Migliori pratiche per spostare gli utenti dai domini di posta elettronica istituzionali evitando account duplicati o di impersonificazione

Supporto SSO
, ,
3

Sì, è quella la tensione che sto cercando di gestire.

Tecnicamente concordo sul fatto che un indirizzo email istituzionale offra una garanzia di identità più solida rispetto a un indirizzo email personale. La mia ragione per allontanarmi dall’email/SSO istituzionale non è che l’email personale sia una prova migliore dell’identità, ma che voglio che la comunità sia chiaramente indipendente e non faccia affidamento sul sistema di identità o sul dominio email di un’istituzione per l’accesso continuativo.

Dopo il mio primo post, ho reso più chiaro lo stato attuale della transizione direttamente sul sito:

  • la pagina iniziale/login ora dichiara che “Physics with Ethan” è indipendente e non affiliato né endossato da alcuna università, scuola o dipartimento;
  • spiega inoltre che l’accesso utilizza attualmente la verifica dell’account Microsoft lavoro o scuola per l’onboarding;
  • gli utenti esistenti possono ora aggiungere un indirizzo email personale dopo il login, tramite Profilo → Preferenze → Email;
  • ho anche aggiunto un avviso che chiede agli utenti di non registrarsi utilizzando il nome, l’indirizzo email o l’identità di un’altra persona.

Quindi penso che la posizione attuale sia transitoria:

  • la verifica Microsoft lavoro/scuola è ancora utile per ridurre il rischio di impersonificazione durante l’onboarding;
  • ma vorrei che gli utenti esistenti aggiungessero indirizzi email personali;
  • e voglio evitare che l’email/SSO istituzionale diventi la dipendenza a lungo termine della comunità.

La domanda pratica su Discourse che sto ancora cercando di risolvere è:

Per una comunità che vuole passare dall’email/SSO istituzionale agli account locali e agli indirizzi email personali, è la pratica più sicura mantenere la transizione come manuale/soggetta a revisione amministrativa piuttosto che tentare una fusione automatica degli account?

Per esempio:

  1. consentire agli utenti esistenti di aggiungere un’email personale mentre sono loggati;
  2. mantenere la pagina iniziale chiara riguardo al metodo di onboarding attuale;
  3. scoraggiare le registrazioni fuorvianti/l’impersonificazione;
  4. evitare fusioni automatiche degli account;
  5. unire gli account solo quando vi è chiara evidenza che la stessa persona controlla gli account/email rilevanti.

Ti sembra la direzione nativa di Discourse corretta?