DiscourseConnect einrichten – Offizielles Single-Sign-On für Discourse (sso)

Dokumentation Integrationen
, , ,
1

DiscourseConnect ist eine Kernfunktion von Discourse, mit der Sie „Single Sign-On (SSO)“ konfigurieren können, um die gesamte Benutzerregistrierung und -anmeldung von Discourse vollständig auf eine andere Site auszulagern. Verfügbar für unsere Pro-, Business- und Enterprise-Hosting-Kunden.

:information_source: (Februar 2021) „Discourse SSO“ heißt jetzt „DiscourseConnect“. Wenn Sie eine alte Version von Discourse verwenden, heißen die Einstellungen unten sso_... statt discourse_connect_....

Das Problem

Viele Sites, die sich mit einer Discourse-Site integrieren möchten, wollen die gesamte Benutzerregistrierung auf einer separaten Site halten. In einem solchen Setup sollten alle Anmeldevorgänge auf diese andere Site ausgelagert werden.

Was ist, wenn ich SSO in Verbindung mit einer bestehenden Authentifizierung nutzen möchte?

Die Absicht hinter DiscourseConnect ist es, die Discourse-Authentifizierung zu ersetzen. Wenn Sie einen neuen Anbieter hinzufügen möchten, sehen Sie sich bestehende Plugins an, wie zum Beispiel: Discourse VK Authentication (vkontakte)

Aktivierung von DiscourseConnect

Um DiscourseConnect zu aktivieren, müssen Sie drei Einstellungen ausfüllen:

Screenshot 2021-02-11 at 12.40.34
Screenshot 2021-02-11 at 12.40.341632×474 119 KB

enable_discourse_connect: Muss aktiviert sein (globaler Schalter).
discourse_connect_url: Die externe URL, zu der Benutzer weitergeleitet werden, wenn sie sich anmelden möchten.
discourse_connect_secret: Ein geheimer String, der zum Hashen von SSO-Payloads verwendet wird. Stellt sicher, dass die Payloads authentisch sind.

Sobald enable_discourse_connect auf true gesetzt ist:

  • Das Klicken auf „Anmelden“ oder das Avatar-Bild leitet Sie auf /session/sso um, was wiederum die Benutzer mit einer signierten Payload auf discourse_connect_url weiterleitet.
  • Benutzern wird nicht erlaubt, ihr „Passwort zu ändern“. Dieses Feld wird aus dem Benutzerprofil entfernt.
  • Benutzer können die Discourse-Authentifizierung (Benutzername/Passwort, Google usw.) nicht mehr verwenden.

Was ist, wenn ich es versehentlich aktiviere?

Siehe: Log back in as admin after locking yourself out with read-only mode or an invalid SSO configuration

Implementierung von DiscourseConnect auf Ihrer Site

:warning: Discourse verwendet E-Mail-Adressen, um externe Benutzer Discourse-Benutzern zuzuordnen, und geht davon aus, dass externe E-Mails sicher sind. WENN SIE E-MAIL-ADRESSEN NICHT VOR DEM SENDEN AN DISCOURSE VALIDIEREN, IST IHRE SITE EXTREM ANFÄLLIG!

Alternativ, wenn Sie darauf bestehen, nicht validierte E-Mails zu senden, STELLEN SIE SICHER, dass Sie require_activation=true setzen. Dies erzwingt, dass alle E-Mails von Discourse validiert werden. WIR RATEN IMMER NOCH DRINGEND DAVON AB, DIESES VORZUGEN. Wenn Sie also mit dieser Einstellung fortfahren, gehen Sie ein erhebliches Risiko ein.

Discourse leitet Clients mit einer signierten Payload auf discourse_connect_url um (angenommen, discourse_connect_url ist https://somesite.com/sso):

Sie erhalten eingehenden Verkehr mit folgendem Format:

https://somesite.com/sso?sso=PAYLOAD&sig=SIG

Die Payload ist ein Base64-kodierter String, der eine Nonce und eine return_sso_url enthält. Die Payload ist immer eine gültige Query-String.

Zum Beispiel, wenn die Nonce ABCD ist, lautet der rohe Payload:

nonce=ABCD&return_sso_url=https%3A%2F%2Fdiscourse_site%2Fsession%2Fsso_login. Dieser rohe Payload ist Base64-kodiert.

Der aufgerufene Endpunkt muss:

  1. Die Signatur validieren: Stellen Sie sicher, dass der HMAC-SHA256 von PAYLOAD (unter Verwendung von discourse_connect_secret als Schlüssel) gleich dem sig ist (sig ist hex-kodiert).
  2. Die erforderliche Authentifizierung durchführen.
  3. Einen neuen URL-kodierten Payload mit mindestens nonce, email und external_id erstellen. Sie können auch zusätzliche Daten angeben. Hier ist eine Liste aller Schlüssel, die Discourse versteht:
    • nonce sollte aus der Eingabe-Payload kopiert werden.
    • email muss eine verifizierte E-Mail-Adresse sein. Wenn die E-Mail-Adresse nicht verifiziert ist, setzen Sie require_activation auf „true“.
    • external_id ist ein beliebiger String, der für den Benutzer eindeutig ist und sich nie ändert, auch wenn sich seine E-Mail, sein Name usw. ändern. Der vorgeschlagene Wert ist die „id“-Zeilennummer Ihrer Datenbank.
    • username wird zum Benutzernamen auf Discourse, wenn der Benutzer neu ist oder SiteSetting.auth_overrides_username gesetzt ist.
    • name wird zum vollständigen Namen auf Discourse, wenn der Benutzer neu ist oder SiteSetting.auth_overrides_name gesetzt ist.
    • avatar_url wird heruntergeladen und als Avatar des Benutzers festgelegt, wenn der Benutzer neu ist oder SiteSetting.discourse_connect_overrides_avatar gesetzt ist.
    • avatar_force_update ist ein boolesches Feld. Wenn es auf true gesetzt ist, zwingt es Discourse, den Avatar des Benutzers zu aktualisieren, unabhängig davon, ob sich avatar_url geändert hat oder nicht.
    • bio wird zum Inhalt der Bio des Benutzers, wenn der Benutzer neu ist, seine Bio leer ist oder SiteSetting.discourse_connect_overrides_bio gesetzt ist.
    • title setzt den Titel des Benutzers.
    • website setzt die Website des Benutzers in seinem Profil.
    • location setzt den Standort des Benutzers in seinem Profil.
    • profile_background_url wird heruntergeladen und als Profilhintergrund des Benutzers festgelegt, wenn der Benutzer neu ist oder SiteSetting.discourse_connect_overrides_profile_background gesetzt ist.
    • card_background_url wird heruntergeladen und als Kartenhintergrund des Benutzers festgelegt, wenn der Benutzer neu ist oder SiteSetting.discourse_connect_overrides_card_background gesetzt ist.
    • locale setzt die Spracheinstellung des Benutzers, wenn der Benutzer neu ist und SiteSetting.allow_user_locale aktiviert ist.
    • locale_force_update ist ein boolesches Feld. Wenn es zusammen mit locale auf true gesetzt ist, erzwingt es die Aktualisierung der Spracheinstellung für bestehende Benutzer (erfordert SiteSetting.allow_user_locale).
    • Zusätzliche boolesche Felder („true“ oder „false“) sind: admin, moderator, suppress_welcome_message, logout.
  4. Den Payload Base64-kodieren.
  5. Einen HMAC-SHA256-Hash des Payloads berechnen, wobei discourse_connect_secret als Schlüssel und der Base64-kodierte Payload als Text verwendet wird.
  6. Zurück auf die return_sso_url mit einem sso- und sig-Query-Parameter umleiten (http://discourse_site/session/sso_login?sso=payload&sig=sig).

