أدير مجتمع Discourse مستقلًا على الرابط https://physicswithethan.discourse.diy، كان يسمح سابقًا باستخدام عناوين البريد الإلكتروني المؤسسية والمصادقة الخارجية الموحدة (SSO).
أرغب الآن في الانتقال إلى استخدام حسابات Discourse المحلية العادية المعتمدة على عناوين البريد الإلكتروني الشخصية، وتجنب الاعتماد على المصادقة الموحدة المؤسسية أو النطاقات البريدية المؤسسية للتسجيلات الجديدة.
المشكلة التي أحاول التعامل معها بأمان هي استمرارية الحسابات وتجنب مخاطر انتحال الهوية:
العديد من المستخدمين الحاليين لديهم عنوان بريد إلكتروني مؤسسي كعنوان بريدهم الأساسي؛
أود أن يستخدم المستخدمون الجدد عناوين البريد الإلكتروني الشخصية بدلاً من ذلك؛
أريد تجنب تسجيل الأشخاص لحسابات بأسماء أشخاص آخرين أو باستخدام عناوين البريد الإلكتروني المؤسسية لهم؛
كما أريد تجنب دمج الحسابات بشكل غير آمن أو يدويًا إلا إذا كان هناك دليل واضح على أن الشخص نفسه يتحكم في الحسابات/العناوين البريدية ذات الصلة.
ما هو النهج الموصى به الأصلي في Discourse لهذه الحالة؟
على سبيل المثال، هل النمط الأفضل هو:
إعادة تمكين تسجيل الدخول المحلي؛
تعطيل مزود المصادقة الخارجية الموحدة (SSO)؛
إضافة النطاق المؤسسي إلى قائمة النطاقات البريدية المحظورة للتسجيلات الجديدة؛
إضافة إشعار موقع يطلب من المستخدمين الحاليين تحديث بريدهم الأساسي إلى عنوان شخصي؛
استخدام الموافقة اليدوية/المراجعة للحسابات الجديدة المشبوهة؛
دمج الحسابات فقط عندما يثبت المستخدم التحكم في كل من الحسابين أو العناوين البريدية؟
أنا مهتم بشكل خاص بتجنب إعداد يسمح للمستخدم بإرسال رسائل بريد إلكتروني إلى صندوق بريد مؤسسي لشخص آخر، أو إنشاء حساب مضلل باسم شخص آخر.
هل توجد إعدادات أو سير عمل موجودة يوصي بها الناس لهذا النوع من الانتقال؟
هل تقصد أن لديك مصادقة موحدة (SSO) مع مؤسسة معينة (مثل whatever.edu) وتريد منع الأشخاص من استخدام عنوان البريد الإلكتروني هذا؟
لا توجد أي طريقة لإرسال رسائل بريد إلكتروني إلى حساب مؤسسي (باستثناء طلب التحقق عبر البريد الإلكتروني) في أي سيناريو.
أليس أفضل طريقة لمنع انتحال شخصية شخص ما هي إلزامهم باستخدام عنوان بريدهم المؤسسي؟ لا يوجد ما يمنع أي شخص من إنشاء عنوان مثل albert.einstein123@gmail.com والظهور كما لو كانوا ذلك الشخص.
فنيًا، أوافق على أن عنوان البريد الإلكتروني المؤسسي يوفر ضمانًا أقوى للهوية من عنوان البريد الإلكتروني الشخصي. والسبب وراء ابتعادي عن البريد الإلكتروني المؤسسي/تسجيل الدخول الموحد (SSO) ليس أن البريد الإلكتروني الشخصي دليل أفضل على الهوية، بل لأنني أريد أن تكون المجتمع مستقلًا بوضوح ولا تعتمد على نظام هوية المؤسسة أو نطاق بريدها الإلكتروني للوصول المستمر.
منذ منشوري الافتتاحي، قمت بتوضيح حالة الانتقال الحالية على الموقع نفسه:
الآن تنص صفحة الترحيب/تسجيل الدخول على أن “الفيزياء مع إيثان” كيان مستقل ولا يتبع أو يدعمه أي جامعة أو مدرسة أو قسم؛
كما يوضح أن تسجيل الدخول حاليًا يستخدم التحقق من حساب العمل أو المدرسة عبر مايكروسوفت (Microsoft) للتسجيل الأولي؛
يمكن للمستخدمين الحاليين الآن إضافة عنوان بريد إلكتروني شخصي بعد تسجيل الدخول، عبر الملف الشخصي → التفضيلات → عناوين البريد الإلكتروني؛
كما أضفت نصًا يطلب من المستخدمين عدم التسجيل باستخدام اسم شخص آخر أو عنوان بريد إلكتروني أو هوية مزيفة.
لذا أعتقد أن الموقف الحالي هو موقف انتقالي:
لا يزال التحقق من حسابات العمل/المدرسة عبر مايكروسوفت مفيدًا في تقليل خطر انتحال الهوية أثناء التسجيل الأولي؛
لكنني أريد من المستخدمين الحاليين إضافة عناوين بريد إلكتروني شخصية؛
وأريد تجنب جعل البريد الإلكتروني المؤسسي/تسجيل الدخول الموحد اعتمادًا طويل الأمد للمجتمع.
السؤال العملي الخاص بـ Discourse الذي أحاول الإجابة عليه لا يزال:
بالنسبة لمجتمع يريد الانتقال من البريد الإلكتروني المؤسسي/تسجيل الدخول الموحد نحو الحسابات المحلية وعناوين البريد الإلكتروني الشخصية، هل النمط الأكثر أمانًا هو إبقاء العملية يدوية/بمراجعة المشرف بدلاً من محاولة دمج الحسابات تلقائيًا؟
على سبيل المثال:
السماح للمستخدمين الحاليين بإضافة بريد إلكتروني شخصي أثناء تسجيل الدخول؛
إبقاء صفحة الترحيب واضحة بشأن طريقة التسجيل الأولي الحالية؛
تثبيط التسجيلات المضللة أو انتحال الهوية؛
تجنب دمج الحسابات تلقائيًا؛
دمج الحسابات فقط في حال وجود أدلة واضحة على أن الشخص نفسه يتحكم في الحسابات/العناوين ذات الصلة.
هل يبدو ذلك هو الاتجاه الصحيح المتوافق مع Discourse؟