La discussion Moderators should not see emails in SSO section - #13 by techAPJ a-t-elle été rétablie ? Il semble que les modérateurs puissent à nouveau voir le payload (qui contient l’adresse e-mail).
Je ne suis pas sûr, @techAPJ, peux-tu jeter un coup d’œil quand tu reviendras ?
Je ne parviens pas à reproduire ce problème avec la dernière version de Discourse.
Notez que les modérateurs verront le payload SSO, mais ce payload ne contiendra pas external_email.
Est-il possible de restreindre la visibilité de toute la section SSO pour les modérateurs ?
Je viens de passer à la version bêta 3 et d’exécuter un test. Le compte ne disposait que du rôle de modérateur, mais le dernier payload incluait l’adresse e-mail, même avec l’option « Les modérateurs peuvent voir les e-mails » désactivée.
email=
external_id=
name=
nonce=
username=
J’ai remarqué que vous mentionniez external_email, mais dans notre payload, c’est « email » et non « external_email ». Peut-être est-ce la raison ? Est-ce quelque chose que nous devons corriger de notre côté ?
Pour compléter, je pense avoir utilisé ce post lors de la création de notre processus SSO : Discourse SSO and API Helper for PHP. Il utilise « email » comme l’un des paramètres, et non « external_email ».
Qu’en pensez-vous ? ^^
Parlez-vous de la page /admin/users/{id}/{username} ou d’un autre endroit ?
Non, lorsque l’enregistrement SSO est créé, le champ external_email est enregistré conformément à :
En référence à :
email=
external_id=
name=
nonce=
username=
Où voyez-vous ce payload dans Discourse ? Comme vous pouvez le constater ci-dessus, l’email est enregistré sous le nom external_email, le nom sous external_name, etc.
Aha, je vois que le payload est visible pour les modérateurs. J’ai masqué le payload SSO pour les modérateurs via :
Nous discutons également de savoir si le payload devrait être accessible via un clic de bouton pour les administrateurs (comme nous le faisons pour les e-mails).
Merci pour ce rapport excellent @anon60302432, et pour votre suivi persistant. 