会社の Discourse サイトで SSO を有効にし、アプリの外部ユーザーがログインできるようにしました。しかし、会社のメールアドレスを持つ一部のスタッフメンバーがモデレーターまたは管理者としてアクセスする必要があります。これらのスタッフメンバーはアプリに登録されていないため、SSO アカウントを作成できません。
SSO が外部ユーザー向けに有効になっている場合でも、これらのスタッフメンバーが会社のアドレスを使用して認証できるように、ログインを個別に処理するための組み込みソリューションはありますか?
\u003chttps://forum.example.com/u/admin-login\u003e にアクセスしてください
@RGJ 早速のご返信ありがとうございます。
しかし、私の知る限り、これは管理者のみに有効ですよね?スタッフやモデレーター、つまりパワーユーザーでありながら管理者ではないユーザーのログインを行いたいのです。
管理者以外の方には、残念ながらそれは機能しません。
SSOで一般ユーザーとしてログインさせ、その後管理者権限を付与することはできないのでしょうか?
それが唯一の問題で、SSOでは存在できません。
おっしゃっていることが正しいとすれば、SSOは使用できないということですね。最初のSは「シングル」を意味します。複数のOAuth2ログインを使用する必要があると思います。
なぜ管理者の方が貴社の認証システムを使用できないのですか?
解決策はありませんが、過去にこの問題が数回発生したことを記憶しているようです。ユーザーをモデレーターにして、/u/admin-login ルート経由でサイトへのアクセスを許可できないのは残念です。
関連性がある場合、SSO には何を使用していますか? DiscourseConnect、OAuth2、それとも OpenID Connect ですか?
Simonさん、DiscourseConnectをSSOで使用しています。
管理ユーザー、スタッフ、モデレーターには会社のメールアドレスでログインしてもらいたいと考えています。しかし、現在のSSOメカニズムは電話番号OTPベースの認証に依存しており、ユーザーはメールアドレスでアプリに登録されている必要がありますが、これはこれらのユーザーには現実的ではありません。
SSOで特定のメールアドレスをホワイトリストに登録するためのカスタム処理を実装することもできますが、より既製のソリューションを検討しています。例えば、SSOとローカルログインが共存できれば、一般ユーザーのローカルログインを無効にし、管理者や外部ユーザーはメールアドレスとパスワードでログインできるようにすることができます。残念ながら、SSOとローカルログインがこのように共存できるとは思えません。
その通りです。DiscourseConnectが有効になっている場合、ユーザーはDiscourseConnect認証プロバイダーサイト経由でのみログインできます。
/u/admin-loginルートはすべてのスタッフ(管理者とモデレーター)に機能すると思いましたが、現在確認したところ、管理者のみがDiscourseConnectログインをバイパスできることがわかりました。カスタムグループのメンバーがadmin-loginメソッドでログインできるようにするプラグインを開発することは可能かもしれませんが、外部ユーザーをSSO認証サイトに誘導する方法を見つける方がおそらく良いでしょう。
それが正しいようです。最善の解決策は、SSOが機能するようにすることです。SSOが従業員に対して「実現不可能」であるというのはあまり意味がありませんが、おそらくそれが私が自分自身を低く評価している理由でしょう。
(しかし、従業員はあなたのアプリを使用しないのですか?もし使用しているのであれば、APIでメールアドレスを追加するのは十分に簡単なはずです)。
しかし、悪い決断をする人々が私をビジネスに留めてくれています!既存の機能の使用を人々に説得していないとき、私が本当に好きなのは、Discourseに設計されていないことをさせることです(Discourseをインストールするなど)。
あなたのチームグループのメンバー(あなたの会社のメールを持つユーザーが自動的に含まれます)のために /u/admin-login ルート(または別のルート)を機能させ、彼らが訪問してメールを入力するとログインリンクを取得できるページを作成するプラグインを開発すること、または開発を手伝うことを嬉しく思います。
VPN上の匿名ユーザーを自動的にログインページにリダイレクトしたり、従業員にとってよりシームレスにするために何か他のことをしたりすることもできるかもしれません。