Ho abilitato l’SSO sul sito Discourse della nostra azienda, consentendo agli utenti esterni della nostra app di accedere. Tuttavia, alcuni membri dello staff con indirizzi email aziendali necessitano di accesso come moderatori o amministratori. Poiché questi membri dello staff non sono registrati nell’app, non possiamo creare account SSO per loro.
Esiste una soluzione integrata per gestire il loro accesso separatamente, in modo che possano autenticarsi utilizzando la loro email aziendale, anche con l’SSO abilitato per gli utenti esterni?
Ma per quanto ne so, questo funziona solo per gli amministratori, giusto? Voglio fare il login per staff e moderatori, cioè utenti con privilegi elevati ma non amministratori.
Non ho una soluzione, ma mi sembra di ricordare che questo problema esatto sia emerso alcune volte in passato. È un peccato che tu non possa rendere gli utenti moderatori e dare loro accesso al sito tramite il percorso /u/admin-login.
Nel caso fosse rilevante, cosa stai usando per l’SSO? È DiscourseConnect, OAuth2 o OpenID Connect?
Vogliamo che i nostri amministratori, il personale e i moderatori utilizzino la loro email aziendale per accedere. Tuttavia, il nostro attuale meccanismo SSO si basa sull’autenticazione basata su OTP tramite numero di telefono, e l’utente deve essere registrato sulla nostra app con il proprio ID email, il che non è fattibile per questi utenti.
Sebbene potremmo implementare una gestione personalizzata per mettere in whitelist determinate email nel nostro SSO, stiamo esplorando una soluzione più pronta all’uso. Ad esempio, se fosse possibile far coesistere l’SSO con l’accesso locale, potremmo disabilitare l’accesso locale per gli utenti normali consentendo al contempo ad amministratori e utenti esterni di accedere con la loro email e password. Sfortunatamente, non credo che l’SSO e l’accesso locale possano coesistere in questo modo.
Corretto. Quando DiscourseConnect è abilitato, gli utenti possono accedere solo tramite il sito del provider di autenticazione DiscourseConnect.
Avevo l’idea che il percorso /u/admin-login funzionasse per tutto lo staff (amministratori e moderatori), ma guardandolo ora vedo che consente solo agli amministratori di bypassare gli accessi di DiscourseConnect. Possibilmente un plugin potrebbe essere sviluppato per consentire ai membri di un gruppo personalizzato di accedere con il metodo di accesso admin, ma sarebbe probabilmente meglio trovare un modo per portare gli utenti esterni sul tuo sito di autenticazione SSO.
Sembra giusto. La soluzione migliore sarebbe fare in modo che il tuo SSO funzioni. Non ha molto senso che non sia “fattibile” che il tuo SSO non funzioni per i tuoi dipendenti, ma forse è per questo che lavoro da solo. (Ma i tuoi dipendenti non usano la tua app? Se lo facessero, dovrebbe essere abbastanza facile aggiungere il loro indirizzo email con l’API).
Ma le persone che prendono decisioni sbagliate sono quelle che mi tengono in affari! Quando non sto convincendo le persone a usare le funzionalità esistenti, quello che mi piace davvero fare è far fare a Discourse cose per cui non è stato progettato (come installare Discourse).
Sarei felice di sviluppare, o aiutarti a sviluppare, un plugin che faccia funzionare il percorso /u/admin-login (o un altro) per i membri del tuo team group (che include automaticamente gli utenti con la tua email aziendale), e creare una pagina che possano visitare e inserire la loro email per ottenere un link di accesso.
Forse potrebbe persino reindirizzare automaticamente gli utenti anonimi sulla tua VPN alla pagina di accesso o qualcos’altro per renderlo più agevole per i tuoi dipendenti.
(Ma i tuoi dipendenti non usano la tua app? Se lo facessero, dovrebbe essere abbastanza facile aggiungere il loro indirizzo email con l’API).