Existe alguma maneira de usar grupos via SSO sem substituir todos os grupos existentes?
Por exemplo, quero passar dois tipos de grupos de associação do meu site externo — digamos, group_a e group_b.
No entanto, não quero que os usuários perdam seu grupo atual de trust_level e, além disso, alguns usuários têm seus próprios grupos, o que lhes permite acessar uma categoria privada.
Ao ler posts no fórum aqui e o manual, parece que selecionar os grupos do SSO irá substituir e remover os usuários de todos os grupos existentes, a menos que o SSO também passe seus grupos atuais. Isso é um problema, pois significa que terei que atualizar manualmente o grupo atual de cada usuário no banco de dados do site externo.
Estou perdendo algo aqui?
Muito obrigado, pessoal.
Obrigado! Então, usar o add_groups NÃO substituiria nem removeria os usuários dos grupos atuais? E eu ainda poderia criar e permitir grupos manualmente?
Se isso for usado e um usuário for removido do grupo no lado do SSO, mas não for adicionado ao remove_groups, ele permanecerá como membro no site do Discourse, certo?
Portanto, o SSO geralmente ocorre durante o fluxo de login.
Todos os parâmetros groups, add_groups e remove_groups são opcionais e tratam da associação a grupos.
Isso não tem nada a ver com ter um usuário válido no site. A menos que você configure todas as categorias do site para serem legíveis apenas por membros de grupos específicos.
Desculpe, deixe-me reformular. Digamos que tenhamos 1200 grupos no nosso SSO. Se quisermos sincronizar a associação a esses grupos sem usar sso overrides groups, se alguém for membro de três grupos, esses três grupos precisariam ser listados em add_groups e os outros 1197 em remove_groups (apenas para o caso de a pessoa já ter estado em um desses 1197 e tenha sido removida)?
No seu caso, e assumindo que você não tenha outros grupos manuais na instância do Discourse, você deve habilitar a configuração do site sso overrides groups e passar os 3 grupos dos quais o usuário é atualmente membro no parâmetro groups do payload do SSO.
No login, garantiremos que o usuário seja membro desses 3 grupos e não seja membro de nenhum outro grupo manual.
