Cuando un nuevo usuario se une a través de un enlace de invitación, me encuentro con que también necesito aprobar al usuario en este momento.
Esto anula el propósito de una invitación; bien podría simplemente enviarles el enlace al foro.
Lo he probado en diversas situaciones (enlace nuevo, enlace antiguo, una persona, varias) en más de una instancia, y es lo mismo.
Tengo /admin/site_settings/category/all_results?filter=must_approve_users en TRUE para estas instancias. ¡Parece que lo está tomando demasiado literalmente! Quiero solo necesitar aprobar a aquellos que se unen sin una invitación, que es como solían funcionar las cosas.
Pensé que una invitación del personal era una aprobación explícita, ¡especialmente si incluye la dirección de correo electrónico del usuario!
Con una invitación abierta, por supuesto, hay muchas oportunidades para abusar del enlace. Pero el miembro del personal tiene que configurar deliberadamente el enlace para permitir eso, y puede asumir la responsabilidad (y limitar) ese riesgo con bastante facilidad.
También significa que las personas que descubren mi sitio no pueden unirse a él y son excluidas a menos que puedan encontrar a alguien que las invite. Eso apesta.
Sugerencia
¿Qué tal añadir dos opciones a /admin/site_settings/category/all_results?filter=must_approve_users?
El personal debe aprobar a TODOS los usuarios
A menos que sean invitados por el personal, los usuarios deben ser aprobados
Solo los registros públicos requieren aprobación del personal
Encantado de añadir esto al cubo de solicitudes de funciones, lamentablemente no tenemos ancho de banda para trabajar en fidelidad adicional aquí en este momento.
Lo fue, sin embargo, el comportamiento se cambió hace aproximadamente un mes:
Tenemos una instancia utilizada por una organización benéfica/sindicato para la capacitación de habilidades que se ha visto afectada de manera similar.
Antes del cambio, el personal invitaba a los usuarios a omitir la aprobación, ahora tienen que hacer ambas cosas. Con la necesidad de volver atrás y verificar cada aprobación frente a las listas de miembros, esto ha aumentado sustancialmente su carga administrativa.
Sí… supongo que la solución a largo plazo es agregar una configuración del sitio que permita el modo de aprobación relajada, supongo, opt-in.
Sin embargo, me preocupa porque lograr la seguridad aquí es muy, muy difícil. Cuantos más casos extremos permitamos, mayor será la complejidad y las posibles fallas de seguridad.
Me pregunto si el caso límite principal es simplemente permitir que la configuración de usuario que debe aprobar sea anulada si la invitación contiene una dirección de correo electrónico específica, y mantener la configuración de usuario que debe aprobar para los enlaces de invitación anónimos, pero puede ser más complejo en el backend de lo que imagino.
Esto tiene sentido para mí, especialmente si la invitación era a una dirección de correo electrónico específica Y se envió por parte del personal. No imagino que se necesite un segundo nivel de aprobación en ese escenario.
¿Qué tal si permitimos que solo los administradores establezcan una marca “aprobar automáticamente” y, opcionalmente, la limiten a “correo electrónico sin cambios” o “restringido a uno” o algo similar? En mi caso, incluso estaría contento con un invitador de línea de comandos que pueda crear esas invitaciones especiales preaprobadas, ¿hay algo así disponible?
Como una solución provisional mediocre, he hecho lo que sugirió Sam:
He repartido generosamente una invitación a nuestro foro, y eso funciona bien.
El problema son los “visitantes ocasionales” que tropiezan con el sitio a través de una búsqueda en Google o similar. Tienen que enviar un correo electrónico para obtener un enlace de unión, lo cual es una gran molestia para el administrador.
La sugerencia de Arman es bastante simple y no creo que sea demasiado difícil de implementar (o que tenga fugas):
Por el momento, este simplemente no es el caso si must_approve_users es TRUE:
Cada vez que tenemos un grupo de personas para invitar, o aceptamos mucha fricción (el paso de aprobación) o tenemos que reconfigurar el sitio temporalmente (y cerrarlo a registros públicos), lo cual es bastante doloroso.
Hola, me gustaría solicitar también que haya una función para que las invitaciones del personal omitan el paso de aprobación, quizás mediante un booleano opcional en el diálogo de generación de invitaciones.
Actualmente, el “Comparte este enlace para otorgar acceso instantáneo al sitio” simplemente no es cierto en absoluto para los sitios que tienen must_approve_users.
Para recapitular, esta solicitud es para que el personal de un sitio con must_approve_users pueda crear un enlace de invitación que omita el paso de aprobación. Aunque el sitio que administro requiere aprobación, a veces nos gustaría poder “pre-aprobar” a los usuarios a través de un enlace de invitación que sabemos que se compartirá de forma privada a personas de confianza, o cuando compartimos el enlace en un evento físico relacionado con la comunidad del foro. (No conocemos necesariamente las direcciones de correo electrónico preferidas de dichos invitados, por lo que no podemos usar una invitación masiva).
