Hallo,
Ist es beabsichtigt, dass sich ein Benutzer immer noch mit dem lokalen Passwort anmelden kann? Nehmen wir an, ein Benutzer erstellt ein Konto über die OIDC-Anmeldung. Zu diesem Zeitpunkt ist alles in Ordnung, der Benutzer kann sich über den OIDC-Anbieter anmelden und das Konto ist auch durch die 2FA-Erzwingung auf dem OIDC-Anbieter geschützt.
Nun hat der Benutzer über die Funktion zum Zurücksetzen des Passworts ein lokales Passwort für dieses OIDC-verbundene Konto festgelegt. Nach der Festlegung des Passworts ist die Anmeldung sowohl mit dem lokalen Passwort als auch mit OIDC möglich, aber die lokale Anmeldung ist nicht durch 2FA geschützt und potenziell unsicher. Um es noch schlimmer zu machen, scheint es keinen Weg zurück zu geben. Nach der Festlegung eines lokalen Passworts können Benutzer es nicht wieder entfernen und auch keine 2FA einrichten, da dies soziale Anmeldungen deaktiviert. Ich hätte gerne eine Option, lokale Anmeldungen für OIDC-Benutzer zu verbieten und, um noch strenger zu sein, eine Option, auch alle anderen sozialen Anmeldungen zu verbieten, um die OIDC-Anmeldung für OIDC-verbundene Konten zwingend zu machen.
Danke.
