Lorsqu’un nouvel utilisateur rejoint via un lien d’invitation, je constate que je dois également approuver l’utilisateur pour le moment.
Cela va à l’encontre de l’objectif d’une invitation ; autant leur envoyer le lien du forum.
J’ai essayé cela dans diverses situations (nouveau lien, ancien lien, une personne, plusieurs) sur plus d’une instance, et c’est la même chose.
J’ai mis /admin/site_settings/category/all_results?filter=must_approve_users sur TRUE pour ces instances. Cela semble le prendre un peu trop littéralement ! Je veux seulement avoir à approuver ceux qui rejoignent sans invitation, ce qui est la façon dont les choses fonctionnaient auparavant.
Si vous définissez must approve users (doit approuver les utilisateurs), vous avez explicitement choisi que chaque utilisateur doit être explicitement approuvé.
Nous avons dû modifier cela en raison de préoccupations de sécurité des utilisateurs de Discourse.
Je suppose que vous pourriez changer le forum en « sur invitation uniquement », « connexion requise » ? Puis restreindre les personnes autorisées à inviter.
Je pensais qu’une invitation par un membre du personnel constituait une approbation explicite, surtout si elle incluait l’adresse e-mail de l’utilisateur !
Avec une invitation ouverte, il y a bien sûr de nombreuses possibilités d’abuser du lien. Mais le membre du personnel doit délibérément configurer le lien pour le permettre, et peut assumer la responsabilité de ce risque (et le limiter) assez facilement.
Cela signifie également que les personnes qui découvrent mon site ne peuvent pas le rejoindre et sont exclues à moins de trouver quelqu’un pour les inviter. C’est nul.
Suggestion
Que diriez-vous d’ajouter deux options à /admin/site_settings/category/all_results?filter=must_approve_users ?
Le personnel doit approuver TOUS les utilisateurs
Sauf invitation par le personnel, les utilisateurs doivent être approuvés
Seules les inscriptions publiques nécessitent l’approbation du personnel
Heureux d’ajouter cela au panier des demandes de fonctionnalités, malheureusement, nous n’avons pas la bande passante pour travailler sur une fidélité supplémentaire ici pour le moment.
C’était le cas, mais le comportement a été modifié il y a environ un mois :
Nous avons une instance utilisée par une organisation caritative/un syndicat pour la formation professionnelle qui a été touchée de la même manière.
Avant le changement, le personnel invitait les utilisateurs à contourner l’approbation, maintenant ils doivent faire les deux. Avec la nécessité de revenir en arrière et de vérifier chaque approbation par rapport aux listes de membres, leur charge administrative a considérablement augmenté.
Ouais… la solution à long terme, je suppose, est d’ajouter un paramètre de site qui permet le mode d’approbation flexible, je suppose, en opt-in.
Cependant, je m’inquiète car la sécurité est très, très difficile à maîtriser ici. Plus nous autorisons de cas limites, plus nous ajoutons de complexité et de failles de sécurité potentielles.
Je me demande si le principal cas limite consiste simplement à permettre la substitution du paramètre « l’utilisateur doit approuver » si l’invitation contient une adresse e-mail spécifique, et à conserver le paramètre « l’utilisateur doit approuver » pour les liens d’invitation anonymes — mais cela pourrait être plus complexe en arrière-plan que je ne l’imagine.
Cela me semble logique, surtout si l’invitation était destinée à une adresse e-mail spécifique ET qu’elle a été envoyée par le personnel. Je n’imagine pas qu’un deuxième niveau d’approbation serait nécessaire dans ce scénario.
Que diriez-vous d’autoriser uniquement les administrateurs à définir un indicateur « approbation automatique » et éventuellement à le limiter à « e-mail inchangé » ou « limité à un » ou quelque chose de similaire ? Dans mon cas, je serais même satisfait d’un inviteur en ligne de commande qui peut créer ces invitations spéciales pré-approuvées, existe-t-il quelque chose comme ça ?
Comme solution de contournement bancale, j’ai fait ce que Sam a suggéré :
J’ai distribué assez généreusement une invitation à notre forum, et cela fonctionne bien.
Le problème concerne les « passants » qui tombent sur le site via une recherche Google ou similaire. Ils doivent envoyer un e-mail pour obtenir un lien de connexion, ce qui est un vrai casse-tête pour l’administrateur.
La suggestion d’Arman est assez simple et je ne pense pas qu’elle serait trop difficile à mettre en œuvre (ou qu’elle serait sujette à fuites) :
Pour le moment, ce n’est tout simplement pas le cas si must_approve_users est défini sur TRUE :
Chaque fois que nous avons un groupe de personnes à inviter, nous devons soit accepter beaucoup de friction (l’étape d’approbation), soit reconfigurer temporairement le site (et le fermer aux inscriptions publiques), ce qui est assez pénible.
Avez-vous des réflexions sur la possibilité que cela se produise un jour ?
Salut, j’aimerais également demander qu’une fonctionnalité permette aux invitations du personnel de contourner l’étape d’approbation, peut-être via un booléen optionnel dans la boîte de dialogue de génération d’invitation.
À l’heure actuelle, le message « Partagez ce lien pour accorder instantanément l’accès au site » n’est absolument pas vrai pour les sites où must_approve_users est activé.
Pour récapituler, cette demande vise à permettre au personnel d’un site où must_approve_users est activé de créer un lien d’invitation qui contournera l’étape d’approbation. Bien que le site que j’administre nécessite une approbation, nous aimerions parfois pouvoir « pré-approuver » des utilisateurs via un lien d’invitation dont nous savons qu’il sera partagé en privé à des personnes de confiance, ou lorsque nous partageons le lien lors d’un événement physique lié à la communauté du forum. (Nous ne connaissons pas nécessairement les adresses e-mail préférées de ces personnes invitées, nous ne pouvons donc pas utiliser une invitation en masse).
