私のウェブサイト(MediaWiki ベースのウィキ)では、ユーザー名とパスワードのみを使用しています(ユーザー登録時にメールはオプションです)。Discourse は既に動作しており、管理者設定で SSO を有効にしています。Discourse のログインボタンをクリックすると、nonce を含む私のサイトのログインページにリダイレクトされます。
公式の Discourse SSS 手順を確認していますが、そこには以下のように書かれています:
Discourse は、外部ユーザーを Discourse ユーザーにマッピングするためにメールを使用し、外部メールは安全であると仮定しています。 Discourse に送信する前にメールアドレスを検証しない場合、あなたのサイトは極めて脆弱になります!
SSO に関していくつか質問があります:
- 確認ですが、SSO が動作するようになれば、私のサイトに登録されているすべてのユーザーが、Discourse で事前に登録する必要なく「ログイン済み」状態でアクセスできるのでしょうか?
- 私のウェブサイトではメールの強制を行っていないため、Discourse からのメール送信や、Discourse へのメール受信(返信など)を含むすべてのメール関連機能を無効にしたいと考えています。
- 私のウェブサイトの SSO コード内で、各ユーザーに対してダミーのメールアドレス(例:unique_id@domain.xyz のような形式)を作成し、それをペイロードに含めて送信することは問題ないでしょうか?
- 私のケースで SSO を動作させるにはどうすればよいでしょうか?他にアドバイスやヒントはありますか?
よろしくお願いします!
「いいね!」 2
いいえ。Discourse が最も基本的なレベルで機能するには、有効なメールアドレスが必要です。メール不要のサポートが必要な場合は、他のフリーのオープンソースソフトウェアを選ぶことを検討してください。
「いいね!」 1
レスポンスありがとうございます、ジェフさん。
私はこのスレッド(メールアドレスの未検証による影響)と、そこでのあなたのコメントを確認しました。私の状況も非常に似ていると考えています。
- SSOを機能させ、Discourse上のローカル登録/ログインを無効化しました。そのため、フォーラムの「ログイン」をクリックすると、私のサイトのログインページにリダイレクトされ、検証後に(ダミーだが一意のメールアドレスを含む)ペイロードと共にフォーラムへ戻されます。
- Discourseの管理者設定からすべてのメール送信を無効化しました(つまり、Discourseからは一切メールが送信されません)。
require_activationをtrueに設定していません。
Discourseからのメールがすべて無効化され、SSOを使用している場合でも、ダミーのメールアドレスは問題になりますか?また、なぜ有効なメールアドレスが不可欠なのか、そして一意のダミーメールアドレスでは何が問題になるのかをご説明いただけますか?
ありがとうございます!
「いいね!」 2
SSO が機能しているなら問題ないかもしれませんが、メール送信の試みを防ぐために、これらの偽のメールアドレスを特定のドメインアドレスにする必要があると思います。ただし、詳細は覚えていません。@gerhard さんは覚えていますか?
「いいね!」 1
gerhard
(Gerhard Schlager)
5
disable_emails サイト設定を適切に設定すれば十分であるはずですが、後で送信メールを有効にする可能性に備え、.invalid ドメイン拡張子を使用することをお勧めします。例えば unique_id@something.invalid のような形式です。
「いいね!」 1