Melhor prática para afastar usuários de domínios de e-mail institucionais evitando contas duplicadas/por suplantação de identidade

Suporte SSO
, ,
3

Sim, essa é a tensão que estou tentando gerenciar.

Tecnicamente, concordo que um endereço de e-mail institucional oferece uma garantia de identidade mais forte do que um endereço de e-mail pessoal. Minha razão para me afastar do e-mail institucional/SSO não é que o e-mail pessoal seja uma prova melhor de identidade, mas sim que quero que a comunidade seja claramente independente e não dependa do sistema de identidade ou do domínio de e-mail de uma instituição para o acesso contínuo.

Desde o meu primeiro post, esclareci o estado atual da transição diretamente no site:

  • a página inicial/de login agora afirma que a Physics with Ethan é independente e não afiliada ou endossada por nenhuma universidade, escola ou departamento;
  • também explica que o login atualmente usa a verificação de conta de trabalho ou escola da Microsoft para o processo de integração;
  • os usuários existentes agora podem adicionar um endereço de e-mail pessoal após fazer login, em Perfil → Preferências → E-mails;
  • também adicionei um aviso pedindo aos usuários que não se registrem usando o nome, endereço de e-mail ou identidade de outra pessoa.

Portanto, acho que a posição atual é transitória:

  • a verificação da Microsoft para trabalho/escola ainda é útil para reduzir o risco de suplantação durante a integração;
  • mas gostaria que os usuários existentes adicionassem endereços de e-mail pessoais;
  • e quero evitar que o e-mail institucional/SSO se torne uma dependência de longo prazo da comunidade.

A questão prática do Discourse que ainda estou tentando responder é:

Para uma comunidade que deseja migrar do e-mail institucional/SSO para contas locais e endereços de e-mail pessoais, o padrão mais seguro é manter a transição como manual/revisada pela administração, em vez de tentar mesclar contas automaticamente?

Por exemplo:

  1. permitir que os usuários existentes adicionem um e-mail pessoal enquanto estiverem logados;
  2. manter a página inicial clara sobre o método de integração atual;
  3. desencorajar registros enganosos/suplantação;
  4. evitar mesclagens automáticas de contas;
  5. mesclar contas apenas onde houver evidências claras de que a mesma pessoa controla as contas/e-mails relevantes.

Isso soa como a direção nativa correta do Discourse?