Permetti agli utenti invitati dallo staff di saltare l'approvazione

Quando un nuovo utente si unisce tramite un link di invito, scopro di dover approvare anche l’utente al momento.

Ciò vanifica l’intero scopo di un invito; tanto varrebbe inviare loro il link al forum.

Ho provato questo per una varietà di situazioni (link nuovo, link vecchio, persona singola, multipla) su più di un’istanza, ed è sempre lo stesso.

Ho impostato /admin/site_settings/category/all_results?filter=must_approve_users su TRUE per queste istanze. Sembra che lo stia prendendo un po’ troppo alla lettera! Voglio solo dover approvare coloro che si uniscono senza un invito, che è come funzionavano le cose in passato.

Se imposti must approve users hai esplicitamente scelto che ogni utente debba essere approvato esplicitamente.

Abbiamo dovuto cambiare questo a causa di preoccupazioni sulla sicurezza degli utenti di Discourse.

Suppongo che si possa cambiare il forum in “solo su invito”, “richiede accesso”? Quindi limitare le persone autorizzate a invitare.

Pensavo che un invito da parte dello staff fosse un’approvazione esplicita, specialmente se include l’indirizzo email dell’utente!

Con un invito aperto c’è ovviamente molta opportunità di abusare del link. Ma il membro dello staff deve impostare deliberatamente il link per consentirlo, e può assumersi la responsabilità (e limitare) quel rischio abbastanza facilmente.

Significa anche che le persone che si imbattono nel mio sito non possono iscriversi e vengono escluse a meno che non trovino qualcuno che le inviti. Fa schifo.

Suggerimento

Che ne dici di aggiungere due opzioni a /admin/site_settings/category/all_results?filter=must_approve_users?

1. Lo staff deve approvare TUTTI gli utenti
2. A meno che non siano invitati dallo staff, gli utenti devono essere approvati
3. Solo le registrazioni pubbliche richiedono l’approvazione dello staff
4. Non è richiesta l’approvazione dello staff

Felice di aggiungere questo al bucket delle richieste di funzionalità, purtroppo al momento non abbiamo la larghezza di banda per lavorare su un’ulteriore fedeltà qui.

Lo era, tuttavia il comportamento è stato modificato circa un mese fa:

Abbiamo un’istanza utilizzata da un’organizzazione benefica/sindacato per la formazione professionale che è stata similmente impattata.

Prima della modifica, lo staff invitava gli utenti a bypassare l’approvazione, ora devono fare entrambe le cose. Con la necessità di tornare indietro e verificare ogni approvazione rispetto agli elenchi dei membri, il loro carico amministrativo è aumentato in modo sostanziale.

Sì… immagino che la soluzione a lungo termine sia aggiungere un’impostazione del sito che consenta la modalità di approvazione rilassata, su base volontaria.

Tuttavia, sono preoccupato perché ottenere la sicurezza corretta qui è molto, molto difficile. Più casi limite consentiamo, maggiore è la complessità e il potenziale di falle di sicurezza.

Mi chiedo se il caso limite principale sia semplicemente consentire l’override dell’impostazione “must approve user” se l’invito contiene un indirizzo email specifico, e mantenere l’impostazione “must approve user” per i link di invito anonimi, ma potrebbe essere più complesso lato backend di quanto immagini.

Questo ha senso per me, soprattutto se l’invito era a un indirizzo email specifico ED è stato inviato dal personale. Non immagino che sarebbe necessario un secondo livello di approvazione in quello scenario.

Che ne dici di consentire solo agli amministratori di impostare un flag “approva automaticamente” e opzionalmente limitarlo a “email non modificata” o “limitato a uno” o qualcosa di simile? Nel mio caso, sarei anche felice con un invitante da riga di comando che possa creare questi inviti speciali pre-approvati, esiste qualcosa del genere?

Temo di no.

Come soluzione di ripiego, ho fatto come suggerito da Sam:

Ho distribuito generosamente un invito al nostro Forum, e funziona bene.

