Ich habe SSO auf der Discourse-Website unseres Unternehmens aktiviert, sodass externe Benutzer aus unserer App sich anmelden können. Einige Mitarbeiter mit Firmen-E-Mail-Adressen benötigen jedoch Zugriff als Moderatoren oder Administratoren. Da diese Mitarbeiter nicht in der App registriert sind, können wir keine SSO-Konten für sie erstellen.
Gibt es eine integrierte Lösung, um ihre Anmeldung separat zu handhaben, damit sie sich mit ihrer Firmen-E-Mail authentifizieren können, auch wenn SSO für externe Benutzer aktiviert ist?
Aber soweit ich weiß, funktioniert das nur für Administratoren, richtig? Ich möchte mich für Mitarbeiter und Moderatoren, also Power-User, aber nicht für Administratoren, anmelden.
Wenn ich Sie richtig verstehe, können Sie dann kein SSO verwenden. Das erste S steht für Single. Ich glaube, Sie müssen mehrere OAuth2-Logins verwenden.
Warum können Ihre Administratoren Ihr Authentifizierungssystem nicht nutzen?
Ich habe keine Lösung, aber ich erinnere mich, dass genau dieses Problem schon ein paar Mal aufgetreten ist. Es ist bedauerlich, dass Sie die Benutzer nicht zu Moderatoren machen und ihnen über die Route /u/admin-login Zugriff auf die Website gewähren können.
Falls es relevant ist, was verwenden Sie für SSO? Ist es DiscourseConnect, OAuth2 oder OpenID Connect?
Wir möchten, dass unsere Administratoren, Mitarbeiter und Moderatoren ihre Firmen-E-Mail-Adresse für die Anmeldung verwenden. Unser aktueller SSO-Mechanismus basiert jedoch auf der Authentifizierung per Telefonnummer und OTP, und der Benutzer muss in unserer App mit seiner E-Mail-Adresse registriert sein, was für diese Benutzer nicht praktikabel ist.
Wir könnten zwar eine benutzerdefinierte Handhabung implementieren, um bestimmte E-Mail-Adressen in unserem SSO auf die Whitelist zu setzen, aber wir suchen nach einer Standardlösung. Wenn es beispielsweise möglich wäre, dass SSO neben der lokalen Anmeldung existiert, könnten wir die lokale Anmeldung für normale Benutzer deaktivieren und gleichzeitig Administratoren und externen Benutzern die Anmeldung mit ihrer E-Mail-Adresse und ihrem Passwort ermöglichen. Leider glaube ich nicht, dass SSO und lokale Anmeldung auf diese Weise koexistieren können.
Das ist richtig. Wenn DiscourseConnect aktiviert ist, können sich Benutzer nur über die DiscourseConnect-Authentifizierungsanbieter-Site anmelden.
Ich hatte die Idee, dass die Route /u/admin-login für alle Mitarbeiter (Admins und Moderatoren) funktioniert, aber wenn ich sie mir jetzt ansehe, sehe ich, dass sie nur Admins erlaubt, DiscourseConnect-Logins zu umgehen. Möglicherweise könnte ein Plugin entwickelt werden, das Mitgliedern einer benutzerdefinierten Gruppe die Anmeldung mit der Admin-Login-Methode ermöglicht, aber es wäre wahrscheinlich besser, einen Weg zu finden, externe Benutzer auf Ihre SSO-Authentifizierungsseite zu bekommen.
Das klingt richtig. Die beste Lösung wäre, dafür zu sorgen, dass Ihr SSO funktioniert. Es ergibt nicht viel Sinn, dass es für Ihr SSO “nicht machbar” ist, für Ihre Mitarbeiter zu funktionieren, aber vielleicht ist das der Grund, warum ich mich selbst unterfordere. (Aber Ihre Mitarbeiter nutzen Ihre App nicht? Wenn sie es täten, sollte es einfach genug sein, ihre E-Mail-Adresse mit der API hinzuzufügen).
Aber Leute, die schlechte Entscheidungen treffen, halten mich im Geschäft! Wenn ich Leute nicht davon überzeuge, bestehende Funktionen zu nutzen, mache ich Discourse am liebsten Dinge, für die es nicht konzipiert ist (wie die Installation von Discourse).
Ich würde mich freuen, ein Plugin zu entwickeln oder Ihnen bei der Entwicklung zu helfen, das die Route /u/admin-login (oder eine andere) für Mitglieder Ihres Teams (dazu gehören automatisch Benutzer mit Ihrer Firmen-E-Mail) zum Laufen bringt und eine Seite erstellt, die sie besuchen und ihre E-Mail eingeben können, um einen Login-Link zu erhalten.
Vielleicht könnte es sogar anonyme Benutzer in Ihrem VPN automatisch auf die Login-Seite umleiten oder etwas anderes tun, um es für Ihre Mitarbeiter nahtloser zu gestalten.
(Aber Ihre Mitarbeiter nutzen Ihre App nicht? Wenn sie es täten, sollte es einfach genug sein, ihre E-Mail-Adresse mit der API hinzuzufügen).