal controla el registro y autoriza una cuenta en Discourse a través de SSO. Ahora, nos hemos asegurado de reenviar la dirección IP del usuario en nuestra configuración y podemos confirmarlo al ver la página de Administración de cada usuario; sin embargo, cuando agregamos una dirección IP a la lista de Bloqueados en IPs filtradas, no bloquea los intentos futuros de crear o autorizar una cuenta.

Mi suposición es que SSO elude esa verificación; ¿es esa una afirmación correcta y es ese el resultado esperado?

Antecedentes:
La razón por la que pregunto es que nuestro equipo de moderación está realizando trabajo adicional en este momento asegurándose de que las direcciones IP se agreguen a la lista de bloqueados para cuentas que son extremadamente disruptivas/abusivas, y han notado que parece no marcar diferencia. Dicho esto, quieren que investigue si deben continuar con esos pasos o si pueden simplemente ignorarlos (en caso de que la lista de IPs filtradas no sirva para configuraciones de SSO).

2

Si el SSO controla quién inicia sesión en tu sitio, entonces Discourse no lo hace ni puede hacerlo. Estoy bastante seguro de que no hay ningún beneficio en bloquear IPs del lado de Discourse, ya que otro servidor controla los inicios de sesión.

3

Sí, esa es también mi comprensión e impresión (de ahí que para mí esto sea esperado).

4

Acabo de probar esto en mi propio sitio. Después de agregar mi dirección IP a la lista de IPs filtradas y establecer su acción en “Bloquear”, los usuarios no pueden crear nuevas cuentas desde esa dirección IP al iniciar sesión mediante SSO. Esto es por diseño. Puedes ver dónde ocurre en el código aquí: discourse/app/controllers/session_controller.rb at main · discourse/discourse · GitHub.

5

Interesante… definitivamente tenemos una cuenta reciente cuya IP de registro fue bloqueada el 20 de agosto, pero lograron crear una cuenta el 15 de septiembre.

Editado:
Sin embargo, también encontré esto en los registros, así que parece que funciona ocasionalmente.

Registro detallado de SSO: La dirección IP está bloqueada [ip_address_redacted]

add_groups: 
admin: 
moderator: 
avatar_force_update: 
...
6

¿Quizás estaban usando una VPN o estaban en una computadora o dispositivo móvil diferente?

7

Con ese lapso de tiempo, probablemente ni siquiera notaron que estaban eludiendo un bloqueo de IP.

8

Ah, creo que entiendo qué está pasando. Tenemos un campo personalizado de SSO llamado ‘IP de registro’, y este muestra claramente la dirección IP bloqueada, pero la ‘Última IP’ que aparece en Discourse es diferente. Mi hipótesis, y es solo una suposición que podría explicar el uso de una VPN, es que no sé por qué nuestro campo de registro obtuvo la dirección bloqueada mientras que Discourse obtuvo una diferente.