Ich betreibe eine unabhängige Discourse-Community unter https://physicswithethan.discourse.diy, die zuvor auch institutionelle E-Mail-Adressen und externes SSO (Single Sign-On) zuließ.
Ich möchte nun zu gewöhnlichen lokalen Discourse-Konten mit persönlichen E-Mail-Adressen wechseln und vermeiden, dass neue Registrierungen sich auf institutionelles SSO oder institutionelle E-Mail-Domänen stützen.
Das Problem, das ich sicher handhaben möchte, ist die Kontinuität der Konten und das Risiko der Identitätsmissbrauchs (Impersonation):
- Viele bestehende Nutzer haben eine institutionelle E-Mail-Adresse als primäre E-Mail;
- Ich möchte, dass neue Nutzer stattdessen persönliche E-Mail-Adressen verwenden;
- Ich möchte vermeiden, dass Personen Konten unter dem Namen eines anderen oder unter einer institutionellen E-Mail-Adresse registrieren;
- Außerdem möchte ich unsichere oder manuelle Kontozusammenführungen vermeiden, es sei denn, es gibt klare Beweise dafür, dass dieselbe Person die betreffenden Konten/E-Mail-Adressen kontrolliert.
Was ist der empfohlene, native Discourse-Ansatz für dieses Vorhaben?
Beispielsweise wäre das beste Muster:
- Lokale Anmeldungen wieder aktivieren;
- Den externen SSO-Anbieter deaktivieren;
- Die institutionelle Domain zur Liste der blockierten E-Mail-Domains für neue Registrierungen hinzufügen;
- Eine Website-Benachrichtigung hinzufügen, die bestehende Nutzer auffordert, ihre primäre E-Mail-Adresse auf eine persönliche Adresse zu aktualisieren;
- Manuelle Genehmigung/Überprüfung für verdächtige neue Konten verwenden;
- Konten nur zusammenführen, wenn der Nutzer die Kontrolle über beide Konten oder E-Mail-Adressen nachgewiesen hat?
Ich bin besonders daran interessiert, eine Konfiguration zu vermeiden, bei der ein Nutzer E-Mails an die institutionelle Mailbox einer anderen Person auslösen oder ein irreführendes Konto unter dem Namen einer anderen Person erstellen kann.
Gibt es bereits Einstellungen oder Workflows, die für diese Art von Übergang empfohlen werden?