Con nuestros sitios must_approve_users (algo) grandes, esto sigue siendo un verdadero fastidio cada vez que organizamos un evento físico.
El problema es que no podemos simplemente dar a la gente un bonito código QR, una invitación o un enlace para acceder directamente a nuestra instancia. Al menos no sin un feo trabajo provisional.
El trabajo provisional y sus problemas
Desactivar must_approve_users y hacer que el sitio sea invite_only (solo por invitación) no es realmente satisfactorio porque:
Mucha gente parece estropear cualquier proceso de invitación e intenta entrar por la ‘puerta principal’ (ahora cerrada).
El entusiasmo creado por el evento generalmente se extiende también a los no invitados, ¡pero ellos tampoco pueden solicitar unirse!
El estado actual desde el cambio definitivamente ha hecho las cosas mucho más difíciles. La organización benéfica de capacitación de habilidades con la que trabajé y que se vio más afectada optó por cerrar su comunidad varias semanas después.
Es demasiado trabajo administrativo adicional cuando tienes cientos de personas entrando y saliendo cada semana.
Gracias por volver a plantear esto. Creo que aquí estamos en la regla de tres de que se necesita alguna solución para que la invitación sea más fácil y fluida. El sistema de invitación ha demostrado ser complicado de cambiar porque todo el mundo parece usarlo de manera diferente. Querremos tener directrices claras e intentar evitar romper su flujo de trabajo.
Consultaré con el equipo y veré qué podemos hacer.
Nuestra preocupación es que los sitios se pueden configurar de muchas maneras diferentes y luego esperar que el sistema de invitación funcione de diferentes maneras. La seguridad es una preocupación muy real. Por lo tanto, seremos cautelosos al realizar más cambios en el sistema de invitación.
Mi opinión personal es que el siguiente enfoque sería el mejor, porque no depende de una configuración de administrador y hace que el comportamiento sea cristalino directamente en el modal de invitación. Sería difícil incluso para alguien completamente nuevo en Discourse crear y compartir accidentalmente un enlace de invitación que haga algo que no esperan. ¿Qué opinan todos?
Cuando la configuración de administrador debe aprobar usuarios está habilitada
Se muestra un interruptor al personal en el modal de invitación para crear una invitación que omite el requisito de aprobación. Por ejemplo, [ ] No requerir aprobación del personal
Las invitaciones canjeadas cuando se selecciona el interruptor en (2) permiten al usuario ingresar al sitio sin requerir aprobación.
La suposición es que solo el personal debe tener acceso a este interruptor, porque la intención de la configuración de debe aprobar usuarios es dar al personal control sobre quién puede unirse a la comunidad.
Si hay suficiente demanda, podríamos considerar más adelante agregar una configuración de administrador para determinar quién tiene acceso a esta función por grupo.
Sam llegó a referirse al cambio como sorprendentemente complejo. No dudo de él.
El esfuerzo agregado del cambio original y esto será obviamente mayor que si se hubiera considerado desde el principio. Establecimos en ese momento que, si bien una comunidad encontraba objetable la configuración predeterminada actual, había varias comunidades que dependían de este comportamiento. Por ejemplo, para que la unión que abandonó su sitio de capacitación de habilidades basado en Discourse no tomara la decisión a la ligera, pero les resultó poco práctico continuar una vez que los aprendices invitados por el personal se perdieron en el grupo general de aprobación.
Si el problema aquí fue la falta de una comprensión explícita, entonces probablemente necesite haber un paso intermedio entre debe aprobar usuarios y el modal de invitación que ofrezca la opción de que las invitaciones del personal eludan la aprobación, de lo contrario, la queja original que condujo a este cambio aún podría surgir.
Así que más bien:
Cuando la configuración de administrador debe aprobar usuarios esté habilitada y un nuevo las invitaciones del personal eluden la aprobación cambie de su valor predeterminado de nunca:
Si siempre, entonces el comportamiento anterior surtirá efecto.
Si opcional, entonces se mostrará el interruptor en el modal para dar la opción de eludir la aprobación posterior.
Sin el intermedio, los administradores no son plenamente conscientes de las implicaciones de la aprobación obligatoria, y un poco de granularidad resolverá el otro problema al olvidar usar el interruptor.
Creo que funcionaría muy bien (quizás también con el ajuste de @Stephen), y me encanta que sea un enfoque centrado en las personas que no debería romper nada, ya que dejaría intacta la maquinaria predeterminada.
Sin embargo, un caso extremo de suma importancia para mí serían las invitaciones automáticas por correo electrónico relacionadas con invitaciones de grupo. Esto permite que las personas se agreguen a un grupo O se les envíe una invitación dependiendo de si ya están registradas a través de un solo acto administrativo. Personalmente, también necesitaría que esto se cubriera de alguna manera.
