OpenID Connect-Gruppe kann Benutzer aus allen nicht synchronisierten Gruppen entfernen

Unter bestimmten Bedingungen synchronisiert die OpenID Connect-Gruppensynchronisierung alle Discourse-Gruppen, aus denen Benutzer ausgeschlossen werden, ohne eine synchronisierte OIDC-Gruppe.

Die Protokolle und die Gesamtsituation deuten darauf hin, dass dies ausgelöst wird, wenn ein Benutzer eine einzelne (nicht synchronisierte) OIDC-Gruppe verliert. Das System scheint beabsichtigt, den Benutzer aus der einzelnen Gruppe auszuschließen (die nicht existiert), da es den Gruppennamen der verlorenen Gruppe in seiner Änderungsnotiz verwendet.

Stattdessen werden sie jedoch aus allen nicht synchronisierten Gruppen ausgeschlossen.

Angesichts des Zugriffsverlusts, der dadurch ausgelöst werden kann, betrachte ich dies als einen Bug mit hoher Priorität.

Übrigens, gibt es ein globales Protokoll für Änderungen der Gruppenmitgliedschaft? Das würde die Wiederherstellung deutlich erleichtern, aber ich habe nur das Protokoll pro Gruppe gefunden.

Kannst du mir bitte mitteilen, ob diese Zusammenfassung korrekt ist?

• Vorheriger Zustand:
  • Benutzer bilbo gehört auf Discourse zu den Gruppen A, B und C
  • Die Gruppen B und C sind für eine automatische Mitgliedschaft über die OIDC-Gruppen b bzw. c konfiguriert
  • Die „OpenID Connect groups claim

Ich habe noch keine zweite synchronisierte Gruppe B. Ansonsten ja.