Лучшие практики переноса пользователей с корпоративных доменов электронной почты без создания дублирующих/поддельных учетных записей

Поддержка SSO
, ,
1

Я администрирую независимое сообщество на Discourse по адресу https://physicswithethan.discourse.diy, которое ранее разрешало использование корпоративных адресов электронной почты и внешнего SSO.

Теперь я хочу перейти на обычные локальные учетные записи Discourse с использованием личных адресов электронной почты и отказаться от зависимости от корпоративного SSO или корпоративных доменов электронной почты при регистрации новых пользователей.

Проблема, которую я пытаюсь решить безопасно, — это сохранение непрерывности учетных записей и риск мимикрии:

  • у многих существующих пользователей основным адресом электронной почты является корпоративный;
  • я хочу, чтобы новые пользователи использовали личные адреса электронной почты;
  • я хочу предотвратить регистрацию учетных записей от имени других людей или с использованием чужих корпоративных адресов электронной почты;
  • я также хочу избегать небезопасных или ручных слияний учетных записей, если нет четких доказательств того, что один и тот же человек контролирует соответствующие учетные записи или адреса электронной почты.

Каков рекомендуемый подход, нативный для Discourse, в данной ситуации?

Например, является ли лучшей следующей схемой:

  1. повторно включить локальный вход;
  2. отключить внешний провайдер SSO;
  3. добавить корпоративный домен в список заблокированных доменов электронной почты для новых регистраций;
  4. добавить сообщение на сайте с просьбой к существующим пользователям обновить свой основной адрес электронной почты на личный;
  5. использовать ручное одобрение/проверку для подозрительных новых учетных записей;
  6. объединять учетные записи только там, где пользователь подтвердил контроль над обеими учетными записями или адресами электронной почты?

Меня особенно интересует предотвращение ситуации, при которой пользователь может инициировать отправку писем на чужой корпоративный почтовый ящик или создать вводящую в заблуждение учетную запись от имени другого человека.

Существуют ли уже готовые настройки или рабочие процессы, которые рекомендуются для такого рода переходов?