SSO e embedding

Supporto SSO
1

Abbiamo configurato un’istanza di Discourse con SSO (utilizzando SAML/Shibboleth) e l’abbiamo impostata per consentire l’incorporamento di contenuti su un altro sottodominio che utilizza lo stesso SSO.

Ecco il problema che sto riscontrando:

  1. Un utente visita una pagina sul sottodominio X, che incorpora un argomento da Discourse, ospitato sul sottodominio Y.
  2. L’utente viene reindirizzato al sottodominio Z per l’accesso SSO. Successivamente, viene reindirizzato nuovamente al sottodominio X.
  3. La pagina sul sottodominio X carica il file JavaScript di incorporamento, che crea un iframe tentando di recuperare l’argomento del forum. Tuttavia, Discourse (sottodominio Y) reindirizza l’iframe al sottodominio Z per l’SSO e, poiché l’utente è già loggato, lo reindirizza nuovamente all’URL di incorporamento di Discourse. Questo però genera un errore 400 “Error Embedding”, poiché l’URL di riferimento ora proviene dal sottodominio Z (il sottodominio SSO) invece che dal sottodominio X (il dominio approvato/in lista bianca per l’incorporamento). Discourse restituisce il messaggio: “The referer was either not sent, or did not match any of the following hosts” (Il riferimento non è stato inviato o non corrisponde a nessuno degli host seguenti).
  4. Quando si aggiorna la pagina, tutto funziona perfettamente (ovvero, l’argomento del forum viene caricato correttamente), presumibilmente perché il browser ha ora un cookie di sessione valido, eliminando la necessità di reindirizzare al sottodominio SSO.

C’è qualcosa che posso fare per risolvere il problema in modo definitivo? Al momento ho implementato un workaround davvero pessimo: prima tenta di caricare l’argomento del forum in un iframe nascosto, attende 1 secondo e poi carica effettivamente l’argomento nella pagina reale visibile all’utente.

Qualsiasi aiuto o suggerimento sarebbe molto apprezzato!

2

Dopo aver approfondito un po’ di più, mi chiedo se una soluzione leggermente meno ‘hacky’ potrebbe essere quella di adattare l’approccio descritto da @simon in questo post: Automatically login via SSO - #4 by simon

  1. Abilitare l’impostazione “sso allows all return paths”
  2. Aggiungere un iframe nascosto nella mia pagina, che carica https://discourse.example.com/session/sso?return_path=path_to_mypage.html
  3. Quando l’utente è loggato (senza interazione, dato che l’utente è già loggato tramite SSO nell’app nella pagina genitore) e l’iframe viene reindirizzato a mypage.html, può comunicare alla pagina genitore tramite postMessage() che l’utente è stato loggato su Discourse, e attivare lo script per incorporare l’argomento del forum.

Non sembra ancora la soluzione ideale, poiché genererà round-trip aggiuntivi (il processo sopra è necessario solo se l’utente non è già loggato su Discourse).

A mio avviso, la soluzione ideale sarebbe se fosse possibile in qualche modo preservare l’URL del referer della pagina di incorporamento quando viene reindirizzata tramite SSO.

Modifica: ho implementato il “hack” migliorato descritto sopra in questo post, e posso almeno dire che funziona molto meglio dell’hack originale descritto nell’OP.