Con più istanze di Discourse configurate con login richiesto e che utilizzano SSO, stiamo riscontrando reindirizzamenti infiniti durante l’accesso con Safari su iOS. Ecco cosa accade:
- L’utente non è loggato né su Discourse né sul sito master SSO.
- L’utente naviga verso l’istanza di Discourse.
- Discourse reindirizza alla pagina SSO.
- La pagina SSO richiede le credenziali. L’utente effettua il login.
- L’utente rimane bloccato in un ciclo di reindirizzamento tra il sito master SSO e Discourse, finché Safari non interrompe l’operazione.
- Se l’utente successivamente naviga manualmente nuovamente verso Discourse, è già loggato.
Non riesco a riprodurre questo comportamento con Chrome su desktop.
Mentre un client è intrappolato nel ciclo di reindirizzamento, vengono generati molteplici voci Started SSO process e User was logged on, il che suggerisce che il processo SSO abbia avuto successo; tuttavia, al termine dell’SSO, Discourse reindirizza l’utente a un’altra schermata di login SSO invece che alla pagina iniziale.
Questo problema interessa anche istanze vecchie in cui l’SSO funzionava correttamente in precedenza, quindi non credo si tratti di un problema di configurazione di Discourse.
Qualcuno ha un’idea di cosa possa non funzionare?
% correct. It was on Lax, the default. Changing it to Disabled fixed the issue immediately. (I assume this is a defense-in-depth thing, on top of your usual CSRF protections, so disabling it is not overly terrible for security?)
I’ve spent a very long time figuring out a similar issue was caused by this