Il y a tellement de choses sur ce sujet dans The Impersonated user should be notified that they are being Impersonated. Je suis toujours d’accord avec les conclusions qui y ont été tirées. En bref, c’est une impasse, les administrateurs peuvent tout faire, si vous n’avez pas confiance dans les administrateurs, n’en ayez pas.
Peut-être qu’une autre approche serait d’ajouter une certaine friction à l’usurpation d’identité en :
- ajoutant une fenêtre contextuelle « êtes-vous sûr ? », rappelant que cela sera enregistré et que s’ils veulent simplement tester quelque chose, ils préféreront peut-être créer un utilisateur de test et le supprimer à nouveau une fois terminé. éducation juste à temps, pour ainsi dire.
- envoyer le lien pour usurper l’identité par e-mail (cela aurait l’avantage supplémentaire de pouvoir se connecter dans une fenêtre séparée ?) similaire au téléchargement de sauvegarde
J’aime aussi l’idée d’un paramètre d’administrateur pour désactiver l’usurpation d’identité, désactivé par défaut. N’a même pas besoin d’être un paramètre caché, mais avoir le paramètre, comme la restauration de sauvegarde, réduira le risque que quelqu’un prenne l’habitude d’usurper l’identité d’un autre utilisateur ou le fasse par accident.