Meilleures pratiques pour déplacer les utilisateurs hors des domaines de messagerie institutionnels tout en évitant les comptes dupliqués ou d'usurpation d'identité

Soutien SSO
, ,
3

Oui, c’est bien cette tension que j’essaie de gérer.

Sur le fond, je suis d’accord pour dire qu’une adresse e-mail institutionnelle offre une garantie d’identité plus forte qu’une adresse e-mail personnelle. La raison pour laquelle je m’éloigne de l’e-mail institutionnel/SSO n’est pas parce que l’e-mail personnel constitue une meilleure preuve d’identité, mais parce que je souhaite que la communauté soit clairement indépendante et ne dépende pas du système d’identité ou du domaine e-mail d’une institution pour son accès continu.

Depuis mon premier message, j’ai clarifié l’état actuel de la transition sur le site lui-même :

  • la page d’accueil/page de connexion indique désormais que Physics with Ethan est indépendant et n’est affilié ni approuvé par aucune université, école ou département ;
  • il y est également expliqué que la connexion utilise actuellement la vérification par compte professionnel ou scolaire Microsoft pour l’intégration des nouveaux utilisateurs ;
  • les utilisateurs existants peuvent désormais ajouter une adresse e-mail personnelle après s’être connectés, via Profil → Préférences → E-mails ;
  • j’ai également ajouté un avertissement demandant aux utilisateurs de ne pas s’inscrire avec le nom, l’adresse e-mail ou l’identité d’une autre personne.

Je pense donc que la position actuelle est transitoire :

  • la vérification Microsoft (compte professionnel/scolaire) reste utile pour réduire les risques d’usurpation d’identité lors de l’intégration ;
  • mais je souhaite que les utilisateurs existants ajoutent des adresses e-mail personnelles ;
  • et je veux éviter que l’e-mail institutionnel/SSO ne devienne la dépendance à long terme de la communauté.

La question pratique concernant Discourse à laquelle j’essaie encore de répondre est :

Pour une communauté qui souhaite passer de l’e-mail institutionnel/SSO vers des comptes locaux et des adresses e-mail personnelles, le modèle le plus sûr consiste-t-il à maintenir la transition manuelle/revue par un administrateur plutôt que de tenter une fusion automatique des comptes ?

Par exemple :

  1. permettre aux utilisateurs existants d’ajouter une adresse e-mail personnelle tout en étant connectés ;
  2. maintenir une page d’accueil claire concernant la méthode d’intégration actuelle ;
  3. décourager les inscriptions trompeuses ou l’usurpation d’identité ;
  4. éviter les fusions automatiques de comptes ;
  5. ne fusionner les comptes que lorsqu’il existe des preuves claires que la même personne contrôle les comptes et adresses e-mail concernés.

Cela vous semble-t-il être la bonne orientation native pour Discourse ?