Associer la claim 'name' plutôt que la claim 'preferred_username' au nom d'utilisateur (surnom)

Frank_L · Octobre 25, 2023, 2:38

Quelqu’un sait-il s’il est possible de mapper la revendication name plutôt que la revendication preferred_username au nom d’utilisateur (surnom) affiché lors de l’inscription et dans la fenêtre contextuelle « Créer un compte » ?

Voici les informations que nous recevons de Keycloak :

{
 ..
  "scope": "openid email",
  "sid": "f0f20a2a-19e5-4581-8a45-c1250376f226",
  "email_verified": true,
  "name": "Ted Bush",
  "preferred_username": "tb",
  "given_name": "Ted",
  "family_name": "Bush",
  "email": "ted.bush@example.com"
...
}

Par défaut, le preferred_username (dans cet exemple, « tb ») est utilisé comme nom d’utilisateur (surnom).

Cependant, nous aimerions configurer l’intégration de telle sorte que le name (« Ted Bush ») soit utilisé comme nom d’utilisateur (surnom) à la place.

Merci.

Frank_L · Octobre 28, 2023, 3:50

Je vois le paramètre « Utiliser le nom complet d’un utilisateur lors de la suggestion de noms d’utilisateur » dans la section des paramètres des utilisateurs. Mais il semble n’avoir aucun effet pour OpenID Connect ?

Ou cela fonctionne-t-il pour quelqu’un ?

simon · Octobre 28, 2023, 7:20

Oui, cela fonctionne pour moi lorsque je le teste avec le serveur Google OAuth2 comme fournisseur OpenID Connect.

Je pense que le problème que vous rencontrez est lié au fonctionnement du code suggérant les noms d’utilisateur de Discourse. Keycloak renvoie un preferred_username. Si un preferred_username est défini dans les informations utilisateur (userinfo) renvoyées par le fournisseur d’identité, il a la priorité sur la valeur des champs name ou given_name/family_name.

À titre de référence, le problème se produit ici (preferred_username est défini comme la valeur de username dans une méthode qui est appelée avant cela) :

github.com/discourse/discourse

lib/auth/result.rb

main


      
            @staged_user = User.where(staged: true).find_by_email(email) if email.present? && email_valid
          end
          
          def username_suggester_attributes
            attributes = [username]
            attributes << name if SiteSetting.use_name_for_username_suggestions

Puis ici :

github.com/discourse/discourse

lib/user_name_suggester.rb

main


      
          def self.suggest(*input, current_username: nil)
            name =
              input.find do |item|
                if !SiteSetting.use_email_for_username_and_name_suggestions
                  next if item.to_s =~ User::EMAIL
                end
                parsed_name = parse_name_from_email(item)
                break parsed_name if sanitize_username(parsed_name).present?
              end
          
            name = fix_username(name)
            find_available_username_based_on(name, current_username)
          end
          
          def self.parse_name_from_email(name_or_email)
            return name_or_email if name_or_email.to_s !~ User::EMAIL
          
            # When 'walter@white.com' take 'walter'
            name = Regexp.last_match[1]
          
            # When 'me@eviltrout.com' take 'eviltrout'

Étant donné que la valeur de preferred_username est le premier argument passé au code suggérant les noms d’utilisateur, elle sera utilisée. Cela signifie que le paramètre use_name_for_username_suggestions n’a aucun effet dans ce cas. Je pense qu’il était destiné à gérer le cas où aucun preferred_username n’est renvoyé par le fournisseur d’identité.

Je ne vois pas de bonne solution de contournement, à moins que vous ne puissiez empêcher le preferred_username d’être transmis à Discourse depuis Keycloak.

Frank_L · Octobre 29, 2023, 2:08

@simon, vous avez raison ; j’ai vérifié ce que vous avez mentionné en utilisant une instance de test de Keycloak. Lorsque je configure Keycloak pour omettre preferred_username lors du passage à Discourse, les prénoms et noms de famille sont effectivement utilisés par le suggéreur de noms d’utilisateur de Discourse.

Cependant, nous ne pouvons pas configurer notre Keycloak de production de cette manière, car la configuration du client est partagée avec plusieurs autres clients, pas seulement Discourse.

Il serait bénéfique d’avoir un moyen d’influencer ce comportement au sein du plugin.

Sujet		Réponses	Vues
Restrict username to user first name Support	5	530	Mars 2, 2024
Feature: create default user name from email's user portion when using Google OAuth2/SSO Feature	2	1069	Janvier 18, 2022
Add configurable option for choosing between JWT and UserInfo Feature openid-connect	0	143	Juin 20, 2024
How to configure the OIDC to set the Username as the email account name or a username like value returned from my auth providers? Support openid-connect	3	3803	Juin 15, 2023
Bad automatic choosing of username when using SSO (DiscourseConnect) SSO	2	792	Août 18, 2022

Associer la claim 'name' plutôt que la claim 'preferred_username' au nom d'utilisateur (surnom)

Sujets connexes