He habilitado el SSO en el sitio Discourse de nuestra empresa, permitiendo que usuarios externos de nuestra aplicación inicien sesión. Sin embargo, algunos miembros del personal con direcciones de correo electrónico de la empresa necesitan acceso como moderadores o administradores. Dado que estos miembros del personal no están registrados en la aplicación, no podemos crearles cuentas SSO.
¿Existe una solución integrada para gestionar su inicio de sesión por separado, de modo que puedan autenticarse utilizando su correo electrónico de la empresa, incluso con el SSO habilitado para usuarios externos?
Pero, hasta donde sé, esto solo funciona para administradores, ¿verdad? Quiero iniciar sesión para personal y moderadores, es decir, usuarios avanzados pero no administradores.
Si entiendo lo que dices, entonces no puedes usar sso. La primera S es de single (único). Creo que necesitarás usar múltiples inicios de sesión OAuth2.
¿Por qué tus administradores no pueden usar tu sistema de autenticación?
No tengo una solución, pero recuerdo que este mismo problema surgió un par de veces en el pasado. Es una lástima que no puedas convertir a los usuarios en moderadores y darles acceso al sitio a través de la ruta /u/admin-login.
En caso de que sea relevante, ¿qué estás usando para el SSO? ¿Es DiscourseConnect, OAuth2 u OpenID Connect?
Queremos que nuestros administradores, personal y moderadores utilicen su correo electrónico de empresa para iniciar sesión. Sin embargo, nuestro mecanismo SSO actual se basa en la autenticación basada en OTP por número de teléfono, y el usuario debe estar registrado en nuestra aplicación con su ID de correo electrónico, lo que no es factible para estos usuarios.
Si bien podríamos implementar un manejo personalizado para poner en lista blanca ciertos correos electrónicos en nuestro SSO, estamos explorando una solución más lista para usar. Por ejemplo, si fuera posible que el SSO coexistiera con el inicio de sesión local, podríamos deshabilitar el inicio de sesión local para usuarios habituales mientras permitimos que los administradores y usuarios externos inicien sesión con su correo electrónico y contraseña. Desafortunadamente, no creo que el SSO y el inicio de sesión local puedan coexistir de esta manera.
Eso es correcto. Cuando DiscourseConnect está habilitado, los usuarios solo pueden iniciar sesión a través del sitio proveedor de autenticación de DiscourseConnect.
Tenía la idea de que la ruta /u/admin-login funcionaba para todo el personal (administradores y moderadores), pero al mirarla ahora veo que solo permite a los administradores omitir los inicios de sesión de DiscourseConnect. Posiblemente se podría desarrollar un plugin que permitiera a los miembros de un grupo personalizado iniciar sesión con el método de inicio de sesión de administrador, pero probablemente sería mejor encontrar una manera de incorporar a los usuarios externos a su sitio de autenticación SSO.
Eso suena bien. La mejor solución sería hacer que tu SSO funcione. No tiene mucho sentido que “no sea factible” que tu SSO no funcione para tus empleados, pero tal vez por eso trabajo por mi cuenta. (¿Pero tus empleados no usan tu aplicación? Si lo hicieran, debería ser lo suficientemente fácil agregar su dirección de correo electrónico con la API).
¡Pero las personas que toman malas decisiones son las que me mantienen en el negocio! Cuando no estoy convenciendo a la gente para que use las funciones existentes, lo que realmente me gusta hacer es que Discourse haga cosas para las que no está diseñado (como instalar Discourse).
Estaría feliz de desarrollar, o ayudarte a desarrollar, un plugin que hiciera que la ruta /u/admin-login (u otra) funcionara para los miembros de tu grupo de equipo (que incluye automáticamente a los usuarios con tu correo electrónico de empresa), y hacer una página que pudieran visitar e ingresar su correo electrónico para obtener un enlace de inicio de sesión.
Tal vez incluso podría redirigir automáticamente a los usuarios anónimos en tu VPN a la página de inicio de sesión o algo más para que sea más fácil para tus empleados.
(¿Pero tus empleados no usan tu aplicación? Si lo hicieran, debería ser lo suficientemente fácil agregar su dirección de correo electrónico con la API).