¿Funciona `sso overrides groups` con Oauth2?

Me gustaría utilizar esta función. Estamos en el plan Business alojado, por lo que SAML no está disponible para nosotros, así que estamos usando OAuth2 / OpenID Connect. Creo que tengo todo configurado correctamente (sso overrides groups está activado y oauth2 scope está establecido en openid profile email https://id.fedoraproject.org/scope/groups).

Estoy un poco confundido sobre cómo Discourse utiliza la palabra SSO y qué opciones aparecen en cada lugar. Sin embargo, estamos usando sso overrides username y eso funciona. ¿Debería esperar que esto también funcione?

La configuración sso overrides groups no funciona con OAuth2. Solo funciona con la implementación de SSO de Discourse: Setup DiscourseConnect - Official Single-Sign-On for Discourse (sso). Estamos en proceso de renombrar Discourse SSO a DiscourseConnect para evitar confusiones relacionadas con este problema.

Ay, qué lástima. El cambio de nombre definitivamente ayudará a reducir la confusión, pero no soluciona mis necesidades. ¿Es esta limitación intencional o simplemente no se ha implementado?

La configuración utiliza una ruta de código diferente a la que se usa con los inicios de sesión OAuth2. La sincronización de grupos mediante OAuth2 aún no se ha implementado. Poder sincronizar grupos de Discourse con grupos de un sitio externo tiene muchos casos de uso en Discourse, por lo que esperamos que sea algo que se pueda implementar en el futuro. Por ahora, tu única opción es gestionar la membresía del grupo a través de la API.

Así que tenemos algunos parches muy preliminares potenciales para implementar groups con OAuth2:

Sin embargo, como estamos utilizando el plan alojado, no tenemos un entorno de staging rápido en el que probarlos, por lo que son completamente teóricos. Intentaré configurar un entorno así en algún momento pronto, pero literalmente no es el trabajo principal de nadie, así que si alguien más pudiera ayudar a revisar y probarlos, sería increíble.

Si envías esos como PRs a nuestro repositorio, los revisaremos. No podemos garantizar que se fusionarán, pero al menos se realizará una revisión.

Genial, gracias. Intentaré probar primero con una prueba local o con algún otro voluntario amable para ver si funcionan y eliminar el .

No he tenido tiempo para trabajar en esto (ni para encontrar a nadie que pueda…). Si alguien que lee esto quisiera ayudar, sería genial.

Una vez que se complete Managing group membership via authentication - #14 by mattdm, definitivamente veremos cómo hacerlo funcionar con el plugin OAuth2

Implementé los cambios vinculados anteriormente y no parecieron romper Discourse. ¿Tienen documentación sobre cómo ejecutar las pruebas para que pueda verificar que los cambios no hayan roto nada?

¡Genial! Aparte de romper cosas, ¿funcionan?

En resumen, no lo sé a menos que utilice un sistema simulado en el Sistema de Cuentas de Fedora (FAS) —o algún otro sistema OIDC— para probarlo, pero también me interesaría aprender a usar la prueba de humo de Discourse, que parece ejecutarse en un navegador Chrome sin interfaz gráfica, aunque estoy teniendo dificultades para encontrar información al respecto.

¿Alguien de Discourse sabe dónde podría encontrar instrucciones sobre cómo ejecutar una prueba de humo?

¿Podría alguien de Fedora proporcionar un sistema FAS simulado para realizar pruebas?

Hmmm. El Sistema de Cuentas de Fedora es… bastante grande. (Pero, desde la gran actualización de este año, funciona con FreeIPA en su interior, por lo que, en teoría, cualquiera podría crear algo similar.)

¿Quizás podríamos conectar tu Discourse de prueba con el Sistema de Cuentas de Fedora real?

¡Hola a todos! Puedo agregarlos a nuestra instancia de Oauth2 de staging, ¿eso ayudaría?