皆さん、こんにちは。
IDP側でグループ割り当てが変更された場合に、自動的に更新しようとしていました。残念ながら、アサーションはログイン時にのみ送信されるため、ユーザーがログアウトして再度ログインしないと機能しないようです。
目標:
私が達成したいのは、Discourse(またはdiscourse-samlプラグイン)が「アサーションの有効期間」オプションを考慮し、IDPによって設定されたとおりに必要なアサーションを再評価することです。
セットアップ:
私のセットアップは以下のとおりで、現在正常に動作しています。
IDPとしてKeycloakを使用しており、LDAPに接続してグループ割り当てを取得しています。
Discourseは以下の設定で実行されています。
DISCOURSE_SAML_TARGET_URL: https://auth.example.com/realms/example/protocol/saml
DISCOURSE_SAML_SYNC_GROUPS: true
DISCOURSE_SAML_GROUPS_FULLSYNC: true
DISCOURSE_SAML_GROUPS_LDAP_LEAFCN: true
すでに試したこと:
グループを変更し、ユーザーをログアウトして再度ログインすることを試しました。これは手動で期待どおりの結果が得られました。
しかし、Keycloakで「アサーションの有効期間」オプションをオンにしても(下記参照)、Keycloak/Ldapでユーザーのグループが追加/削除された後、ユーザーのグループ割り当てが変更されるようには見えません。
数回繰り返し、グループ割り当てを変更するたびに30分待機しました。
新しいグループの変更が適用されたのは、ユーザーが実際にログオフして再度ログインしたときだけでした。
推測:
discourse-samlプラグイン(https://github.com/discourse/discourse-saml)は、ユーザーがログインした後、アサーションを再確認しないと推測しています。
SAMLプラグインにその機能(アサーションの再評価)を実装することは可能でしょうか?
よろしくお願いいたします。
Bao Le