Управление членством в группе через аутентификацию

angus · 08.Ноябрь.2021 06:10:27

Обратите внимание, что я подготовил обновлённый черновик PR с новым подходом (включая изменения, запрошенные @david в моей предыдущей попытке). Как указано в комментариях к PR, я планирую завершить его на этой неделе.

github.com/discourse/discourse

Group membership via google hd authentication (#14835)

main ← angusmcleod:group_membership_via_authentication

merged 12:30PM - 09 Dec 21 UTC

angusmcleod

+926 -16

Update on #12446. @davidtaylorhq A draft for an update on the associated grou…p membership work. It's been rebased, brought in line with the latest changes and updated in the ways explained below. Let me know if you're onboard with the approach so far. I'll finish it off next weekend. ### Authentication and group retrieval I've removed the secondary auth stuff, added a google-hd-specific boolean setting, and moved the group retrieval into a new google oauth2 omniauth strategy. I've made a new folder and added a spec for the strategy (something new in the codebase) as I thought it deserved a spec (which is also included). If we add in secondary auth to this strategy that too will need a spec. Some of the existing discourse omniauth strategies, e.g. Discord, may benefit from being seperated out and tested too. ### Group Provision and UI As suggested, I've added a ``provides_groups?`` to the ``Auth::Authenticator``. Using this approach led to a new groups guardian method to use at the various group CRUD points. Speaking of which, I've added in support for group_associated_group creation in group creation (i.e. ``/g/custom/new``). Supporting it in both ``new`` and ``manage`` (update) also led to adding a new site attribute ``can_associate_groups``. I attempted to make this more group-route specific, however this leads to various clumsy workarounds to determine whether an admin can associate groups in ``/g/custom/new``. The site attribute approach proved the simplest and most performant (i.e. fewer ajax calls). ### Data model I've made one change to the data model so far, namely to use ``after_commit`` hooks rather than ``after_create``/``after_destroy`` as using those hooks leads to duplicate record creation in ``Admin::GroupsController`` ``create``. I've yet to deal with the edge case you pointed out, i.e. multiple UserAssociatedGroups which link to the same group.

mattdm · 08.Ноябрь.2021 14:57:22

Чтобы я не радовался напрасно — здесь написано «google»… будет ли это работать и с non-google oauth2 sso?

angus · 08.Ноябрь.2021 15:01:15

Это универсальная система, но первым поддерживаемым сценарием использования будут группы в Google Workspace. После внедрения системы добавление поддержки дополнительных провайдеров не составит большого труда.

angus · 22.Ноябрь.2021 06:06:29

Обратите внимание, что этот PR был переведён из черновика в опубликованный в течение недели (т.е. он снова готов к проверке).

github.com/discourse/discourse

Group membership via google hd authentication (#14835)

main ← angusmcleod:group_membership_via_authentication

merged 12:30PM - 09 Dec 21 UTC

angusmcleod

+926 -16

Update on #12446. @davidtaylorhq A draft for an update on the associated grou…p membership work. It's been rebased, brought in line with the latest changes and updated in the ways explained below. Let me know if you're onboard with the approach so far. I'll finish it off next weekend. ### Authentication and group retrieval I've removed the secondary auth stuff, added a google-hd-specific boolean setting, and moved the group retrieval into a new google oauth2 omniauth strategy. I've made a new folder and added a spec for the strategy (something new in the codebase) as I thought it deserved a spec (which is also included). If we add in secondary auth to this strategy that too will need a spec. Some of the existing discourse omniauth strategies, e.g. Discord, may benefit from being seperated out and tested too. ### Group Provision and UI As suggested, I've added a ``provides_groups?`` to the ``Auth::Authenticator``. Using this approach led to a new groups guardian method to use at the various group CRUD points. Speaking of which, I've added in support for group_associated_group creation in group creation (i.e. ``/g/custom/new``). Supporting it in both ``new`` and ``manage`` (update) also led to adding a new site attribute ``can_associate_groups``. I attempted to make this more group-route specific, however this leads to various clumsy workarounds to determine whether an admin can associate groups in ``/g/custom/new``. The site attribute approach proved the simplest and most performant (i.e. fewer ajax calls). ### Data model I've made one change to the data model so far, namely to use ``after_commit`` hooks rather than ``after_create``/``after_destroy`` as using those hooks leads to duplicate record creation in ``Admin::GroupsController`` ``create``. I've yet to deal with the edge case you pointed out, i.e. multiple UserAssociatedGroups which link to the same group.

david · 09.Декабрь.2021 12:32:39

Я только что объединил этот PR — огромное спасибо за всю вашу работу здесь, @angus! С нетерпением жду, как это будет использоваться и развиваться в будущем!

