Итак, меня поправила команда. Discourse ID действительно использует OAuth2 «под капотом» — приношу свои извинения. Я думал, что используется другой протокол.
Отвечая на ваш вопрос: мы не поддерживаем двухфакторную аутентификацию (2FA) при использовании внешних способов входа. Как указано в сообщении, которое вы видели, принудительное применение 2FA невозможно без включения локального входа. Мы полагаемся на провайдера внешнего входа (в данном случае Discourse ID, но это относится ко всем внешним провайдерам) в вопросах управления 2FA, включая его принудительное применение.