Mon site (un wiki basé sur MediaWiki) utilise uniquement un nom d’utilisateur et un mot de passe (l’adresse e-mail est facultative pour l’inscription des utilisateurs). J’ai Discourse installé et fonctionnel, et j’ai activé l’authentification unique (SSO) dans les paramètres d’administration. En cliquant sur « se connecter » dans Discourse, je suis redirigé vers la page de connexion de mon site avec un nonce.
Discourse utilise les adresses e-mail pour mapper les utilisateurs externes vers les utilisateurs de Discourse, et suppose que ces adresses e-mail externes sont sécurisées. SI VOUS NE VALIDEZ PAS LES ADRESSES E-MAIL AVANT DE LES ENVOYER À DISCOURSE, VOTRE SITE SERA EXTRÊMEMENT VULNÉRABLE !
J’ai quelques questions concernant le SSO :
Pour clarifier : une fois le SSO fonctionnel, tous les utilisateurs enregistrés sur mon site pourront accéder à Discourse « connectés » sans avoir besoin de s’inscrire préalablement sur Discourse, n’est-ce pas ?
Je souhaite désactiver toutes les fonctionnalités liées aux e-mails dans Discourse (puisque nous n’exigeons pas d’e-mail sur notre site). Donc, aucun e-mail envoyé par Discourse, ni adressé à Discourse (pour les réponses, etc.).
Si je génère un e-mail fictif dans le code SSO de mon site (quelque chose comme unique_id@domain.xyz) pour chaque utilisateur et que je l’envoie dans la charge utile, cela sera-t-il acceptable ?
Comment procéder pour que le SSO fonctionne dans mon cas ? Avez-vous d’autres suggestions ou conseils ?
Non. Des adresses e-mail valides sont requises pour que Discourse fonctionne à son niveau le plus fondamental. Si vous avez besoin d’une prise en charge sans e-mail, vous voudrez peut-être choisir un autre logiciel libre et open source.
J’ai réussi à configurer l’authentification unique (SSO) et j’ai désactivé les inscriptions et connexions locales sur Discourse. Ainsi, lorsque les utilisateurs cliquent sur « Se connecter » sur le forum, ils sont redirigés vers la page de connexion de mon site. Après validation, ils sont renvoyés vers le forum (avec la charge utile incluant une adresse e-mail factice mais unique).
J’ai également désactivé tous les e-mails provenant de Discourse via les paramètres d’administration (Discourse n’enverra donc AUCUN e-mail).
Je n’ai pas activé l’option require_activation.
Si tous les e-mails provenant de Discourse sont désactivés et que j’utilise le SSO, les adresses e-mail factices posent-elles toujours problème ? Pourriez-vous m’expliquer pourquoi les adresses e-mail valides sont essentielles et ce qui se passe avec des adresses e-mail factices uniques ?
Si le SSO fonctionne, cela pourrait aller… Je pense qu’il faut attribuer à ces fausses adresses e-mail un domaine spécifique pour empêcher toute tentative d’envoi de courriels, mais je ne me souviens plus des détails. Tu te souviens, @gerhard ?
La configuration appropriée du paramètre de site disable_emailsdevrait suffire, mais il est préférable d’utiliser l’extension de domaine .invalid au cas où vous activeriez les emails sortants ultérieurement. Par exemple, quelque chose comme unique_id@something.invalid.
Discourse utilise les adresses e-mail pour mapper les utilisateurs externes vers les utilisateurs de Discourse, et suppose que ces adresses e-mail externes sont sécurisées. SI VOUS NE VALIDEZ PAS LES ADRESSES E-MAIL AVANT DE LES ENVOYER À DISCOURSE, VOTRE SITE SERA EXTRÊMEMENT VULNÉRABLE !