Salut,
Est-il prévu qu’un utilisateur puisse toujours se connecter avec le mot de passe local ? Supposons qu’un utilisateur crée un compte via la connexion oidc. À ce stade, tout va bien, l’utilisateur peut se connecter via le fournisseur oidc et le compte est également protégé par l’application 2fa sur le fournisseur oidc.
Maintenant, l’utilisateur a défini un mot de passe local pour ce compte connecté oidc via la fonctionnalité de réinitialisation du mot de passe par e-mail. Après avoir défini le mot de passe, la connexion est possible en utilisant le mot de passe local et oidc, mais la connexion locale n’est pas protégée par 2fa et potentiellement non sécurisée. Pour aggraver les choses, il semble qu’il n’y ait pas de retour en arrière possible, après avoir défini un mot de passe local, les utilisateurs ne peuvent plus le supprimer, et ils ne peuvent pas non plus configurer 2fa car cela désactivera les connexions sociales. J’aimerais avoir une option pour interdire les connexions locales pour les utilisateurs oidc et, pour être encore plus strict, une option pour interdire également toutes les autres connexions sociales afin de rendre la connexion oidc obligatoire pour les comptes connectés oidc.
Merci.