Il problema riguarda i “passanti” che si imbattono nel sito tramite una ricerca su Google o simili. Devono inviare un’e-mail per ottenere un link di adesione, il che è un bel fastidio per l’amministratore.

Il suggerimento di Arman è piuttosto semplice e non credo che sarebbe troppo difficile da implementare (o che sarebbe inaffidabile):

C’è qualche possibilità che sia fattibile?

\u003e

Al momento, questo semplicemente non è il caso se must_approve_users è TRUE:

Ogni volta che abbiamo un gruppo di persone da invitare, o accettiamo molta frizione (il passaggio di approvazione) o dobbiamo riconfigurare temporaneamente il sito (e chiuderlo alle registrazioni pubbliche), il che è piuttosto doloroso.

Qualche pensiero su questo che accadrà un giorno?

Non sono contrario, ma non è ancora previsto.

Ciao, vorrei anche richiedere che ci sia una funzionalità per gli inviti dello staff che bypassino il passaggio di approvazione, magari tramite un booleano opzionale nella finestra di dialogo di generazione dell’invito.

Al momento, “Condividi questo link per concedere immediatamente l’accesso al sito” semplicemente non è affatto vero per i siti in cui must_approve_users è attivo.

La soluzione sembrerebbe essere quella discussa nell’“opzione 4” qui nell’argomento che ha discusso il bug che ha risolto il problema di sicurezza ma ci ha lasciato con questo problema di “pre-approvazione” di un link di invito.

Per ricapitolare, questa richiesta serve affinché lo staff di un sito con must_approve_users possa creare un link di invito che bypassi il passaggio di approvazione. Sebbene il sito che gestisco richieda l’approvazione, a volte vorremmo poter “pre-approvare” gli utenti tramite un link di invito che sappiamo verrà condiviso privatamente con persone fidate, o quando condividiamo il link a un evento fisico correlato alla community del forum. (Non conosciamo necessariamente gli indirizzi email preferiti di tali invitati, quindi non possiamo utilizzare un invito di massa).

Con i nostri siti abbastanza grandi (must_approve_users), questo rimane un bel problema ogni volta che organizziamo un evento fisico.

Il problema è che non possiamo semplicemente fornire alle persone un bel codice QR, un invito o un link per accedere direttamente alla nostra istanza. Almeno non senza un brutto workaround.

Il workaround e i suoi problemi

Disattivare must_approve_users e rendere il sito invite_only non è soddisfacente poiché:

1. Molte persone sembrano incasinare il processo di invito e cercano di entrare dalla ‘porta principale’ (ora bloccata).

2. Il fermento creato dall’evento generalmente si estende anche ai non invitati, ma nemmeno loro possono richiedere di unirsi.

3. C’è ancora un bug per cui gli utenti staged perdono i loro input nei campi utente personalizzati quando si registrano.

   • questo incasina i percorsi alternativi (a meno che non venga utilizzato un indirizzo email completamente esterno).

Lo stato attuale dopo il cambiamento ha reso le cose decisamente molto più difficili. L’organizzazione di beneficenza per la formazione professionale con cui ho lavorato, che è stata la più colpita, ha deciso di chiudere la propria comunità diverse settimane dopo.

È semplicemente troppo overhead amministrativo aggiuntivo quando centinaia di persone entrano ed escono ogni settimana.

Grazie per aver sollevato nuovamente la questione. Penso che siamo arrivati al terzo punto critico in cui è necessaria una correzione per rendere gli inviti più facili e fluidi. Il sistema di inviti si è dimostrato difficile da modificare perché sembra che tutti lo utilizzino in modo diverso. Vogliamo avere istruzioni chiare e cercare di evitare di interrompere il loro flusso di lavoro.

Verificherò con il team e vedremo cosa possiamo fare.

Questa è una novità per me, esaminiamo separatamente.

