Группы SSO без полного переопределения

sok777 · 11.Октябрь.2020 13:33:24

Есть ли способ использовать группы через SSO без перезаписи всех существующих групп?
Например, я хочу передавать два типа групп членства с моего внешнего сайта — скажем, group_a и group_b.
Однако я не хочу, чтобы пользователи теряли свою текущую группу trust_level, и кроме того, у некоторых пользователей есть свои собственные группы, которые дают им доступ к закрытой категории.

Судя по сообщениям на форуме и документации, выбор групп SSO приводит к перезаписи и удалению пользователей из всех существующих групп, если только SSO не передаёт их текущие группы. Это проблема, так как мне придётся вручную обновлять текущую группу каждого пользователя в базе данных внешнего сайта.

Не упустил ли я что-то?
Большое спасибо, ребята.

Falco · 11.Октябрь.2020 18:41:36

Параметры add и remove делают именно то, что вам нужно.

sok777 · 11.Октябрь.2020 20:27:41

Спасибо! То есть использование add_groups НЕ перезапишет и не удалит пользователей из текущих групп? И я всё ещё смогу вручную создавать и разрешать группы?

mattdm · 08.Январь.2021 19:53:07

Если это используется, и пользователь удалён из группы на стороне SSO, но не добавлен в remove_groups, он останется участником на сайте Discourse, верно?

Falco · 08.Январь.2021 19:56:51

Что именно вы имеете в виду под «этим» — groups или отдельные add_groups и remove_groups?

Какие именно параметры и конечную точку вы вызываете?

mattdm · 08.Январь.2021 19:59:16

Отдельные. Я пока ничего не делаю, просто пытаюсь понять.

Falco · 08.Январь.2021 20:10:06

Итак, SSO обычно происходит в процессе входа в систему.

Все параметры groups, add_groups и remove_groups являются необязательными и относятся к членству в группах.

Это не имеет никакого отношения к наличию валидного пользователя на сайте. Если только вы не установите так, чтобы все категории сайта были доступны для чтения только членам определенных групп.

mattdm · 08.Январь.2021 20:23:30

Извините, давайте переформулирую. Допустим, у нас в SSO есть 1200 групп. Если мы хотим синхронизировать членство в группах без использования sso overrides groups, и пользователь состоит в трёх группах, то эти три группы нужно указать в add_groups, а остальные 1197 — в remove_groups (на случай, если пользователь ранее состоял в одной из этих 1197 групп и был удалён из неё)?

Falco · 08.Январь.2021 20:31:11

В вашем случае, при условии, что в экземпляре Discourse нет других ручных групп, вам следует включить настройку сайта sso overrides groups и передать три группы, в которые пользователь в настоящее время входит, в параметре groups полезной нагрузки SSO.

При входе в систему мы обеспечим, чтобы пользователь состоял в этих трёх группах и не состоял ни в одной другой ручной группе.

mattdm · 08.Январь.2021 20:33:56

Ладно, это подводит меня к этому вопросу: What happens to trust level and staff groups when using sso overrides groups?

Тема		Ответов	Просм.
SSO groups not added to User SSO	3	1557	30.04.2020
What happens to trust level and staff groups when using sso overrides groups? Support	5	548	08.01.2021
Updating SSO documentation SSO	8	3856	03.09.2019
Does `sso overrides groups` work with Oauth2? SSO	13	2582	19.11.2021
SSO and Restricted Groups SSO	2	2960	01.03.2017

Группы SSO без полного переопределения

Связанные темы