私は独立したDiscourseコミュニティ https://physicswithethan.discourse.diy を運営しており、以前は機関のメールアドレスや外部SSO(シングルサインオン)を許可していました。
現在、私は個人メールアドレスを使用した通常のローカルDiscourseアカウントへ移行し、新しい登録において機関のSSOや機関のメールアドレスドメインへの依存を避けたいと考えています。
私が安全に取り扱おうとしている問題は、アカウントの継続性となりすましリスクです:
- 多くの既存ユーザーは、プライマリメールアドレスとして機関のメールアドレスを持っています;
- 新しいユーザーには個人メールアドレスを使用してもらいたいです;
- 他人の名前や機関のメールアドレスを使用してアカウントが登録されるのを避けたいです;
- また、該当するアカウントやメールの両方を同一人物が管理しているという明確な証拠がない限り、安全でないまたは手動でのアカウントマージは避けたいです。
ここで推奨されるDiscourseネイティブなアプローチは何でしょうか?
例えば、最適なパターンは以下の通りでしょうか:
- ローカルログインを再有効化する;
- 外部SSOプロバイダーを無効化する;
- 新しい登録に対して機関ドメインをブロックされたメールアドレスドメインに追加する;
- 既存ユーザーにプライマリメールアドレスを個人アドレスへ更新するようサイト通知を追加する;
- 不審な新しいアカウントに対して手動承認/レビューを使用する;
- ユーザーが両方のアカウントまたはメールアドレスの制御を確認した場合にのみ、アカウントをマージする?
特に、ユーザーが他人の機関メールボックスにメールを送信できるようにしたり、他人の名前を騙って誤解を招くようなアカウントを作成したりする状況を避けたいと考えています。
この種の移行に対して、人々が推奨する既存の設定やワークフローはありますか?