Activer la synchronisation de groupe depuis Google Workplace

Pour commencer, configurez la connexion Google selon ces instructions :

Ensuite, suivez ces étapes :

1. Dans le tableau de bord Google pour votre intégration OAuth, allez dans « APIs & Services » (API et services), et ajoutez « Admin SDK »

   

   Screenshot 2022-05-11 at 18.13.091920×481 50.3 KB
   →
   

   Screenshot 2022-05-11 at 18.13.263014×962 193 KB
   →
   

   Screenshot 2022-05-11 at 18.29.403016×736 105 KB

2. Allez dans « IAM & Admin » (IAM et administration) → « Service Accounts » (Comptes de service) → « Create Service Account » (Créer un compte de service) et configurez un compte. Les deux étapes facultatives ne sont pas requises - passez-les.

   

   Screenshot 2022-09-19 at 16.50.501678×1378 271 KB

3. Dans la liste des comptes de service, cliquez sur le compte nouvellement créé, notez l’« unique id » (identifiant unique) pour plus tard, puis allez dans l’onglet « keys » (clés). Créez une nouvelle clé au format « JSON » et enregistrez le fichier pour plus tard.

4. Allez sur admin.google.com, et visitez la section « security » (sécurité). Ouvrez « API Controls » (Contrôles d’API), « Manage Third Party App Access » (Gérer l’accès des applications tierces). Ensuite, « Add App » (Ajouter une application), « OAuth App Name or Client ID » (Nom de l’application OAuth ou ID client). Entrez l’ID client de votre application OAuth, puis sélectionnez-la dans la liste. Parcourez les étapes, en vous assurant de définir l’application comme « Trusted » (Approuvée). Elle devrait ensuite apparaître dans la liste :

   

   Screenshot 2022-05-12 at 10.55.351920×675 53.4 KB

5. Retournez à la section « API Controls » (Contrôles d’API), faites défiler vers le bas et choisissez « Manage Domain Wide Delegation » (Gérer la délégation à l’échelle du domaine). Choisissez « Add New » (Ajouter nouveau) et entrez l’ID client du compte de service que vous avez créé précédemment. Sous « scopes » (scopes), collez la valeur

   https://www.googleapis.com/auth/admin.directory.group.readonly
   

6. Dans votre panneau d’administration Discourse, allez dans Admin (Admin) > Config (Configuration) > Login and Authentication (Connexion et authentification) > Authenticators (Authentificateurs) et recherchez ‘google oauth2 hd’. Configurez les paramètres suivants :

   google oauth2 hd : le nom de domaine de votre Google Workspace

   google_oauth2_hd_groups_service_account_json : collez le contenu du fichier de clé de compte de service que vous avez généré précédemment

   google_oauth2_hd_groups_service_account_admin_email : entrez l’adresse e-mail de tout compte administrateur Google Workspace. Cette identité sera utilisée par le compte de service lors de la récupération des informations de groupe Google

   google oauth2 hd groups : activé

La prochaine fois qu’un utilisateur se connectera, Discourse récupérera et stockera les informations de groupe Google en coulisses.

Pour lier un groupe Google à un groupe Discourse, visitez la configuration du groupe dans Discourse et allez dans la section Manage (Gérer) → Membership (Adhésion). Sous « Automatic » (Automatique), vous verrez une nouvelle liste déroulante qui vous permet de lier n’importe quel nombre de groupes Google au groupe Discourse :

Screenshot 2022-05-12 at 10.48.282390×960 198 KB

Les modifications apportées à ce paramètre devraient prendre effet immédiatement. Les changements d’adhésion au groupe sur Google prendront effet lors de la prochaine connexion de l’utilisateur.

Un grand merci à @angus pour son travail sur cette fonctionnalité. Nous espérons étendre ce système de synchronisation de groupe à d’autres méthodes de connexion dans un futur proche.

J’aimerais l’utiliser avec « oauth2 générique » (spécifiquement pour Auth0). Y a-t-il un autre fil de discussion ou un problème GitHub que je puisse suivre pour cela ?

@david ou @angus Pouvez-vous s’il vous plaît fournir plus de détails pour l’élément 6.

Blockquote google oauth2 hd : le nom de domaine de votre Google Workspace

1. Voulez-vous dire mon domaine (ebsp.org) qui a un compte workspace ? Ou le domaine réel du workspace.
2. Est-ce juste l’URL ?

Blockquote google_oauth2_hd_groups_service_account_json : collez le contenu du fichier de clé du compte de service que vous avez généré précédemment
Collez tout le contenu du JSON ?

@angus @david J’ai suivi ces instructions telles qu’elles sont présentées. J’ai la case pour rechercher un groupe, mais aucun groupe ne s’affiche. Des idées ?

Salut Charlie, le google oauth2 hd provient de l’API Google OIDC (documentation ici). Ils disent que c’est :

Le domaine associé à l’organisation Google Workspace ou Cloud de l’utilisateur

Pour donner un exemple, si je mettais cela en place en interne pour notre personnel, je définirais la valeur sur discourse.org.

Yup !

Les groupes Google n’apparaîtront dans Discourse qu’une fois qu’un membre de ce groupe se sera connecté à Discourse en utilisant Google. Nous n’avons aucun système pour les lister à l’avance.

@david J’ai finalement réussi. J’ai dû désactiver certaines choses. La façon dont mon site était configuré, les utilisateurs étaient automatiquement connectés via Google Oauth. Je l’ai désactivé ainsi que Discourse Connect et cela a fonctionné. Je ne suis pas sûr de ce qui créait une déconnexion. Une fois que je me suis physiquement connecté avec Google, tout s’est rempli.

La lecture des Google Groups est-elle toujours expérimentale ? Ces instructions ont-elles changé ?

Comme @John_Faig, je me demande si c’est toujours expérimental.

Je viens de voir cette fonctionnalité et j’ai trois Google Groups que j’aimerais migrer. Il est extrêmement difficile de faire en sorte que les gens « changent ». Nous avons besoin de bonnes raisons pour sortir de notre zone de confort. Ensuite, nous ne voulons pas d’obstacles dans le processus. Créer un identifiant (Discourse) sur un autre site Web est une corvée pour les personnes qui sont déjà investies dans GG. Si cette fonctionnalité est stable, l’obstacle potentiel est supprimé, et nous pouvons nous concentrer sur la fourniture de raisons convaincantes pour que le public migre.

Merci !