Hola,
¿Está previsto que un usuario todavía pueda iniciar sesión con la contraseña local? Digamos que un usuario crea una cuenta a través del inicio de sesión oidc. En este punto, todo está bien, el usuario puede iniciar sesión a través del proveedor oidc y la cuenta está protegida mediante la aplicación de 2FA en el proveedor oidc también.
Ahora, el usuario estableció una contraseña local para esta cuenta conectada a oidc a través de la función de restablecimiento de contraseña por correo electrónico. Después de establecer la contraseña, el inicio de sesión es posible usando la contraseña local y oidc, pero el inicio de sesión local no está protegido por 2FA y es potencialmente inseguro. Para empeorar las cosas, parece que no hay vuelta atrás; después de establecer una contraseña local, los usuarios no pueden eliminarla de nuevo, y tampoco pueden configurar 2FA porque esto deshabilitará los inicios de sesión sociales. Me gustaría tener una opción para deshabilitar los inicios de sesión locales para usuarios oidc y, para ser aún más estrictos, una opción para deshabilitar también todos los demás inicios de sesión sociales para hacer que el inicio de sesión oidc sea obligatorio para las cuentas conectadas a oidc.
Gracias.
