Grafana: [Demande de fonctionnalité] Ajouter grafana.ini-settings pour modifier le comportement des invitations autorisées pour tenir compte des environnements d'entreprise

• Je soumets un...
• [ ] Rapport d'erreur
• [x] Demande de fonctionnalité
• [ ] Question / Demande d'assistance : veuillez ne pas ouvrir de problème github. Options d'assistance

..en ce qui concerne le problème #6567, nous avons besoin d'un ou de plusieurs paramètres grafana.ini qui contrôlent si ..

• Les administrateurs d'organisation sont autorisés à inviter des personnes introuvables via les paramètres LDAP (nom d'utilisateur ou attribut d'e-mail dans LDAP).
• Les administrateurs d'organisation sont autorisés à inviter des personnes par une adresse e-mail externe (une adresse e-mail qui ne se trouve pas dans LDAP ou grafana-db local)

Veuillez inclure ces informations :

• Quelle version de Grafana utilisez-vous ?
  v3.1.1 (validation : a4d2708)
• Quelle source de données utilisez-vous ?
  Elasticsearch/InfluxDB
• Sur quel système d'exploitation utilisez-vous grafana ?
  Linux, RHEL 7.2
• Qu'est-ce que tu as fait?
  J'ai invité un utilisateur par une adresse e-mail. Seules les inscriptions LDAP sont autorisées et l'inscription générale des utilisateurs est interdite.
• Quel était le résultat attendu ?
  Je m'attendais à ce que mon invitation soit refusée si je donnais une adresse e-mail, car je n'autorise que les utilisateurs LDAP à s'inscrire et à se connecter. Ainsi, cela autoriserait mon invitation si je donnais un utilisateur LDAP avec ce nom d'utilisateur ou un utilisateur LDAP avec cette adresse e-mail.
• Que s'est-il passé à la place ?
  Il a créé un nouvel utilisateur avec une adresse e-mail en tant que "nom d'utilisateur" dans le grafana-db. Cet utilisateur est un utilisateur local. Ainsi, l'utilisateur pouvait se connecter et faisait alors partie de l'organisation à laquelle il était invité.

Les paramètres correspondants pourraient ressembler à ceci dans grafana.ini - en utilisant une nouvelle section pour le contrôler :

[invites]
enabled = true
allow_by_email = true
allow_external_emails = false
allow_by_username = true
search_db = true
search_ldap = true

Dans cette constellation, ce serait...

• généralement autorisé à inviter quelqu'un.
• autorisé à inviter quelqu'un par une adresse e-mail.
  
  
  
  • grafana examinerait ensuite les utilisateurs existants ayant cette adresse e-mail dans la base de données grafana.
  
  
  • s'il n'est pas déjà trouvé : grafana devra rechercher parmi les utilisateurs existants ayant cette adresse e-mail dans ldap, si la configuration ldap est définie (voir l'attribut email).
  
  
• autorisé à inviter quelqu'un par un nom d'utilisateur.
  
  
  
  • grafana aurait besoin de parcourir les utilisateurs existants ayant ce nom d'utilisateur dans grafana-db
  
  
  • s'il n'est pas déjà trouvé : grafana devra rechercher parmi les utilisateurs existants ayant ce nom d'utilisateur dans ldap, si ldap-configuration est défini (voir l'attribut de nom d'utilisateur)
  
  

Si search_ldap était faux, il n'essaierait pas d'obtenir un utilisateur de LDAP et ne rechercherait que le grafana-db.

S'il n'est même pas trouvé dans grafana-db et que l'invitation donnée était une adresse e-mail, il faudrait que allow_external_emails soit vrai pour envoyer un e-mail au monde extérieur.

Comme première étape du développement, la clé "activée" suffirait un peu. Au comportement actuel, je désactiverais les invitations.