Due discorsi con SSO: evitare la sincronizzazione admin/moderatore

We have two Discourses set up, where one uses SSO against the other one.
However, we do not want to synchronize admin and moderator privs, but they are synced every time a user logs in on the SSO client forum.

sso_overrides_groups has been disabled. It does not seem to work for admin and moderator privileges, when I look at the code those are implemented separately (https://github.com/discourse/discourse/blob/master/app/models/discourse_single_sign_on.rb#L78-L102)

Is this by design, or is this a bug? Does anyone know a way around this?

Any thoughts on this @sam?

We are going to need 2 extra site settings here:

sso_provider_include_groups
sso_provider_include_staff_flags

I think the default is correct though.

È ancora benvenuta una PR per questo, @sam?

Sì, sono a favore dell’aggiunta di qualcosa qui; dovrà chiaramente risiedere sul lato del consumer. Fatico un po’ con la scelta dei nomi, però.

Forse sso_sync_staff, sso_sync_groups? Il problema con sso_sync_groups è che c’è un conflitto di nomi con sso_overrides_groups.

Quindi forse invece possiamo optare per sso_incoming_scopes con un valore predefinito come staff,groups..., così potrai selezionare quali scope in ingresso autorizzare.