Discourse validiert, dass die Nonce gültig ist, und wenn ja, verfallen sie sofort, sodass sie nicht erneut verwendet werden kann. Anschließend versucht es:

  1. Den Benutzer anzumelden, indem es nach einer bereits verknüpften external_id im SingleSignOnRecord-Modell sucht.
  2. Den Benutzer anzumelden, indem die bereitgestellte E-Mail verwendet wird (Aktualisierung der external_id) (es sei denn, require_activation = true).
  3. Ein neues Konto für den Benutzer zu erstellen (E-Mail, Benutzername, Name) und die external_id zu aktualisieren.

Sicherheitsbedenken

Die Nonce (Einmal-Token) verfällt automatisch nach 30 Minuten. Das bedeutet, dass der Benutzer, sobald er auf Ihre Site weitergeleitet wird, 30 Minuten Zeit hat, sich anzumelden oder ein neues Konto zu erstellen.

Das Protokoll ist sicher gegen Replay-Angriffe, da die Nonce nur einmal verwendet werden kann. Die Nonce ist an die aktuelle Browsersitzung gebunden, um CSRF-Angriffe zu verhindern.

Festlegung der Gruppenmitgliedschaft

Wenn die Option discourse connect overrides groups angegeben ist, berücksichtigt Discourse die durch Kommas getrennte Liste der Gruppen, die in groups übergeben werden.

Screenshot 2021-02-11 at 12.35.15
Screenshot 2021-02-11 at 12.35.151554×156 53.1 KB

Neben groups können Sie die Gruppenmitgliedschaft auch in Ihrer SSO-Payload mit den Attributen add_groups und remove_groups angeben, unabhängig von der Option discourse connect overrides groups.

add_groups ist eine durch Kommas getrennte Liste von Gruppennamen, für die wir sicherstellen, dass der Benutzer Mitglied ist.
remove_groups ist eine durch Kommas getrennte Liste von Gruppennamen, für die wir sicherstellen, dass der Benutzer kein Mitglied ist.

Referenzimplementierung

Discourse enthält eine Referenzimplementierung der SSO-Klasse:

Eine triviale Implementierung wäre:

class DiscourseSsoController < ApplicationController
  def sso
    secret = "MY_SECRET_STRING"
    sso = DiscourseApi::SingleSignOn.parse(request.query_string, secret)
    sso.email = "user@email.com"
    sso.name = "Bill Hicks"
    sso.username = "bill@hicks.com"
    sso.external_id = "123" # eindeutige ID für jeden Benutzer Ihrer Anwendung
    sso.sso_secret = secret

    redirect_to sso.to_url("http://l.discourse/session/sso_login")
  end
end

Übergang zu und von Single Sign-On.

Solange der Parameter require_activation im Anfrage-Payload nicht auf true gesetzt ist, vertraut das System den vom Single Sign-On-Endpunkt bereitgestellten E-Mails. Das bedeutet, dass, wenn Sie in der Vergangenheit ein bestehendes Konto auf Discourse mit deaktiviertem DiscourseConnect hatten, DiscourseConnect dieses einfach wiederverwendet und die Erstellung eines neuen Kontos vermeidet.

Wenn Sie DiscourseConnect jemals deaktivieren, können Benutzer ihre Passwörter zurücksetzen und wieder Zugriff auf ihre Konten erhalten.

Beispiel aus der Praxis:

Gegeben sind folgende Einstellungen:

Discourse-Domain: http://discuss.example.com
DiscourseConnect-URL: http://www.example.com/discourse/sso
DiscourseConnect-Geheimnis: d836444a9e4084d5b224a60c208dce14
E-Mail validiert: Nein (fügen Sie require_activation=true zum Payload hinzu)

Benutzer versucht, sich anzumelden

  • Nonce wird generiert: cb68251eefb5211e58c00ff1395f0c0b

  • Roher Payload wird generiert: nonce=cb68251eefb5211e58c00ff1395f0c0b

  • Payload wird Base64-kodiert: bm9uY2U9Y2I2ODI1MWVlZmI1MjExZTU4YzAwZmYxMzk1ZjBjMGI=

  • Payload wird URL-kodiert: bm9uY2U9Y2I2ODI1MWVlZmI1MjExZTU4YzAwZmYxMzk1ZjBjMGI%3D

  • HMAC-SHA256 wird auf dem Base64-kodierten Payload generiert: 1ce1494f94484b6f6a092be9b15ccc1cdafb1f8460a3838fbb0e0883c4390471

Schließlich wird der Browser weitergeleitet zu:

http://www.example.com/discourse/sso?sso=bm9uY2U9Y2I2ODI1MWVlZmI1MjExZTU4YzAwZmYxMzk1ZjBjMGI%3D&sig=1ce1494f94484b6f6a092be9b15ccc1cdafb1f8460a3838fbb0e0883c4390471

Am anderen Ende

  1. Payload wird mit HMAC-SHA256 validiert. Wenn die Signatur nicht übereinstimmt, wird der Prozess abgebrochen.
  2. Durch Umkehren der oben genannten Schritte wird die Nonce extrahiert.

Benutzer meldet sich an:

name: sam
external_id: hello123
email: test@test.com
username: samsam
require_activation: true

Nicht signierter Payload wird generiert:

nonce=cb68251eefb5211e58c00ff1395f0c0b&name=sam&username=samsam&email=test%40test.com&external_id=hello123&require_activation=true

Die Reihenfolge ist nicht wichtig, Werte sind URL-kodiert.

