Meu site (uma wiki baseada no MediaWiki) usa apenas nome de usuário e senha (o e-mail é opcional para os usuários se registrarem). Tenho o Discourse configurado e funcionando, com SSO ativado nas configurações de administração. Ao clicar em “entrar” no Discourse, sou redirecionado para a página de login do meu site com um nonce.
O Discourse usa e-mails para mapear usuários externos para usuários do Discourse e assume que os e-mails externos são seguros. SE VOCÊ NÃO VALIDAR OS ENDEREÇOS DE E-MAIL ANTES DE ENVIÁ-LOS AO DISCOURSE, SEU SITE FICARÁ EXTREMAMENTE VULNERÁVEL!
Tenho algumas perguntas sobre o SSO:
Só para esclarecer: uma vez que o SSO estiver funcionando, todos os usuários registrados no meu site poderão acessar o Discourse “logados” sem precisar se registrar primeiro no Discourse, certo?
Quero desativar todos os recursos relacionados a e-mail no Discourse (já que não exigimos e-mail no nosso site). Ou seja, nenhum e-mail enviado pelo Discourse ou recebido pelo Discourse (para respostas, etc.).
Se eu criar um e-mail fictício no código de SSO do meu site (algo como unique_id@domain.xyz) para cada usuário e enviar isso no payload, isso será suficiente?
Como faço para configurar o SSO para funcionar no meu caso? Alguma outra sugestão ou dica?
Não. E-mails válidos são necessários para que o Discourse funcione em seu nível mais fundamental. Se você precisa de suporte sem e-mail, talvez queira escolher outro software livre e de código aberto.
Configurei o SSO para funcionar e desativei as inscrições/logins locais no Discourse. Portanto, ao clicar em ‘entrar’ nos fóruns, os usuários são redirecionados para a página de login do meu site e, após a validação, são redirecionados de volta aos fóruns (com o payload — incluindo um e-mail fictício, mas único).
Também desativei todos os e-mails nas configurações de administração do Discourse (assim, o Discourse não enviará NENHUM e-mail).
Não configurei require_activation como verdadeiro.
Se todos os e-mails do Discourse estiverem desativados e eu estiver usando SSO, e-mails fictícios ainda serão um problema? E você poderia explicar por que e-mails válidos são essenciais e o que acontece de errado com e-mails fictícios únicos?
Se o SSO estiver funcionando, isso pode estar tudo bem… Acho que você precisa transformar esses endereços de e-mail falsos em um domínio específico para evitar qualquer tentativa de envio de e-mail, mas não me lembro dos detalhes. Você se lembra, @gerhard?
Configurar adequadamente a configuração do site disable_emailsdeveria ser suficiente, mas é uma boa ideia usar a extensão de domínio .invalid caso você habilite o envio de e-mails em um momento posterior. Algo como unique_id@something.invalid, por exemplo.
O Discourse usa e-mails para mapear usuários externos para usuários do Discourse e assume que os e-mails externos são seguros. SE VOCÊ NÃO VALIDAR OS ENDEREÇOS DE E-MAIL ANTES DE ENVIÁ-LOS AO DISCOURSE, SEU SITE FICARÁ EXTREMAMENTE VULNERÁVEL!