Всем привет,
Я пытался автоматически обновлять групповые назначения, если они меняются на стороне IDP. К сожалению, это работает только в том случае, если пользователь выходит из системы и входит снова, поскольку, насколько я понял, утверждения передаются только при входе в систему.
Цель:
Я хотел бы добиться того, чтобы Discourse (или плагин discourse-saml) учитывал опцию «Время жизни утверждения» (Assertion Lifespan) и повторно оценивал утверждения по мере необходимости/в соответствии с настройками IDP.
Настройка:
Моя текущая настройка работает следующим образом.
Я использую Keycloak в качестве IDP, который подключен к LDAP, откуда он извлекает групповые назначения.
Discourse работает со следующими настройками:
DISCOURSE_SAML_TARGET_URL: https://auth.example.com/realms/example/protocol/saml
DISCOURSE_SAML_SYNC_GROUPS: true
DISCOURSE_SAML_GROUPS_FULLSYNC: true
DISCOURSE_SAML_GROUPS_LDAP_LEAFCN: true
Что уже было尝试ено:
Я уже пробовал менять группы и выходить из системы, а затем входить снова. Это работает вручную с желаемым результатом.
Однако включение опции «Время жизни утверждения» (Assertion Lifespan) в Keycloak (см. ниже) не меняет групповое назначение пользователя после добавления/удаления группы для пользователя в Keycloak/LDAP.
Я повторял это несколько раз, ожидая по полчаса каждый раз после изменения группового назначения пользователя.
Единственный раз, когда новое изменение группы применялось, было когда пользователь действительно выходил из системы и входил снова.
Предположение:
Я предполагаю, что плагин discourse-saml (GitHub - discourse/discourse-saml: Support for SAML in Discourse · GitHub) не проверяет утверждение повторно после входа пользователя в систему.
Возможно ли реализовать эту функцию для плагина SAML?
Спасибо большое
Бао Ле