Per quanto ne so, tutto ciò di cui avevamo bisogno per l’ultima modifica era un’impostazione e un valore predefinito concordato.

Siamo passati da tutti gli inviti del personale che bypassavano l’approvazione a tutti gli inviti che richiedevano l’approvazione.

Lo fai sembrare così facile!

La nostra preoccupazione è che i siti possano essere configurati in molti modi diversi e poi ci si aspetti che il sistema di inviti funzioni in modi diversi. La sicurezza è una preoccupazione molto reale. Quindi procederemo con cautela quando apporteremo ulteriori modifiche al sistema di inviti.

La mia sensazione personale è che l’approccio seguente sarebbe il migliore, perché non dipende da un’impostazione dell’amministratore e rende il comportamento cristallino direttamente sulla modale di invito. Sarebbe difficile anche per qualcuno completamente nuovo a Discourse creare e condividere accidentalmente un link di invito che fa qualcosa che non si aspetta. Cosa ne pensate tutti?

1. Quando l’impostazione dell’amministratore must approve users è abilitata
2. Viene mostrato al personale un interruttore sulla modale di invito per creare un invito che bypassa il requisito di approvazione. Ad esempio, [ ] Non richiedere l'approvazione del personale
3. Gli inviti riscattati quando l’interruttore in (2) è selezionato fanno entrare l’utente nel sito senza richiedere l’approvazione

L’assunzione è che solo il personale dovrebbe avere accesso a questo interruttore, perché l’intento dell’impostazione must approve users è dare al personale il controllo su chi è autorizzato a unirsi alla community.

Se ci sarà sufficiente richiesta, potremmo in seguito considerare l’aggiunta di un’impostazione dell’amministratore per determinare chi ha accesso a questa funzionalità per gruppo.

Sam è arrivato al punto di definire il cambiamento come sorprendentemente complesso. Non dubito di lui.

Lo sforzo aggregato del cambiamento originale e di questo sarà ovviamente maggiore di quanto sarebbe stato se fosse stato considerato fin dall’inizio. All’epoca avevamo stabilito che, mentre una comunità trovava discutibile l’impostazione predefinita attuale, c’erano diverse comunità che si basavano su questo comportamento. Ad esempio, per l’unione che ha abbandonato il proprio sito di formazione professionale basato su Discourse, la decisione non è stata presa alla leggera, ma era impraticabile per loro continuare una volta che i tirocinanti invitati dal personale si perdevano nel pool di approvazione generale.

Se il problema qui fosse una mancanza di chiara comprensione, allora probabilmente ci sarebbe bisogno di un passaggio intermedio tra devono approvare gli utenti e la modale di invito che offre l’opzione per gli inviti del personale di bypassare l’approvazione, altrimenti il reclamo originale che ha portato a questo cambiamento potrebbe ancora sorgere.

Quindi più simile a:

1. Quando l’impostazione amministrativa devono approvare gli utenti è abilitata e una nuova gli inviti del personale bypassano l'approvazione viene modificata dal suo valore predefinito mai:
2. Se sempre, allora il vecchio comportamento avrà effetto
3. Se opzionale, allora visualizza l’interruttore nella modale per dare l’opzione di bypassare l’approvazione successiva

Senza l’intermediario, gli amministratori non sono pienamente consapevoli delle implicazioni di “devono approvare” e un po’ di granularità risolverà l’altro problema quando si dimentica di usare l’interruttore.

Credo che funzionerebbe molto bene (forse anche con la modifica di @Stephen) - e mi piace che sia un approccio incentrato sulla persona che non dovrebbe rompere nulla poiché lascerebbe intatto il meccanismo predefinito.

Un caso limite di altissima importanza per me, tuttavia, sarebbero gli inviti email automatici relativi agli inviti di gruppo. Questo permette alle persone di essere aggiunte a un gruppo O inviate un invito a seconda che siano già iscritte tramite un singolo atto amministrativo. Personalmente, avrei davvero bisogno che anche questo fosse coperto in qualche modo.