Bajo ciertas condiciones, la sincronización de grupos de OpenID Connect expulsa a los usuarios de todos los grupos de Discourse que no tienen un grupo OIDC sincronizado.
Los registros y la situación general indican que esto se desencadena cuando un usuario pierde un único grupo OIDC (no sincronizado). El sistema aparentemente tiene la intención de expulsar al usuario del único grupo (que no existe), ya que utiliza el nombre del grupo perdido en su nota de cambio.
Sin embargo, en su lugar, los expulsa de todos los grupos no sincronizados.
Considerando la pérdida de acceso que esto puede desencadenar, considero que se trata de un error de prioridad bastante alta.
Por cierto, ¿existe un registro global de cambios en la membresía de grupos? Eso facilitaría mucho la recuperación, pero solo encontré el registro por grupo.
¿Podrías indicarme si este resumen es correcto?
- estado anterior:
- el usuario
bilbo está en los grupos A, B, C en Discourse
- los grupos
B y C están configurados para membresía automática con los grupos OIDC b y c (respectivamente)
- la
reclamación de grupos de OpenID Connect está configurada, por ejemplo, como groups
- acción realizada:
- el usuario
bilbo inicia sesión mediante OIDC
- la reclamación OIDC contiene los grupos
c, d
- (el grupo
D no existe en Discourse)
- Discourse elimina a
bilbo de los grupos A y B
eliminar la membresía del grupo A es incorrecto
Aún no tengo un segundo grupo sincronizado B. De lo contrario, sí.
1 me gusta