Payload wird Base64-kodiert:

bm9uY2U9Y2I2ODI1MWVlZmI1MjExZTU4YzAwZmYxMzk1ZjBjMGImbmFtZT1zYW0mdXNlcm5hbWU9c2Ftc2FtJmVtYWlsPXRlc3QlNDB0ZXN0LmNvbSZleHRlcm5hbF9pZD1oZWxsbzEyMyZyZXF1aXJlX2FjdGl2YXRpb249dHJ1ZQ==

Payload wird URL-kodiert:

bm9uY2U9Y2I2ODI1MWVlZmI1MjExZTU4YzAwZmYxMzk1ZjBjMGImbmFtZT1zYW0mdXNlcm5hbWU9c2Ftc2FtJmVtYWlsPXRlc3QlNDB0ZXN0LmNvbSZleHRlcm5hbF9pZD1oZWxsbzEyMyZyZXF1aXJlX2FjdGl2YXRpb249dHJ1ZQ%3D%3D

Base64-kodierter Payload wird signiert:

3d7e5ac755a87ae3ccf90272644ed2207984db03cf020377c8b92ff51be3abc3

Browser leitet weiter zu:

http://discuss.example.com/session/sso_login?sso=bm9uY2U9Y2I2ODI1MWVlZmI1MjExZTU4YzAwZmYxMzk1ZjBjMGImbmFtZT1zYW0mdXNlcm5hbWU9c2Ftc2FtJmVtYWlsPXRlc3QlNDB0ZXN0LmNvbSZleHRlcm5hbF9pZD1oZWxsbzEyMyZyZXF1aXJlX2FjdGl2YXRpb249dHJ1ZQ%3D%3D&sig=3d7e5ac755a87ae3ccf90272644ed2207984db03cf020377c8b92ff51be3abc3

Synchronisierung von DiscourseConnect-Datensätzen

Sie können den POST-Admin-Endpunkt /admin/users/sync_sso verwenden, um einen DiscourseConnect-Datensatz zu synchronisieren. Übergeben Sie denselben Datensatz, den Sie auch an den DiscourseConnect-Endpunkt übergeben würden; die Nonce spielt keine Rolle.

Wenn Sie admin/users/sync_sso von einer anderen Site aus aufrufen, müssen Sie einen gültigen Admin-api_key und einen gültigen api_username in den Kopfzeilen der Anfrage angeben. Weitere Details zur Struktur der Anfrage finden Sie unter Sync DiscourseConnect user data with the sync_sso route.

Löschen von DiscourseConnect-Datensätzen

Wenn sich Ihre external_id-Werte von Ihrem DiscourseConnect-Anbieter geändert haben (vielleicht haben Sie den Generierungsalgorithmus geändert oder es ist ein anderer Endpunkt), können Sie sicher alle bestehenden Datensätze über die Rails-Konsole entfernen:

SingleSignOnRecord.destroy_all

Abmelden von Benutzern

Sie können den POST-Admin-Endpunkt /admin/users/{USER_ID}/log_out verwenden, um bei Bedarf jeden Benutzer im System abzumelden.

Um den Endpunkt zu konfigurieren, zu dem Discourse bei der Abmeldung weiterleitet, suchen Sie nach der Einstellung „logout redirect“. Wenn hier keine URL festgelegt ist, werden Sie zurück zur in discourse connect url konfigurierten URL weitergeleitet.

Benutzer nach external_id suchen

Benutzerprofildaten können über den Endpunkt /users/by-external/{EXTERNAL_ID}.json abgerufen werden. Dies gibt eine JSON-Payload zurück, die die Benutzerinformationen enthält, einschließlich der user_id, die mit dem log_out-Endpunkt verwendet werden kann.

Bestehende Implementierungen

  • Das discourse_api-Gem kann für SSO verwendet werden. Schauen Sie sich den SSO-Code im examples-Verzeichnis an, um eine grundlegende Implementierung zu sehen.

  • Unser WordPress-Plugin erleichtert die Konfiguration von SSO zwischen WordPress und Discourse. Details zur Einrichtung finden Sie auf der SSO-Registerkarte der Optionsseite des Plugins.

Zukünftige Arbeiten

  • Wir möchten mehr Referenzimplementierungen für SSO auf anderen Plattformen sammeln. Wenn Sie eine haben, posten Sie sie bitte in der Dev / SSO-Kategorie.

Erweiterte Funktionen

  • Sie können benutzerdefinierte Benutzerfelder übergeben, indem Sie den Feldnamen mit custom prefixieren. Zum Beispiel kann custom.user_field_1 verwendet werden, um den Wert des UserCustomField mit dem Namen user_field_1 festzulegen.
  • Sie können avatar_url übergeben, um den Benutzer-Avatar zu überschreiben (SiteSetting.discourse_connect_overrides_avatar muss aktiviert sein). Avatare werden zwischengespeichert, also übergeben Sie avatar_force_update=true, um sie zu aktualisieren, wenn die URL gleich ist. Derzeit können Sie keine leere URL übergeben, um den Avatar des Benutzers zu deaktivieren.
  • Standardmäßig wird die Willkommensnachricht an alle neuen Benutzer gesendet, die über SSO erstellt wurden. Wenn Sie dies unterdrücken möchten, können Sie suppress_welcome_message=true übergeben.
  • Um Ihre Discourse-Instanz als DiscourseConnect-Anbieter zu konfigurieren, siehe: DiscourseConnect als Identity Provider verwenden.

Debugging Ihres DiscourseConnect-Anbieters

Um das Debugging von DiscourseConnect zu unterstützen, können Sie die Site-Einstellung verbose_discourse_connect_logging aktivieren. Durch Aktivieren dieser Einstellung werden ausführliche Diagnoseinformationen in IHRESITE.com/logs angezeigt. Stellen Sie sicher, dass Sie das Kästchen warnings am Ende von IHRESITE.com/logs :white_check_mark: aktivieren.

Wir protokollieren eine Warnung in den Logs mit einem vollständigen Dump der SSO-Payload:

  • Jedes Mal, wenn der DiscourseConnect-Prozess gestartet wird, protokollieren wir eine Warnung im Log mit einem vollständigen Dump der DiscourseConnect-Payload.

  • Jedes Mal, wenn ein Benutzer den DiscourseConnect-Vorgang nicht abschließen kann (aufgrund abgelaufener Nonce oder IP-Sperre).

:spiral_notepad: Müssen Sie Benutzeranmeldungen automatisieren? Siehe Auto-provisioning user accounts when SSO is enabled

