Ciao,
È previsto che un utente possa ancora accedere con la password locale? Supponiamo che un utente crei un account tramite l’accesso oidc. A questo punto tutto va bene, l’utente può accedere tramite il provider oidc e l’account è protetto anche tramite l’applicazione 2FA sul provider oidc.
Ora, l’utente ha impostato una password locale per questo account connesso oidc tramite la funzione di reimpostazione della password via email. Dopo aver impostato la password, l’accesso è possibile utilizzando la password locale e oidc, ma l’accesso locale non è protetto da 2FA ed è potenzialmente insicuro. Per peggiorare le cose, sembra non esserci via d’uscita, dopo aver impostato una password locale gli utenti non possono più rimuoverla e non possono nemmeno configurare la 2FA perché ciò disabiliterà gli accessi social. Vorrei avere un’opzione per disabilitare gli accessi locali per gli utenti oidc e, per essere ancora più rigorosi, un’opzione per disabilitare anche tutti gli altri accessi social per rendere obbligatorio l’accesso oidc per gli account connessi oidc.
Grazie.
