Serve aiuto per configurare SSO senza email

Supporto SSO
1

Il mio sito (una wiki basata su MediaWiki) utilizza solo un nome utente e una password (l’email è opzionale per la registrazione degli utenti). Ho già configurato Discourse e attivato l’SSO nelle impostazioni di amministrazione. Cliccando su “Accedi” su Discourse, vengo reindirizzato alla pagina di accesso del mio sito con un nonce.

Sto seguendo le istruzioni ufficiali per l’SSO di Discourse, dove si legge:

:warning: Discourse utilizza gli indirizzi email per mappare gli utenti esterni agli utenti di Discourse e presume che gli indirizzi email esterni siano sicuri. SE NON VALIDI GLI INDIRIZZI EMAIL PRIMA DI INVIARLI A DISCOURSE, IL TUO SITO SARÀ ESTREMAMENTE VULNERABILE!

Ho alcune domande riguardo all’SSO:

  1. Per chiarire: una volta che l’SSO funziona, tutti gli utenti registrati sul mio sito potranno accedere a Discourse “loggati” senza dover prima registrarsi su Discourse, giusto?
  2. Voglio disabilitare tutte le funzionalità relative alle email su Discourse (poiché sul nostro sito non è obbligatoria l’email). Quindi, niente email da Discourse né verso Discourse (per risposte, ecc.).
  3. Se creo un’email fittizia nel codice SSO del mio sito (qualcosa come unique_id@domain.xyz) per ogni utente e la invio nel payload, va bene?
  4. Come posso far funzionare l’SSO nel mio caso? Avete altri suggerimenti o consigli?

Grazie!

2

No. Gli indirizzi email validi sono necessari affinché Discourse funzioni al suo livello più fondamentale. Se hai bisogno di un supporto senza email, potresti voler scegliere un diverso software libero e open source.

3

Grazie per la risposta, Jeff.

Stavo esaminando questa discussione (conseguenze della mancata convalida delle e-mail) e i tuoi commenti al suo interno; e credo che la mia situazione sia abbastanza simile:

  1. Ho configurato l’SSO e ho disabilitato le registrazioni/locali e l’accesso diretto su Discourse. Di conseguenza, cliccando su “Accedi” nei forum, gli utenti vengono reindirizzati alla pagina di login del mio sito e, dopo la convalida, tornano ai forum (con il payload, inclusa un’ID e-mail fittizia ma unica).
  2. Ho anche disabilitato tutte le e-mail dalle impostazioni di amministrazione di Discourse (quindi Discourse non invierà NESSUNA e-mail).
  3. Non ho impostato require_activation su true.

Se tutte le e-mail da Discourse sono disabilitate e sto utilizzando l’SSO, le e-mail fittizie saranno ancora un problema? Puoi spiegare perché le e-mail valide sono essenziali e cosa va storto con le e-mail fittizie uniche?

Grazie!

4

Se l’SSO funziona, potrebbe andare bene… Credo che tu debba impostare questi indirizzi email finti su un dominio specifico per evitare qualsiasi tentativo di invio di email, ma non ricordo i dettagli. Te li ricordi, @gerhard?

5

Configurare correttamente l’impostazione del sito disable_emails dovrebbe essere sufficiente, ma è buona norma utilizzare l’estensione di dominio .invalid nel caso in cui si attivino le email in uscita in un secondo momento. Ad esempio, qualcosa come unique_id@something.invalid.