174 „Gefällt mir“
Discourse SSO + normal login
Sync DiscourseConnect user data with the sync_sso route
SSO login & logout issues
Is there a "log_in" SSO API endpoint?
SSO locked me out of Discourse!
What is the SSO login URL
With SSO my user still need to hit the login button
SSO Login page not showing up
How to handle Discourse SSO when the authentication site allows users to change emails?
"User Log out API" return success in response but user session still alive
SSO integration & external profile sync help
Single Sign-Out?
Mobile (firebase) SSO authentication
Discourse SSO using auth0 via URL
Login to Discourse with website account details
SSO on Discourse using Atlassian Crowd
Users who register on my site, register also on Discourse Vise Versa
Logout POST Request
Custom Login / Registration from another API
Advantage and disadvantage of enabling SSO
About the SSO category
Automatically assigning users to a group
Automatic session management with OAuth SSO
User Fields to validate users
Shibboleth / SAML / SSO -- Working Implementation for Higher Ed
Merging users from different forums
Customized login auth plugin
SSO and e-mail addresses having a plus sign
How to generate nonce from client-side Javascript
Will Discourse ask for a username if it's not provided to /session/sso_login?
Disable email verification for SSO
Discourse Ruby API testing "Unknown attribute 'auth_token' for User
[PAID] Setup SSO for self-hosted instance
Hashing Secret + Payload for SSO
SSO with TownNews CMS
Wordpress plugin not redirect to discourse login automatically
Categorizing and tracking users
Using existing RoR application for user auth / signup instead of discourse
SSO locked me out of Discourse!
Enable sso for my site
Auto-sign-in with the OpenId Connect Plugin and AWS Cognito
A way for admins to edit users' external IDs
Switching out authentication for a passwordless alternative
Segment Tracking Theme Component
Data explorer query to list the longest "estimated read time" topics?
Can usernames be numbers instead of Letters?
Create user in discourse by redirecting from another site
HMAC-256 example on Official SSO page
Discourse OAuth2 Basic
Jobs::DownloadAvatarFromUrl times out
Add links to meta.discourse.org instructions inside admin
How to configure the SSO Authorization URL via config (without using the admin panel)
Embed Discourse comments on another website via Javascript
TeamAndro exploring a migration from phpBB
DiscourseConnect payload hash encoding mismatch
Disabling SSO in development environment
Getting signed data from the server
User following invitation link is not visible in Admin/Users due to SSO
Getting signed data from the server
Getting signed data from the server
SSO and changing email addresses upstream
SSO (maybe) specific issue
SSO (maybe) specific issue
Why isn't Discourse more frequently recommended as a "community platform"?
Integration with .NET MVC application for a SaaS platform
Running my own discourse image
Unable to Login to Discourse, using wpdiscourse plugin
How do I make discourse use my platform's autentication system?
Automatic addition of users to group based on email domain
Allowing people to login using accounts from other websites
Seeking Slack Login / SSO for Discourse
Smooth J/K navigation when using keyboard
SSO to Joomla site
Discourse Connect on Local instance is not working
Discourse Connect on Local instance is not working
Implementing SSO for dev environment and troubleshoot
Login with FB, google and apple only
SSO provider implementation - Admin, moderator and groups ignored?
How to divide my community into 2 parts
Using Discourse to add a forum feature to our current application?
Shared cookie SSO: Notifying frontend
User auth with website at root and Discourse in subfolder
Can I authenticate to Drupal via Discourse?
Using Discourse as an authentication provider
Error 419 when Attempting DiscourseConnect, JavaScript
Difficulty of Tiered-access forum
Any way to not require email verification with WP as the SSO Provider?
How to auto-login user in application web view
How can I configure Single Sign On for our App to the Discourse Community Forum
[PAID] automatically change user email
Create apikey for user programmatically as admin
Discourse logins into Drupal 8/9
Discourse logins into Drupal 8/9
Bug when visiting same thread url
Open source will support customized provider SSO
Is there a way to get all emails of users with the API?
How can generate _forum_session and _t for an user through code/api call or without login to browser?
Show/hide forums based on the domain? (Shared forum via CNAME)
Integrate with DjangoRest and Vue.js
Auto-assign random, anonymous usernames
Connect Discourse Auth with my Django user DB?
Disable account confirm emails when creating users via API
Transforming usernames with SSO
WP as DiscourseConnect client: Signature parse error/Bad signature error (solved)
Automatically provision accounts with external SSO provider? (skip Create New Account prompt)
Error ArgumentError in DiscourseSsoController#sso, wrong number of arguments (given 1, expected 0)
Error ArgumentError in DiscourseSsoController#sso, wrong number of arguments (given 1, expected 0)
Embed variables in footer
Need help to setup SSO without emails
Programmatically log users out of discourse
Is it possible?
How do I remove people from putting names? I have an API system I want in there
How to detect Discourse user on Ghost Blog?
Problem in sso redirection for compose a new pre-filled topic via URL
How to make default avatars and make sure nobody changes there avatar I want to set them an avatar with my API system
How might we better structure #howto?
Making group joins automatic to an external pricing plan
Is Roblox Login Possible?
Session Timeout SSO after rebuild from Backup
Discourse login with whmcs users
2.7.0.beta4: DiscourseConnect, Topic Timer UI revamp, Login Modal UI revamp, and more
Connecting Discourse invites to Marketo emails
Auto assign member to the certain group
Connecting to an external source of avatars?
Changing avatar_url while sso_overrides_avatar is set?
SSO - User Roles or ACLs to differentiate access levels
SSO - User Roles or ACLs to differentiate access levels
User avatar selection through API no longer working
Sync WooCommerce Memberships with Discourse groups
Disabling email verification
SSO Isnt working for me
Could Discourse offer a StackExchange-like SSO/Federated login service?
Mandatory username & avatar generation - How can we do this?
Intergrading discoures in to a application
Configure single sign-on (SSO) with WP Discourse and DiscourseConnect
How to connect to an external database running on localhost
Automate User Creation
Login Help - Correct way to login
What happens to my current users after configuring SSO?
SSO groups without completely overriding
JumpCloud LDAP/SSO
Lexicon: a customizable native mobile app for your Discourse site
Usernames getting modified – numeral “1” being added
Is "partial" SSO possible?
Send an invite to a user but complete their profile programmatically
Magento 2 as SSO Provider?
Discourse SSO Provider doesn't redirect to return_sso_url as user logs in with custom SSO
Force password change after login
SSO and e-mail addresses having a plus sign
Would Discourse meet all of these niche needs to be a video game community forum?
OpenID Connect and SSO
Does `sso overrides groups` work with Oauth2?
How to prevent another log in with Auth0 and OAuth2 Basic Plugin
Add user to group after purchase
Error Log Missing
Discourseconnect logout issues
Shibboleth SSO with Discourse
Other custom code on WP installation is preventing WP Discourse from redirecting back to forum
Using discourse forum in a native app (log-in, languages)
Use Discourse as an identity provider (SSO, DiscourseConnect)
Possible to send an email login link via API?
Possible to send an email login link via API?
Self serve SSO email synchronisation
Discourse Connect: How implementing Discourse login with an existing database?
Sync group membership with external list of email addresses
Distrust: Discourse as an OpenID Connect provider
Admin sso and group permissions
Can I use my own Login page instead of discourse's Default login dialog box?
Using Discourse as SSO Provider for Wiki.js
SSO is forcibly creating the user as an admin
Modify the URL of 'create your account' button to an external site
DiscourseConnect Won't Let Me Log Back In
DiscourseConnect Won't Let Me Log Back In
DiscourseConnect Won't Let Me Log Back In
DiscourseConnect Won't Let Me Log Back In
Watched words links corrupt @mentions and #categories
Recursive Impersonation
Recursive Impersonation
How to add a custom url text link on the login page
Can discourse delete archived posts automatically and accept registration without email?
Drupal 8 and Discourse shared SSO
SSO is forcibly creating the user as an admin
Onboarding 15k Trial Users/Year: Need Help Streamlining the Process
Filling in discourse_username when not using DiscourseConnect
Is DiscourseConnect available for self-hosted?
Is DiscourseConnect available for self-hosted?
Discourse login by cookie token
Could you update user avatar for wordpress plugin sso?
Secondary Emails with SSO
How to Disable Required SSO Email Activation
Redirect to Register link after invite while using SSO
Custom field in discourseconnect
Make email optional
User avatar selection through API no longer working
Wordpress plugin not redirect to discourse login automatically
Discourse login by cookie token
How to configure Discourse as the sole user-facing login/sign-up provider for Wordpress site
Custom field in discourseconnect
System assigned profile picture not synced to Discourse Connect client sites
Discourse connect sync_sso avatar update issue
Discourse as OpenID Connect provider
Unable to create user in Discourse from WP with new registration form
Logging users in through c++ desktop application
Discourse as OpenID Connect provider
Is there any endpoint that would provide a user's external account IDs from their Discourse ID?
"Fake" OAuth Provider?
German People here
Invite only by email from database
Is it possible to autologin discourse via iframe?
New Wordpress users connecting to existing Discourse users
Login w/ Discourse w/o SSO?
Login w/ Discourse w/o SSO?
Login w/ Discourse w/o SSO?
Login w/ Discourse w/o SSO?
Generic “userN” usernames
Generic “userN” usernames
Change login link param (return_path)
Require accepting new terms (after changes) as a modal inside forum
Guest Gate Theme Component
Unable to Login to Discourse, using wpdiscourse plugin
How to switch from Discourse Connect SSO to local logins
Lack of Discourseconnect client tab in multisite for wordpress
Wordpress plugin not redirect to discourse login automatically
Wordpress plugin not redirect to discourse login automatically
Discourse Hosting Limits?
Guest Gate Theme Component
DiscourseConnect always returns "Nonce is incorrect, ..."
Auto Login enabled for public facing community?
Has anyone succeeded in using discourse as sso provider for nextcloud? Share recipe?
SSO in C# .NET App
Discourse SSO failed to login the user while redirection
Change email and username charset to unicode
Intergrate Discourse with keycloak
Auto Login enabled for public facing community?
Intergrate Discourse with keycloak
Intergrate Discourse with keycloak
Intergrate Discourse with keycloak
Intergrate Discourse with keycloak
Work with discourse users on an SPA
Work with discourse users on an SPA
WP-Discourse → User Switching Not Working
WP-Discourse → User Switching Not Working
Is there a way to use both local login and discourseConnect?
Allow my application users to login to discourse
Hide log out menu when using SSO
Discourse Integration Nextcloud bad csrf
Feature: create default user name from email's user portion when using Google OAuth2/SSO
Account login timed out when using SSO if auth_immediately = false
SSO login appears to have stopped working
Is there a way to use both local login and discourseConnect?
