Gestisco una comunità Discourse indipendente all’indirizzo https://physicswithethan.discourse.diy che in precedenza consentiva indirizzi email istituzionali e l’SSO esterno.
Ora vorrei passare a normali account locali Discourse utilizzando indirizzi email personali, evitando di fare affidamento su SSO istituzionale o domini email istituzionali per le nuove registrazioni.
Il problema che cerco di gestire in modo sicuro riguarda la continuità degli account e il rischio di impersonificazione:
- molti utenti esistenti hanno un indirizzo email istituzionale come email principale;
- vorrei che i nuovi utenti utilizzassero indirizzi email personali;
- voglio evitare che le persone registrino account utilizzando il nome di qualcun altro o un indirizzo email istituzionale;
- voglio anche evitare fusioni di account non sicure o manuali, a meno che non ci siano prove chiare che la stessa persona controlli gli account/e-mail pertinenti.
Qual è l’approccio nativo Discourse consigliato in questo caso?
Ad esempio, è questa la procedura migliore:
- riattivare i login locali;
- disabilitare il provider SSO esterno;
- aggiungere il dominio istituzionale all’elenco dei domini email bloccati per le nuove registrazioni;
- aggiungere un avviso del sito che chiede agli utenti esistenti di aggiornare la loro email principale a un indirizzo personale;
- utilizzare l’approvazione manuale o la revisione per i nuovi account sospetti;
- fondere gli account solo se l’utente ha verificato il controllo di entrambi gli account o indirizzi email?
Sono particolarmente interessato a evitare una configurazione in cui un utente possa inviare email alla casella istituzionale di qualcun altro o creare un account fuorviante con il nome di un’altra persona.
Esistono impostazioni o flussi di lavoro esistenti che le persone raccomandano per questo tipo di transizione?