La página del plugin de autenticación SAML aquí indica que “la autenticación SAML está disponible en los planes de alojamiento Enterprise”.
¿Esto significa que no podría usar la autenticación SAML en mi versión gratuita autoalojada de Discourse? Idealmente, querría usar la autenticación de Azure AD para mi instancia de Discourse.
Puedes usarlo. El plugin está disponible en GitHub - discourse/discourse-saml: Support for SAML in Discourse · GitHub.
Ese mensaje hace referencia a nuestro alojamiento. Significa que no puedes usar el plugin SAML en nuestros planes estándar o empresarial.
Dicho esto, no deberías necesitar SAML para Azure-AD. Consulta Discourse OpenID Connect (OIDC) para una configuración mucho más sencilla. Al final hay notas específicas para Azure-AD.
¿Entonces todos los plugins listados en el Directorio de Plugins se pueden usar en mi instancia gratuita de Discourse autohospedada?
¡Absolutamente! Y hay muchos más complementos #oficiales de los que aparecen en el sitio web, y puedes usarlos libremente. Asegúrate de consultar también #theme-component.
Gracias nuevamente por la información adicional.
El objetivo es que mis usuarios internos utilicen Azure AD para la autenticación y el registro, mientras que los usuarios externos puedan registrarse mediante una cuenta local u otros plugins de registro de cuentas. Por eso, SAML fue mi primera opción.
¿Podría limitar el plugin de autenticación OpenID Connect a Azure AD y restringirlo únicamente a los usuarios internos?
OpenID Connect, al igual que SAML, son “proveedores de autenticación”. Al configurar uno en tu sitio, los usuarios podrán elegir, por defecto, entre el inicio de sesión local o un proveedor de autenticación. Meta es un buen ejemplo: tienes la opción de iniciar sesión localmente, o mediante Facebook, Google, GitHub, etc.
En tu caso, los usuarios tendrán la opción entre local y OpenID, o entre local y SAML. Puedes elegir la que prefieras y que sea más fácil de configurar para tu entorno.
Puedes hacer esto con cualquiera de los dos complementos, ya que quién puede iniciar sesión lo manejará Azure AD, no el complemento que uses para conectarte a Azure.
¿Sería posible ocultarlo a los usuarios externos? No querría que nuestros clientes intenten iniciar sesión pensando que pueden hacerlo con Azure AD.
¿Qué tal una página de inicio de sesión/registro separada, conocida solo por los usuarios internos, donde la autenticación de Azure AD sea la única opción?
Puedes ocultar el enlace de inicio de sesión mediante CSS, de modo que ningún usuario lo vea. Luego, puedes compartir (o publicar en un sitio interno) un enlace directo al inicio de sesión con OpenID o SAML para tus usuarios internos. Como los usuarios no han iniciado sesión cuando acceden a la página de inicio de sesión, no hay forma de saber si son internos o no.
También puedes cambiar la etiqueta del botón para intentar evitar confusiones. Por ejemplo, en la imagen de abajo etiquetamos el botón para “usuarios internos” como “Personal de Discourse”. Si alguien que no es personal de Discourse intenta usarlo, que así sea:
Joshua: Agradezco sinceramente tu ayuda rápida y detallada.
¡Muchas gracias y cuídate!