DiscourseConnect and user time zone / location
SSO Login issue
Configure an S3 compatible object storage provider for uploads
Use Discourse as an identity provider (SSO, DiscourseConnect)
"Fake" OAuth Provider?
Sync WooCommerce Memberships with Discourse groups
SSO Redirect Issues
Discourse Hosting Limits?
DiscourseConnect and user time zone / location
Embedding topics with login required and DiscourseConnect
WPDiscourse - Logout not working
Using Discourse as SSO provider but facilitating users continuing task on Wordpress?
Guest Gate Theme Component
"You need to sign in or sign up before continuing"
Any fallback available for failed SSO?
Changing email addresses not working as an Admin
Unable to anonymize user via API with SSO enabled
API bug : final "." in username causes error
Guest Gate Theme Component
Discourse Membership Synced with Member Status in other system (WHMCS)
Single sign-on sticks despite deleting the Discourse plugin
Populating email field on login page
Problem on SSO Login
API Create user external_ids parameter
Users unable to login with Discourse Connect
SSO Failing to Override Avatar
Manually copying over comments from Wordpress, how do I can create user accounts?
SSO Broken - The requested URL or resource could not be found
Auto approve email domains still requires staff approval
Intergrate Discourse with keycloak
Can I use the Discourse API to authenticate users in another app?
Adding Discourse to existing Ruby on Rails site
Only let staff unlink social accounts?
Use WP Discourse to publish posts from Wordpress to Discourse
Discourse Connect does not auto login anymore
Adding SSO after many users already signed up -- how to migrate them?
Update user details
Is it possible?
Is it possible?
Is it possible?
Is it possible?
Is it possible?
Is it possible?
Unable to create user in Discourse from WP with new registration form
Login error while trying to use Discourse as an identity provider (SSO, DiscourseConnect)
How to add custom query parameter in discourse connect url?
Can I use DiscourseConnect along with Discourse Native Registration?
How can we disable 2FA for an user while we are using google auth2 login in Discourse?
SSO Login with Discourse
Synchronize SSO login state between Discourse and provider
Connection and discourse account creation without going on discourse
Migrate an IPB 3.1 forum to Discourse
How to know if user has SSO
Email-less and password-less registration & authentication
Disable DiscourseConnect
Generating a login email via API
Any other way to authenticate user without redirecting to session/sso
SSO failover scenarios
How to use Discourse Connect (SSO) to update avatar, username, name?
How to use Discourse Connect (SSO) to update avatar, username, name?
How to use Discourse Connect (SSO) to update avatar, username, name?
Label Sets
An entirely email-less Discourse instance
Issue with Api
Invites keep getting error "not_matching_email"
Any other way to authenticate user without redirecting to session/sso
Bad automatic choosing of username when using SSO (DiscourseConnect)
Use Discourse as an identity provider (SSO, DiscourseConnect)
Unable to setup discourse in my windows 10
Ghost & Discourse SSO implementation
Is there a possibility for Discourse to integrate with web3 wallets?
Guest Gate Theme Component
Discourse SSO Configuration
How admin user re-logins after using discourse connect sso and custom domain
How admin user re-logins after using discourse connect sso and custom domain
How to set Authorization token in request headers when user attempts to login on discourse
How can I check in my website if the user is logged in to my Discourse?
Go from a Wordpress + Discourse structure to a Discourse site only?
Generating and retrieving user API keys
Wordpress avatars from Discourse when Discourse is the SSO provider
Discouse Connect avatar_url with S3
How to "intercept" first time SSO usages to let users confirm the SSO action and set a username?
Discourse Connect receive Discourse Approval state
Multiple development instances
Multiple development instances
How to create a login on my front-end application to a specific Discourse site?
How to create a login on my front-end application to a specific Discourse site?
Use Discourse as an identity provider (SSO, DiscourseConnect)
First time login for a user using API KEY
DiscourseConnect and Clickfunnels
Connect discourse with magento?
Can we combine 2 separate discourse sites?
Multisite vs multiple containers
Discourse login from external site
Users allowed to see only some categories
Add links to Discourse that allow users to authenticate via SSO or access private groups directly if they are logged in already
Using external_id via API
How to set Authorization token in request headers when user attempts to login on discourse
Discourse Connect Flow
Add links to Discourse that allow users to authenticate via SSO or access private groups directly if they are logged in already
Add links to Discourse that allow users to authenticate via SSO or access private groups directly if they are logged in already
Discourse Connect Flow
Issue with Drupal Discourse SSO
I keep getting logged out after implementing Discourse SSO
Wp_discourse unable to remember login status
Splitting a site into two parts
DiscourseConnect Provider Questions
Login error
DiscourseConnect Provider Questions
Create User external_ids parameter
Error creating account in Wordpress with Discourse Connect
Use Discourse Connect with Wordpress and regular login
How to add users to multiple groups using discourse connect?
The Sign up button is not activated
Admin status repeatedly revoked
Use Discourse Connect with Wordpress and regular login
Add user to group via webhook with email
Login error
Notify admins if a user updates their primary email
Customising hostname sent in email links for app deeplinking
Plugin to integrate Shopify accounts with Discourse
How to do single sign-on with forum program?
Exploring ways to partition a forum
Exploring ways to partition a forum
GET DiscourseConnect Single Sign On record via APIs
Simple login by email via deep links containing a username
While using DiscourseConnect, is the CONFIRM Account needed?
While using DiscourseConnect, is the CONFIRM Account needed?
Discourse Connect/Squarespace (SSO)
Discourse Connect/Squarespace (SSO)
Wordpress username publishing help
Wordpress username publishing help
How to set language for SSO users
Log in button Redirects Issue
Log in button Redirects Issue
Log in button Redirects Issue
Want to set internal forum on our reactjs member's platform
New instructions for SSO setup? "enable discourse connect" setting is missing
New instructions for SSO setup? "enable discourse connect" setting is missing
Bulk invite to group
Wordpress Groups Sync with Discourse
Add a new user via API
Configure GitHub login for Discourse
Seeking Guidance: Dual Authentication Setup for Moderators and Students
Seeking Guidance: Dual Authentication Setup for Moderators and Students
Anyone has discovered/ build a site as multisite (SSO), would like to see the possibilities for inspiration!
Use SSO to auto create Discourse login/password after signed up in my SaaS
Undefined method `kilobytes' for "100":String error breaks topic and avatar sync
"Login error" page during the login attempt by existing user previously added through SSO
"Login error" page during the login attempt by existing user previously added through SSO
Gate our community to just members of our Shopify site?
How best to engage Discourse for a larger WordPress magazine?
How best to engage Discourse for a larger WordPress magazine?
How can I change the registration URL?
How do I go about making a very customized theme?
An idea for more economical comments?
Unable to disable SSO via SSH
Is it possible to have an automatically updating link to a user's profile picture? Such as by giving each user one "slot" for an avatar?
SSO broken after rebuild with stable v3.3.3
Using Discourse Connect with a mobile app
Disable DiscourseConnect
Missing anchor links in certain TOC topics?
Integration into custom auth system where emails are not unique?
WP-Discourse not connected and admin email not recognized
How to disable SMTP during installation?
How to enable sso on discourse?
Create User external_ids parameter
Auto Login to my Discourse site / subdomain
How to Disable activation_reminder email sending?
Communities using discourse SSO for their in-app community experience
Extending header buttons
Auth via Discourse Forum
🧩 How to Build an Android App User Community with Discourse? [HeyApks Project]
Postgres doesn't seem to be running when running Discourse locally using Docker
Discourse sso login redirect to localhost:3000, not 4200 (running via docker)
Cross-Discourse Quoting
Is it Possible to Send Encrypted Email and Password in the Authentication Flow?
Nutzung von Nextcloud aus Discourse heraus
Inherited forum with old Discourse Connect Config and Looking for Some Guidance
Merging user accounts
Understanding PII storage in Discourse
Auto-provisioning user accounts when SSO is enabled
REQUEST: Highly Effective Age Assurance (OneID Phone No. Age Verification) Integration
Guest Gate Theme Component
Login to Discourse with custom Oauth2 provider
Can I log into multiple instances of discourse simultaneously?
Upgraded last night and login button no longer works
SSO with Roles translating to Groups
Redirect login possible?
How to disable SSO via SSH
Connect Multiple WP Sites To 1 Discourse Installation?
What is the procedure to obtain CAS between my website and my discourse instance?
Problem logging in using SSO plugin
PAID: Create Open Source SSO plugin to auth with Wild Apricot
Trouble connecting drupal and discourse
About the idea: IDENTITY = EMAIL
About the idea: IDENTITY = EMAIL
How to create members-only site with Discourse, WordPress, and LearnDash
Consequences of not validating email addresses
SSO and Restricted Groups
Questions about Discourse on Digital Ocean
Require users to join at least one group at sign-up
Use the same user database and login credentials in multiple discourse instances
How to connect my (existing) User Database?
Can usernames be numbers instead of Letters?
User group sync with drupal
Options with SSO with another custom application
Issues in Integrating SSO in Discourse
How to implement Discourse with an already built Rails project
Updating SSO documentation
Configuring SSO to Work With SocialEngine
Updating SSO documentation
Discourse view file update does not reflect in browser
Discourse view file update does not reflect in browser
Trying to set up SSO
Discourse doesn't re-verify an address changed by SSO
Discourse doesn't re-verify an address changed by SSO
User API keys specification
SSO and Discourse Consulting
Changing the unique key to identify users
Setting the user title(group?) based on the information that is coming from the sso payload
TL2 welcome message sent every time on SSO login
Error during SSO integration - Wholistic Minds
Advice needed for tailoring Discourse to my organisation
Rails error when using DiscourseConnect and Wordpress
Primary and Discourse Site Integrations
Automatic Table of Contents generation
Questions Regarding Account Authentication Methods
Can usernames be numbers instead of Letters?
Redirect all users who click on domain.com/signup to a different page
Poll Result Breakdown
Cant update email via API - invalid_access error
Disabling all emails except those registration related?
Allow admins to change email addresses easily
Can't get avatar overrides to work over SSO
Allow admins to change email addresses easily
Conflicting email addresses, giving admins more power to resolve issues
Unable to create user in Discourse from WP with new registration form
Which Discourse hosting tier should I choose?
New users via API if allow new unchecked
How to change login settings without being logged in?
A community of a no-code tool: SSO vs login via email
579

