参加者・日時
- futa-a, yuki, ryoji-s
- 2023/04/25 19:00 ~ 20:00
目的
LDAP グループ同期実装について認識合わせができ、ストーリー作成と実装に着手できる
たたき台
解決したい issue
- https://github.com/weseek/growi/issues/491 external_link
- LDAP グループと GROIW グループの同期
実装案
-
GROWI 管理画面に External Group 管理用の項目を追加する。
/admin/user-groups/external-groups(User Management/admin/users/external-accountsみたく?) -
GROWI は子グループに属するメンバーは自動的に親グループにも属する仕様。LDAP グループを取得した際に、その仕様で問題がないか、どのような同期ルールにするか精査する必要がある。
-
手動同期
- 同期の単位:
- 同期のタイミング: 「同期」ボタンを押したら
-
自動同期
- 同期の単位:
- 同期のタイミング: ログインチェック時?
-
SAML, OIDC 経由のLDAPグループについて
- keycloak 経由の saml
- keycloak の設定で LDAPサーバーから group を取得し saml を経由する
- GROWIはsamlしか見えずLDAPを知らない
- A. SAML OICD でログインしたときにLDAPの木構造を追加できるか?
- B. 同期のタイミングはログインのタイミングでなくても構わないので、あとから LDAP サーバーに聞きに行ける。SAML, OICD 経由だろうが新しい LDAP 経由を作られるのか. ただ、GROWI へ LDAP を公開したくない. あくまでも Keycloak から LDAPに聞きに行く
- B'. GROWI と LDAP の通信を発生させる
- A は keycloak 設定を指定する必要がある
- ユーザーへの設定指示が発生する
-
Keyclock でグループの入れ子構造を実現できるか
- できなければ attr でどうにかする
議事録メモ
-
GROWI のグループ設計は LDAP グループとの同期はできるはず. (yuki)
-
keycloak のキャッチアップから必要 壁打ち相手は欲しい
- dev-grantへ招待する (yuki)
-
A,B,B'案の優先度は?
- A or B なら望ましい。B' はできれば避けたい (yuki)
-
issue の複数グループ実装については?
- とりあえずは外部グループとの同期機能を優先したい (yuki)
Next Action
- 話した内容をこのページに記載する (futa-a)
- 壁打ち相手に伝える機会を設ける (ryoji-s)