Mejores prácticas para migrar usuarios de dominios de correo institucional evitando cuentas duplicadas o de suplantación

Ethsim2 · 12 Junio, 2026 08:41

Administro una comunidad independiente de Discourse en https://physicswithethan.discourse.diy que anteriormente permitía direcciones de correo electrónico institucionales y SSO externo.

Ahora quiero migrar hacia cuentas locales estándar de Discourse utilizando direcciones de correo electrónico personales, y evitar depender del SSO institucional o de dominios de correo electrónico institucionales para los nuevos registros.

El problema que intento gestionar de forma segura es la continuidad de las cuentas y el riesgo de suplantación de identidad:

muchos usuarios existentes tienen una dirección de correo electrónico institucional como su correo principal;
me gustaría que los nuevos usuarios utilizaran direcciones de correo electrónico personales;
quiero evitar que las personas registren cuentas utilizando el nombre de otra persona o una dirección de correo electrónico institucional;
también quiero evitar fusiones de cuentas inseguras o manuales, a menos que haya evidencia clara de que la misma persona controla las cuentas o correos electrónicos relevantes.

¿Cuál es el enfoque recomendado nativo de Discourse para este caso?

Por ejemplo, ¿es el mejor patrón:

volver a habilitar los inicios de sesión locales;
deshabilitar el proveedor de SSO externo;
añadir el dominio institucional a la lista de dominios de correo electrónico bloqueados para nuevos registros;
añadir un aviso en el sitio pidiendo a los usuarios existentes que actualicen su correo principal a una dirección personal;
utilizar la aprobación/revisión manual para cuentas nuevas sospechosas;
fusionar cuentas solo cuando el usuario haya verificado el control de ambas cuentas o direcciones de correo electrónico?

Me interesa especialmente evitar una configuración en la que un usuario pueda desencadenar correos electrónicos hacia la bandeja de entrada institucional de otra persona, o crear una cuenta engañosa con el nombre de otra persona.

¿Existen configuraciones o flujos de trabajo existentes que la comunidad recomiende para este tipo de transición?

pfaffman · 17 Junio, 2026 10:47

¿Te refieres a que tienes SSO con una institución en particular (por ejemplo, whatever.edu) y quieres que las personas dejen de usar esa dirección de correo electrónico?

No hay ninguna manera de desencadenar correos electrónicos a una cuenta institucional (más allá de una solicitud de validación de correo electrónico) en ningún escenario.

¿No es la mejor manera de evitar que las personas se hagan pasar por alguien exigirles que usen su dirección de correo electrónico institucional? No hay nada que impida que cualquiera cree albert.einstein123@gmail.com y parezca que es esa persona.

Ethsim2 · 17 Junio, 2026 13:54

Sí, esa es la tensión que intento gestionar.

Técnicamente, coincido en que una dirección de correo electrónico institucional ofrece una garantía de identidad más sólida que una dirección de correo personal. Mi motivo para alejarme del correo electrónico institucional/SSO no es que el correo personal sea una prueba de identidad mejor, sino que deseo que la comunidad sea claramente independiente y no dependa del sistema de identidad o del dominio de correo electrónico de una institución para el acceso continuo.

Desde mi publicación inicial, he aclarado el estado actual de la transición en el propio sitio:

la página de bienvenida/inicio de sesión ahora indica que Physics with Ethan es independiente y no está afiliada ni avalada por ninguna universidad, escuela o departamento;
también explica que el inicio de sesión utiliza actualmente la verificación de cuentas de trabajo o escuela de Microsoft para el proceso de incorporación;
los usuarios existentes ahora pueden agregar una dirección de correo electrónico personal después de iniciar sesión, a través de Perfil → Preferencias → Correos electrónicos;
también he añadido un texto pidiendo a los usuarios que no se registren utilizando el nombre, la dirección de correo electrónico o la identidad de otra persona.

Así que creo que la posición actual es transicional:

la verificación de Microsoft para trabajo/escuela sigue siendo útil para reducir el riesgo de suplantación de identidad durante la incorporación;
pero me gustaría que los usuarios existentes agreguen direcciones de correo electrónico personales;
y quiero evitar que el correo electrónico institucional/SSO se convierta en una dependencia a largo plazo de la comunidad.

La pregunta práctica sobre Discourse que aún intento responder es:

Para una comunidad que desea pasar del correo electrónico institucional/SSO a cuentas locales y direcciones de correo electrónico personales, ¿es el patrón más seguro mantener la transición como manual/revisada por administradores en lugar de intentar la fusión automática de cuentas?

Por ejemplo:

permitir que los usuarios existentes agreguen un correo electrónico personal mientras están conectados;
mantener la página de bienvenida clara sobre el método de incorporación actual;
desalentar los registros engañosos/suplantación de identidad;
evitar fusiones automáticas de cuentas;
fusionar cuentas solo donde haya evidencia clara de que la misma persona controla las cuentas/correos electrónicos relevantes.

¿Suena eso como la dirección nativa correcta en Discourse?

Tema		Respuestas	Vistas
A community of a no-code tool: SSO vs login via email SSO	8	1552	28 Diciembre 2022
SSO and changing email addresses upstream Support	3	2519	31 Agosto 2018
Change email for SSO user? SSO	34	9828	9 Septiembre 2024
Conflicting email addresses, giving admins more power to resolve issues Support	5	1261	25 Enero 2021
Merge/change accounts after SSO Support	4	2601	15 Abril 2018

Mejores prácticas para migrar usuarios de dominios de correo institucional evitando cuentas duplicadas o de suplantación

Temas relacionados