Hallo, ich kann nirgends etwas finden, aber welches Protokoll wird hier verwendet? Gehen wir von OAuth2 aus? Die Parameter scheinen nicht übereinzustimmen, und ich erhalte eine Fehlermeldung vom Anbieter, dass er anscheinend einen sso=-Parameter akzeptiert? Hilfe!

Danke

580

DiscourseConnect ist die Implementierung von SSO durch Discourse. Es verwendet kein Standardprotokoll.

Wenn es Ihnen nichts ausmacht, PHP-Code anzusehen, gibt es hier eine Beispielimplementierung: wp-discourse/lib/sso-provider/discourse-sso.php at main · discourse/wp-discourse · GitHub.

Ja, das wird nicht funktionieren. Wenn Sie einen OAuth2-Anbieter haben, den Sie zur Authentifizierung von Benutzern verwenden möchten, schauen Sie sich das Plugin Discourse OAuth2 Basic an.

1 „Gefällt mir“
581

Danke @simon. Ist der PHP-Code auch ein Provider und kein Consumer? Ich habe auch einen OIDC-Provider gesehen, der funktionieren könnte, sowie einen “Mittelsmann”-Provider im Plugin-Bereich.

Wenn der SSO-Provider nicht standardmäßig ist, für wen/was ist er dann gedacht, wenn er nicht mit anderen zusammenarbeitet?

Nochmals vielen Dank!

582

Der Code, auf den ich verwiesen habe, dient zur Verwendung von WordPress als Authentifizierungsanbieter für Discourse.