Avec nos sites assez volumineux (must_approve_users), cela reste un vrai casse-tête lorsque nous organisons un événement physique.
Le problème est que nous ne pouvons pas simplement donner aux gens un joli code QR, une invitation ou un lien pour se connecter directement à notre instance. Du moins, pas sans une solution de contournement un peu moche.
La solution de contournement et ses problèmes
Désactiver must_approve_users et rendre le site invite_only n’est pas vraiment satisfaisant car :
Beaucoup de gens semblent rater le processus d’invitation et essaient d’entrer par la ‘porte d’entrée’ (maintenant verrouillée).
L’enthousiasme créé par l’événement se propage généralement aussi aux non-invités, mais ils ne peuvent pas non plus postuler pour rejoindre.
L’état actuel depuis le changement a certainement rendu les choses beaucoup plus difficiles. L’association de formation professionnelle avec laquelle je travaillais et qui a été la plus touchée a décidé de fermer sa communauté plusieurs semaines plus tard.
C’est tout simplement trop de travail administratif supplémentaire quand on a des centaines de personnes qui entrent et sortent chaque semaine.
Merci de soulever à nouveau ce point. Je pense que nous en sommes à la règle des trois, un correctif est nécessaire pour rendre l’invitation plus facile et plus fluide. Le système d’invitation s’est avéré délicat à modifier car tout le monde semble l’utiliser différemment. Nous voulons avoir des directives claires et essayer d’éviter de perturber leur flux de travail.
Je vais vérifier avec l’équipe et voir ce que nous pouvons faire.
C’est une nouveauté pour moi, examinons cela séparément.
Notre préoccupation est que les sites peuvent être configurés de nombreuses manières différentes, puis s’attendre à ce que le système d’invitation fonctionne différemment également. La sécurité est une préoccupation très réelle. Nous serons donc prudents lorsque nous apporterons d’autres modifications au système d’invitation.
Mon sentiment personnel est que l’approche suivante serait la meilleure, car elle ne dépend pas d’un paramètre d’administrateur et rend le comportement parfaitement clair directement sur la modale d’invitation. Il serait difficile, même pour quelqu’un de complètement nouveau sur Discourse, de créer et de partager accidentellement un lien d’invitation qui fait quelque chose qu’il n’attend pas. Qu’en pensez-vous tous ?
Lorsque le paramètre d’administration doit approuver les utilisateurs est activé
Un commutateur est affiché au personnel sur la modale d’invitation pour créer une invitation qui contourne l’exigence d’approbation. Par exemple, [ ] Ne pas exiger l'approbation du personnel
Les invitations échangées lorsque le commutateur en (2) est sélectionné permettent à l’utilisateur d’accéder au site sans nécessiter d’approbation
L’hypothèse est que seul le personnel devrait avoir accès à ce commutateur, car l’intention du paramètre doit approuver les utilisateurs est de donner au personnel le contrôle sur qui est autorisé à rejoindre la communauté.
S’il y a une demande suffisante, nous pourrions envisager plus tard d’ajouter un paramètre d’administrateur pour déterminer qui a accès à cette fonctionnalité par groupe.
Sam est allé jusqu’à qualifier le changement de « étonnamment complexe ». Je ne doute pas de lui.
L’effort global du changement initial et de ce complément sera évidemment plus important que si cela avait été pris en compte dès le départ. Nous avons établi à l’époque que si une communauté trouvait le défaut actuel répréhensible, plusieurs communautés dépendaient de ce comportement. Par exemple, pour le syndicat qui a abandonné son site de formation aux compétences basé sur Discourse, la décision n’a pas été prise à la légère, mais il leur était impossible de continuer une fois que les stagiaires invités par le personnel étaient perdus dans le pool d’approbation général.
Si le problème ici était un manque de compréhension explicite, alors il faudrait probablement une étape intermédiaire entre doit approuver les utilisateurs et la modale d’invitation qui offre la possibilité aux invitations du personnel de contourner l’approbation, sinon la plainte initiale qui a conduit à ce changement pourrait toujours survenir.
Donc, plutôt comme suit :
Lorsque le paramètre administrateur doit approuver les utilisateurs est activé et qu’un nouveau paramètre les invitations du personnel contournent l'approbation est modifié par rapport à sa valeur par défaut jamais :
Si toujours, alors l’ancien comportement prendrait effet.
Si facultatif, alors afficher le commutateur dans la modale pour donner la possibilité de contourner l’approbation ultérieure.
Sans l’intermédiaire, les administrateurs ne sont pas pleinement conscients des implications de doit approuver, et un peu de granularité résoudra l’autre problème lorsqu’on oubliera d’utiliser le commutateur.
Je pense que cela fonctionnerait très bien (peut-être avec la modification de @Stephen aussi) - et j’aime le fait que ce soit une approche centrée sur la personne qui ne devrait rien casser car elle laisserait la machinerie par défaut complètement intacte.
Cependant, un cas limite d’une importance capitale pour moi serait les invitations par e-mail automatiques liées aux invitations de groupe. Cela permet d’ajouter des personnes à un groupe OU de leur envoyer une invitation selon qu’elles sont déjà inscrites, par un seul acte administratif. Personnellement, j’aurais vraiment besoin que cela soit couvert d’une manière ou d’une autre.