Пока я пометил настройку сайта как «Экспериментальная», чтобы у нас было время протестировать её и убедиться, что всё работает гладко. Как только мы будем уверены в результате и добавим поддержку ещё нескольких провайдеров аутентификации, я обязательно создам тему #feature:announcements для этой функции.

angus · 09.Декабрь.2021 13:44:15

Отлично!

Спасибо тебе, Дэвид. Без твоей поддержки этого бы не случилось. С радостью помогу с добавлением дополнительных провайдеров.

mattdm · 09.Декабрь.2021 14:18:05

ДА! Спасибо всем. Мы планируем широко использовать это в Fedora, как только оно заработает с OAuth2.

jimkleiber · 10.Март.2022 23:57:43

Я тоже с нетерпением жду, когда это станет доступно для входа через OAuth2/OpenID, не связанный с Google. Есть ли какие-либо новости о том, появится ли эта опция и когда?

david · 11.Март.2022 11:49:07

У нас нет конкретного графика, но мы, безусловно, приветствуем #pr, если кто-то захочет отправить патч.

agungor · 19.Май.2022 15:11:12

Мы тоже с нетерпением этого ждем! Наш вариант использования — получение членства в группах из Keycloak при аутентификации.

irregular · 11.Август.2024 22:25:52

В настоящее время я самостоятельно размещаю Discourse и использую Authentik в качестве провайдера идентификации для аутентификации. Моя цель — автоматически синхронизировать группы пользователей из Authentik с определёнными группами в Discourse при входе в систему.

Однако я хочу убедиться, что локальные пользователи, зарегистрировавшиеся через процесс локальной регистрации в Discourse, не получают эти специфические группы и вместо этого проходят обычный процесс повышения уровня доверия.

bsoares · 10.Сентябрь.2025 16:42:45

Привет!

Мы перенесли нашу систему аутентификации с Atlassian Crowd (которая больше не поддерживается в Discourse) на OpenID Connect (через Keycloak) и хотели бы использовать код сопоставления групп Crowd, который мы внесли несколько лет назад в плагин discourse-openid-connect.

У нас есть рабочая версия кода, позволяющая настроить сопоставление групп OpenID Connect с группами Discourse, и мы создали для неё pull request: FEATURE: Openid connect group maps by benzoid · Pull Request #34763 · discourse/discourse · GitHub.

Надеемся, что это предложение будет рассмотрено для слияния. Мы также готовы дополнить документацию или написать тесты (если вы сможете направить меня к руководству по тестированию — я пока не являюсь опытным программистом на Ruby!).

Бен

david · 29.Апрель.2026 11:00:52

Для справки: синхронизация групп теперь доступна для OIDC. Дополнительную информацию см. в теме плагина и в последнем журнале изменений.

Discourse:

Синхронизация групп

Плагин может автоматически синхронизировать членство в группах с вашего провайдера OpenID Connect с группами Discourse. При каждом входе плагин считывает настроенное утверждение из токена OIDC и обновляет членство пользователя в группах соответствующим образом. Чтобы включить синхронизацию групп:

Настройте вашего провайдера идентификации так, чтобы он возвращал массив групп в одном из утверждений. Это должен быть массив строк.

Установите openid_connect_groups_claim в имя утверждения в токене OIDC, которое содержит группы пользователя (например, cognito:groups). После установки эта настройка начнет синхронизировать информацию с системой «Связанные группы» в Discourse.

Найдите группу Discourse, которую вы хотите связать. Перейдите в «Настройки» → «Членство» → «Автоматически», а затем выберите «Связанные группы» для связи. Этот раскрывающийся список заполняется информацией от провайдера идентификации, поэтому хотя бы один участник группы должен войти в систему, чтобы появилась опция.

image2198×1340 242 KB

Тема		Ответов	Просм.
Memberpress: how to add users to groups upon Sign up WordPress	40	9499	08.06.2024
Manage group membership in Discourse with WP Discourse SSO Administrators wordpress , groups , payments , how-to	77	17556	07.05.2023
Allow moderators to add a member to a group? Feature	49	11231	28.12.2017
Groups API - manually syncing group membership? Development rest-api	8	1743	13.12.2022
Improved Group Members Management Feature rfc , spec	31	11333	07.01.2016

Управление членством в группе через аутентификацию

Связанные темы