Das WordPress-Plugin ermöglicht es WordPress auch, als DiscourseConnect-Client verwendet zu werden: wp-discourse/lib/sso-client at main · discourse/wp-discourse · GitHub.

Ich bin mir nicht sicher, was die Motivation für die Hinzufügung einer benutzerdefinierten SSO-Implementierung zu Discourse war. Ich vermute, es gab dafür einen geschäftlichen Grund.

Ein Vorteil ist, dass er es einer externen Website ermöglicht, eng in Discourse integriert zu werden. Zum Beispiel können alle hier aufgeführten Benutzerattribute während des Authentifizierungsprozesses mit Discourse synchronisiert werden: discourse/lib/discourse_connect_base.rb at 7b89fdead98606d4f47ceb0a1d240d0f6e5f589e · discourse/discourse · GitHub.

Er ermöglicht auch die Verwendung von Websites, die nicht als OAuth2- oder OpenID Connect-Anbieter konfiguriert sind, zur Authentifizierung von Benutzern auf Discourse.

Der Nachteil ist, dass benutzerdefinierter Code auf der Seite des Authentifizierungsanbieters hinzugefügt werden muss.

1 „Gefällt mir“
583

Hallo, ich bin neugierig, welche Probleme es gibt, E-Mail-Adressen auf einer externen Website, die SSO anbietet, nicht zu verifizieren. Ermöglicht dies nur automatisiertes Spamming? Oder gibt es andere Überlegungen? Warum wird nicht empfohlen, dass Discourse die E-Mail-Verifizierung übernimmt, wenn die externe Website dies nicht tut?

Vielen Dank für zusätzliche Einblicke.

584

Das schlimmste Szenario, das mir bekannt ist, erfordert diese Bedingungen:

  • E-Mail-Adressen werden auf der externen Website nicht verifiziert
  • require_activation=true ist in der SSO-Nutzlast nicht gesetzt
  • Es gibt bereits Konten auf der Discourse-Website, denen kein SingleSignOnRecord zugeordnet ist (der Kontoinhaber hat sich nie mit SSO bei Discourse angemeldet)

In diesem Fall könnte sich jemand auf der externen Website mit der E-Mail-Adresse eines Discourse-Benutzers registrieren, der sich nie mit SSO angemeldet hat. Dies würde es dem nicht verifizierten Konto von der externen Website ermöglichen, das Discourse-Konto zu übernehmen, das dieselbe E-Mail-Adresse verwendet. Dies wäre besonders besorgniserregend, wenn es sich um ein Administratorkonto bei Discourse handeln würde.

Es wird empfohlen, dass Discourse die E-Mail-Verifizierung handhabt, wenn die externe Website dies nicht tut:

Es gibt jedoch ein paar Gründe, warum es besser ist, die E-Mail-Verifizierung auf der externen Website durchzuführen:

  • Benutzer zu zwingen, die Bestätigungs-E-Mail von Discourse zu erhalten, fügt Reibung hinzu, wenn Benutzer sich zum ersten Mal bei Discourse anmelden. (Realistisch gesehen muss diese Reibung irgendwo stattfinden – entweder auf Discourse-Seite oder auf der Seite der externen Website.)
  • Discourse gleicht keine vorhandenen Discourse-Konten mit externen Anmeldungen anhand der E-Mail-Adresse ab, wenn require_activation in der SSO-Nutzlast auf true gesetzt ist. Dies ist ein Problem, wenn Sie DiscourseConnect aktivieren, nachdem einige Konten auf Discourse durch Registrierung mit Benutzername/Passwort erstellt wurden. Es ist auch ein Problem, wenn Sie aus irgendeinem Grund jemals SingleSignOnRecord-Einträge auf Discourse löschen müssen. Discourse erstellt keine neuen SingleSignOnRecord-Einträge automatisch, wenn sich Benutzer wieder bei Discourse anmelden.
4 „Gefällt mir“
585

Danke, @simon – das ist sehr hilfreich!

586

Hallo, ich habe eine Frage zum groups-Feld in der SSO-Nutzlast.

Werden automatisierte Gruppen (wie Administratoren, Moderatoren und die Vertrauensstufen) ebenfalls überschrieben? Oder werden sie beibehalten?

587

Nein! Wenn die Beschreibung dieser Einstellung richtig ist, werden nur manuelle Gruppen davon betroffen sein.

588

Weißt du was… Ich habe das Wort „manuell“ in der Beschreibung nicht gesehen. Klingt vielversprechend für meinen Anwendungsfall, ich werde es ausprobieren und mich wieder melden.

1 „Gefällt mir“
589

Als ich das las, dachte ich, ich müsste die Signatur direkt aus der Base64-kodierten Nutzlast generieren. Mir war nicht bewusst, dass man sie aus den UTF-8-Bytes generieren muss. Könnte das verdeutlicht werden?

590

Ich habe mit DiscourseConnect herumgespielt – die Dokumentation ist großartig, danke.
Ich bin jedoch auf ein paar Hindernisse gestoßen, bei denen ich hoffe, Hilfe/Klärung zu bekommen.

Wir möchten, dass sich Benutzer mit ihrem Discourse-Login bei WordPress anmelden können (das funktioniert einwandfrei :slight_smile: ) – jedoch.

  • Ist es möglich, einen WordPress-Benutzer über die Discourse-Registrierung zu erstellen (wenn ein Benutzer ein Discourse-Benutzerkonto erstellt, wird automatisch ein WordPress-Konto/Profil für ihn erstellt, damit er sich bei WordPress anmelden kann)?

  • Ist es möglich, WordPress-Benutzergruppen und Discourse-Gruppen zu synchronisieren?
    Wenn ein Benutzer sowohl ein WordPress- als auch ein Discourse-Benutzerkonto hat, kann DiscourseConnect diese verknüpfen – gibt dem WordPress-Konto aber nicht die Benutzergruppen der Discourse-Gruppen mit demselben Namen und umgekehrt (und was ist, wenn Gruppen nicht denselben Namen haben – wie kann ich DiscourseConnect sagen, dass es dem Benutzer die Benutzergruppe „Testing Group“ geben soll, wenn der Benutzer die Discourse-Gruppe „Group for Testing Things“ hat)?

Was fehlt mir?

591

Ich kenne die Antwort nicht, aber…

Seien Sie damit vorsichtig. Es ist irgendwo ungesetzlich und wird weithin als schlechte Praxis angesehen (außerhalb der Website-Besitzer, natürlich :smirking_face:), da dies ohne Zustimmung und Wissen des Benutzers geschehen würde und gleichzeitig Daten woandershin verschoben würden.

Sicher, das ist etwas im Graubereich und im Grunde macht Google das zum Beispiel.

Aber… warum? Beschränken Sie die Anmeldung auf der WordPress-Seite nur auf Discourse SSO und leiten Sie Benutzer zur Kontoerstellung an Discourse weiter, und das war’s. Aber soweit ich weiß, können Sie Benutzerkonten nicht sofort automatisch synchronisieren. Und warum sollten Sie, denn mit SSO geschieht dies, wenn ein Benutzer es benötigt.

