Não tenho certeza se atende aos seus requisitos, mas pode ser feito com o DiscourseConnect. Basicamente, basta definir endereços de e-mail falsos para o campo de e-mail no registro do SSO e definir a configuração do site disable emails para “yes” (sim) ou (provavelmente melhor) “non-staff” (não funcionários). Em seguida, configure um site provedor do DiscourseConnect que permita o registro sem um endereço de e-mail.
Se possível, provavelmente é mais seguro que as contas de funcionários tenham endereços de e-mail reais e recebam e-mails do site. Por exemplo, isso permitirá que eles façam login pela rota /u/admin-login se houver algum problema com o DiscourseConnect.