特定の条件下では、OpenID Connect グループ同期が、同期された OIDC グループを持たないユーザーをすべての Discourse グループから退出させるバグが発生します。
ログや全体的な状況から、この問題はユーザーが単一の(同期されていない)OIDC グループを失った際にトリガーされることが示されています。システムは、変更ノートに失われたグループの名前を使用していることから、存在しない単一のグループからユーザーを退出させようとしているようです。しかし、実際には同期されていないすべてのグループからユーザーを退出させてしまいます。
このバグがアクセス権の喪失を引き起こす可能性を考慮すると、これは非常に優先度の高いバグであると判断します。
ちなみに、グループメンバーシップの変更に関するグローバルなログはありますか?それがあれば復旧がはるかに簡単になるのですが、グループごとのログしか見当たりませんでした。
この要約が正しいかどうか教えていただけますか?
bilbo は Discourse でグループ A、B、C に所属していますB と C は、それぞれ OIDC グループ b と c による自動メンバーシップ用に設定されていますOpenID Connect groups claim は、例えば groups に設定されていますbilbo が OIDC を通じてログインしましたc と d が含まれていますD は Discourse には存在しません)bilbo をグループ A と B から削除しました
グループ A のメンバーシップを削除するのは誤りですまだ同期されたグループ B はありません。それ以外ははい。