592

In unserem Szenario (als Mitgliederorganisation)

  • WordPress wird zur Verwaltung von Abonnements und zum Kauf von Artikeln im WordPress-Store verwendet, und wir verwenden Benutzergruppen, um zu verwalten, was ein Mitglied in der Organisation tun kann.
  • Discourse ist unser Forum/unsere Online-Community, und wir verwenden Gruppen, um zu steuern, auf welche Bereiche von Discourse ein Benutzer Zugriff hat.

Derzeit muss ein neues Mitglied ein WordPress-Konto einrichten (und sein Abonnement usw. einrichten) und auch ein Discourse-Konto einrichten. Benutzergruppen-Discourse-Gruppen werden manuell verwaltet/synchronisiert.

Ich versuche, eine Lösung zu finden, bei der ein neuer Benutzer die Einrichtung einmal durchführt, um beide Konten zu erstellen, und Benutzergruppen-Discourse-Gruppen automatisch synchronisiert werden. Ich bin sicher, dass ich die Gruppensynchronisierung mit APIs usw. lösen kann. Es ist die Einrichtung mehrerer Benutzerkonten, die ich lösen/verhindern möchte.

593

Es scheint, als ob Sie Discourse als SSO-Anbieter für WordPress verwenden. Dieser Ansatz wird hier beschrieben: Discourse als Identitätsanbieter verwenden (SSO, DiscourseConnect). Das Discourse WordPress-Plugin bietet Optionen, entweder WordPress als SSO-Anbieter für Discourse zu verwenden oder Discourse als Identitätsanbieter für WordPress zu verwenden. Die Verwendung desselben Namens für beide Ansätze führt zu einiger Verwirrung.

Ich wäre versucht, WordPress in diesem Fall als Identitätsanbieter zu verwenden. Mit diesem Ansatz erstellen Benutzer Konten auf Ihrer WordPress-Website und melden sich dann mit ihren WordPress-Anmeldedaten bei Discourse an. Eine Sache, die Sie bei diesem Ansatz beachten sollten, ist, dass Benutzer sich nur über WordPress bei Discourse anmelden können. Es ist nicht möglich, ein Discourse-Konto zu erstellen, ohne bereits ein WordPress-Konto zu haben. Ich denke, das ist die richtige Einrichtung, wenn Sie Discourse mit einer WordPress-Mitgliederseite integrieren.

Wenn WordPress als Identitätsanbieter für Discourse verwendet wird, gibt es einige Hilfsfunktionen, die nützlich sind, um die Discourse-Gruppenmitgliedschaften von Benutzern basierend auf ihrer Aktivität in WordPress festzulegen. Diese Funktionen sind hier beschrieben: Gruppenmitgliedschaft in Discourse mit WP Discourse SSO verwalten.

Zurück zu Ihrer ursprünglichen Frage:

Es ist eine Weile her, seit ich mir den DiscourseConnect Client-Code des WordPress-Plugins angesehen habe, aber ich denke, was Sie fragen, ist mehr oder weniger die Art und Weise, wie dieser Code funktionieren soll. Wenn ein Benutzer ein Discourse-Konto hat, muss er nur auf den Link “Durch Discourse anmelden” in WordPress klicken, und ein Konto wird für ihn erstellt.

Dies wäre technisch möglich, wenn Sie WordPress als DiscourseConnect-Client verwenden, aber es sei denn, etwas hat sich geändert, können Sie die Methoden add_user_to_discourse_group und remove_user_from_discourse_group nicht verwenden, die in der von mir verlinkten Dokumentation beschrieben sind. Sie müssten etwas wie die Einrichtung eines Discourse Webhooks einrichten, der ausgelöst wird, wenn ein Benutzer zu einer Discourse-Gruppe hinzugefügt wird, und dann etwas Code in WordPress hinzufügen, um diesen Webhook zu verarbeiten. Um Gruppen von WordPress nach Discourse zu synchronisieren, müssten Sie einen API-Aufruf an Discourse machen, um die Gruppen eines Benutzers zu aktualisieren, wenn es eine Änderung in WordPress gab. Etwas, das ziemlich einfach zu erreichen wäre, wenn Sie WordPress als DiscourseConnect-Anbieter verwenden, könnte etwas komplizierter sein, wenn Sie WordPress als DiscourseConnect-Client verwenden.

1 „Gefällt mir“
594

Außer wenn eine benutzerdefinierte Anmeldung verwendet wird, wie es normalerweise bei WooCommerce/Mitgliedschaften/LLM der Fall ist, die diese Schaltfläche anzeigen und die ausschließliche Verwendung von Discourse SSO als Anbieter nicht standardmäßig erfolgt und etwas benutzerdefinierte Arbeit erfordert.

595

Es gibt ein paar mögliche Probleme, eines im Zusammenhang mit Caching und ein anderes im Zusammenhang mit Login-Weiterleitungen, die von einigen Plugins hinzugefügt werden. Jeder, der auf diese Probleme stößt, sollte sie in der Kategorie Support > WordPress ansprechen. Sie sind normalerweise leicht zu lösen.

596

Ich habe ganz vergessen, zurückzumelden: Tatsächlich funktioniert es genau wie beschrieben, nur manuelle Gruppen sind betroffen.

597

Hallo @simon,
Ich glaube, ich brauche wirklich Hilfe bei der 404-Antwort meines POC-Explorers dieser SSO-Funktion. Ich arbeite seit einem ganzen Tag an diesem Problem, kann aber immer noch nicht herausfinden, was das Problem ist. Ich konnte

  1. discourse_connect aktivieren
  2. die discourse_connect_url auf https://localhost:4200/login setzen
  3. discourse-connect secret: 20’s (1) 1111111111111111111 um es einfach zu halten

dann auf meiner Login-Seite meiner Angular-App habe ich diese Anfrage mit dem folgenden Code gesendet:

Dieses Bild zeigt einen Ausschnitt aus JavaScript-Code, der eine API-Anfrage zum Erstellen eines neuen Benutzereintrags auf Neuralink.com mit spezifischen Details und einer Authentifizierungseinrichtung durchführt. (Beschriftet von KI)
Dieses Bild zeigt einen Ausschnitt aus JavaScript-Code, der eine API-Anfrage zum Erstellen eines neuen Benutzereintrags auf Neuralink.com mit spezifischen Details und einer Authentifizierungseinrichtung durchführt. (Beschriftet von KI)685×801 29.8 KB

aber ich habe die Antwort 404 nicht gefunden erhalten.

Nach meinem Verständnis sollte beim Senden einer POST-Anfrage an den Endpunkt admin/users/sync_sso, wenn der Benutzer nicht in Discourse existiert, ein neuer Benutzer basierend auf der user_id und der E-Mail erstellt werden. Das zurückgegebene Ergebnis sollte ein Benutzerobjekt sein und kein leeres Objekt mit dem Statuscode 404.
Ich habe auch das Protokoll überprüft, es lieferte keine relevanten Informationen für diese fehlgeschlagene Antwort.

Vielen Dank im Voraus!