Improvement: 各認証プロバイダ向けに新規ユーザーの承認申請・管理者承認フローを可能にするオプションを追加する

[tarumi-neighborhood]

Environment

Host

item	version
OS	CentOS 7.5
GROWI	3.2.0-RC4
node.js	8.1.1.3
npm	5.8.0
Using Docker	no
Using growi-docker-compose	no

(Accessing https://{GROWI_HOST}/admin helps you to fill in above versions)

Client

item	version
OS	windows7
browser	chrome 67.0.3396.62 32bit

How to reproduce? (再現手順)

1. セキュリティ設定でLDAPで新規ユーザを追加できるように設定します。
2. ゲストユーザのアクセス「アカウントを持たないユーザはアクセス不可」、登録の制限「制限（登録完了には管理者の承認が必要）」に設定します。
3. 一般ユーザとしてgrowiにアクセスしLDAP認証を行います。
4. growi管理者の承認を経ずに一般ユーザとして使用できます。

What is the expected result? (期待される動作)

• 登録の制限として「制限（登録完了には管理者の承認が必要）」が設定されているときは、管理者の承認までgrowiに出来ない状態であること

※別の目的でユーザ管理しているLDAP(AD)を使用して認証に使っているため、growi管理者側で使用承認を行いたいという要望です。LDAP認証なしの場合は正しく承認待ちになることは確認済です。

[yuki-takei]

@tarumi-neighborhood ご提案ありがとうございます。

ちょっと話が発散してしまいますが、いくつか観点がありますね…

1. 今までの挙動の再現を可能にする実装

「期待される動作」に書いていただいた

登録の制限として「制限（登録完了には管理者の承認が必要）」が設定されているときは、管理者の承認までgrowiに出来ない状態であること

をそのまま実装すると、今まで可能だった「通常アカウントは承認フローを踏みたいが、LDAPは全面的に信用したい」という場合に対応出来ないですね。

両立させるには、LDAP やその他の Auth Provider ごとに「制限（登録完了には管理者の承認が必要）」を選択できるオプションの実装になりそうです。GROWI 管理者の利便性を考えるとベストだとは思います。

2. LDAP グループを利用した制限案

一方、LDAPグループによるフィルタリングの機能を使うことで、同等の制限はかけられるのではないかと思います。ベストではないかもしれませんが「案」として書いておきます。

1. LDAP 側に GROWI にログイン可能なグループ(or Attribute)を作る
2. GROWI 側で、当該グループ所属ユーザー(or 当該 Attribute を持っているユーザー)のみログイン可能にする設定を行う
3. 本来「使用承認を行いたいgrowi管理者」に、当該グループの管理権限を付与する

という流れです。こちらは追加実装無しで実現可能です。

いかがでしょうか。

[tarumi-neighborhood]

提案ありがとうございます。

残念ながら、LDAPが別会社の管理且つポリシー策定にかかわれない、
またLDAPでは属性やグループの管理を全く行わないポリシーであるために、全く権限・職能別の属性とかも管理されていない＆触ることのできない状態で、単一の権限、属性しかありません。

なのでオプションで実装いただけるととても助かります。

LDAPではなくGROWI内の所属グループで制限することも考えましたが、
こちらは他の方が要望されてた所属グループ別に検索結果が得られないという問題に行き当たります。

[yuki-takei]

ご事情、把握いたしました。
一旦ラベルだけつけて…優先度は今のところ高くできないです…すみません。折を見て実装という感じで。

[tarumi-neighborhood]

分かりました。よろしくお願いします。
周辺環境による他の手を色々考えてみます。