Mapping des name claim anstelle des preferred_username claim zum username (Spitzname)

Frank_L · 25. Oktober 2023 um 02:38

Weiß jemand, ob es möglich ist, den name-Claim anstelle des preferred_username-Claims dem Benutzernamen (Spitznamen) zuzuordnen, der bei der Registrierung angezeigt wird und im Pop-up „Konto erstellen“ erscheint?

Hier sind die Informationen, die wir von Keycloak erhalten:

{
 ..
  "scope": "openid email",
  "sid": "f0f20a2a-19e5-4581-8a45-c1250376f226",
  "email_verified": true,
  "name": "Ted Bush",
  "preferred_username": "tb",
  "given_name": "Ted",
  "family_name": "Bush",
  "email": "ted.bush@example.com"
...
}

Standardmäßig wird der preferred_username (in diesem Beispiel „tb“) als Benutzername (Spitzname) verwendet.

Wir möchten die Integration jedoch so konfigurieren, dass stattdessen der name („Ted Bush“) als Benutzername (Spitzname) verwendet wird.

Danke.

Frank_L · 28. Oktober 2023 um 03:50

Ich sehe die Einstellung „Vollständigen Namen eines Benutzers verwenden, wenn Benutzernamen vorgeschlagen werden“ im Abschnitt „Benutzereinstellungen“. Aber sie scheint für OpenID Connect keine Auswirkung zu haben?

Oder funktioniert das bei irgendjemandem?

simon · 28. Oktober 2023 um 07:20

Ja, es funktioniert bei mir, wenn ich es mit dem Google OAuth2-Server als OpenID Connect-Anbieter teste.

Ich glaube, das Problem, auf das Sie stoßen, hängt damit zusammen, wie der Discourse-Benutzernamen-Suggester-Code funktioniert. Keycloak gibt einen preferred_username zurück. Wenn ein preferred_username in den Benutzerinformationen festgelegt ist, die vom Identitätsanbieter zurückgegeben werden, hat dieser Vorrang vor dem Wert der Felder name oder given_name/family_name.

Als Referenz tritt das Problem hier auf (preferred_username wird als Wert von username in einer Methode festgelegt, die davor aufgerufen wird):

github.com/discourse/discourse

lib/auth/result.rb

main


      
            @staged_user = User.where(staged: true).find_by_email(email) if email.present? && email_valid
          end
          
          def username_suggester_attributes
            attributes = [username]
            attributes << name if SiteSetting.use_name_for_username_suggestions

Dann hier:

github.com/discourse/discourse

lib/user_name_suggester.rb

main


      
          def self.suggest(*input, current_username: nil)
            name =
              input.find do |item|
                if !SiteSetting.use_email_for_username_and_name_suggestions
                  next if item.to_s =~ User::EMAIL
                end
                parsed_name = parse_name_from_email(item)
                break parsed_name if sanitize_username(parsed_name).present?
              end
          
            name = fix_username(name)
            find_available_username_based_on(name, current_username)
          end
          
          def self.parse_name_from_email(name_or_email)
            return name_or_email if name_or_email.to_s !~ User::EMAIL
          
            # When 'walter@white.com' take 'walter'
            name = Regexp.last_match[1]
          
            # When 'me@eviltrout.com' take 'eviltrout'

Da der Wert von preferred_username das erste Argument ist, das an den Benutzernamen-Suggester-Code übergeben wird, wird dieser verwendet. Das bedeutet, dass die Einstellung use_name_for_username_suggestions in diesem Fall keine Wirkung hat. Ich glaube, sie war dazu gedacht, den Fall abzufangen, dass kein preferred_username vom Identitätsanbieter zurückgegeben wird.

Ich sehe keinen guten Workaround dafür, es sei denn, Sie können verhindern, dass der preferred_username von Keycloak an Discourse übergeben wird.

Frank_L · 29. Oktober 2023 um 02:08

@simon, Sie haben Recht; ich habe das von Ihnen Erwähnte mit einer Test-Keycloak-Instanz verifiziert. Wenn ich Keycloak so konfiguriere, dass preferred_username nicht an Discourse übergeben wird, werden der Vor- und Nachname tatsächlich vom Discourse-Benutzernamensuggestor verwendet.

Wir können unseren Produktions-Keycloak jedoch nicht auf diese Weise konfigurieren, da die Client-Konfiguration mit mehreren anderen Clients geteilt wird, nicht nur mit Discourse.

Es wäre von Vorteil, wenn es eine Möglichkeit gäbe, dieses Verhalten innerhalb des Plugins zu beeinflussen.

Thema		Antworten	Aufrufe
Restrict username to user first name Support	5	530	2. März 2024
Feature: create default user name from email's user portion when using Google OAuth2/SSO Feature	2	1069	18. Januar 2022
Add configurable option for choosing between JWT and UserInfo Feature openid-connect	0	143	20. Juni 2024
How to configure the OIDC to set the Username as the email account name or a username like value returned from my auth providers? Support openid-connect	3	3801	15. Juni 2023
Bad automatic choosing of username when using SSO (DiscourseConnect) SSO	2	792	18. August 2022

Mapping des name claim anstelle des preferred_username claim zum username (Spitzname)

Verwandte Themen