SSO e incrustación

Soporte SSO
1

Tenemos una instancia de Discourse configurada con SSO (usando SAML/Shibboleth) y la he configurado para permitir la incrustación de contenido en otro subdominio que también utiliza el mismo SSO.

Aquí está el problema que estoy experimentando:

  1. Un usuario visita una página en el subdominio X, que incrusta un tema de Discourse, alojado en el subdominio Y.
  2. El usuario es redirigido al subdominio Z para iniciar sesión mediante SSO. Luego es redirigido de nuevo al subdominio X.
  3. La página en el subdominio X carga el archivo JavaScript de incrustación, que crea un iframe que intenta cargar el tema del foro. Sin embargo, Discourse (subdominio Y) redirige el iframe al subdominio Z para el SSO y, como el usuario ya ha iniciado sesión, lo redirige de nuevo a la URL de incrustación de Discourse. Pero esto resulta en un error 400 “Error al incrustar”, ya que la URL de referencia ahora proviene del subdominio Z (el subdominio del SSO) en lugar del subdominio X (el dominio aprobado/bienalado para la incrustación). Discourse devuelve el mensaje “La referencia no se envió o no coincide con ninguno de los siguientes hosts”.
  4. Al actualizar la página, todo funciona perfectamente (es decir, el tema del foro se carga correctamente), presumiblemente porque el navegador ahora tiene una cookie de sesión válida, lo que elimina la necesidad de redirigir al subdominio del SSO.

¿Hay algo que pueda hacer para solucionarlo correctamente? Por ahora tengo un hack realmente terrible configurado, que primero intenta cargar el tema del foro en un iframe oculto y luego espera 1 segundo antes de cargar realmente el tema en la página real visible para el usuario.

¡Cualquier ayuda o sugerencia será apreciada!

2

Después de investigar un poco más, me pregunto si una solución ligeramente menos ‘parcheada’ sería adaptar el enfoque descrito por @simon en este post: Automatically login via SSO - #4 by simon

  1. Habilitar la configuración “sso permite todas las rutas de retorno”.
  2. Agregar un iframe oculto en mi página que cargue https://discourse.example.com/session/sso?return_path=path_to_mypage.html.
  3. Cuando el usuario haya iniciado sesión (sin interacción, ya que el usuario ya se ha autenticado vía SSO en la aplicación de la página principal) y el iframe sea redirigido a mypage.html, podrá comunicarse con la página principal mediante postMessage() para indicar que el usuario ha iniciado sesión en Discourse y activar el script para incrustar el tema del foro.

Aún no parece ser la solución ideal, ya que generará viajes de ida y vuelta adicionales (el proceso anterior solo es realmente necesario si el usuario aún no ha iniciado sesión en Discourse).

Parece que la solución ideal sería si fuera posible de alguna manera preservar la URL del referer de la página incrustante cuando esta sea redirigida a través de SSO.

Edición: Implementé el “parche” mejorado descrito en el post anterior y, al menos, puedo decir que funciona mucho mejor que el parche original que describí en el OP.