こんにちは。
ローカルパスワードでユーザーがまだログインできるのは意図した動作でしょうか?例えば、ユーザーがOIDCログイン経由でアカウントを作成したとします。この時点では問題なく、ユーザーはOIDCプロバイダー経由でログインでき、アカウントはOIDCプロバイダーの2FA適用によっても保護されています。
ここで、ユーザーがパスワードリセットメール機能を使用して、このOIDC接続済みアカウントのローカルパスワードを設定したとします。パスワードを設定した後、ローカルパスワードとOIDCの両方でログインできるようになりますが、ローカルログインは2FAで保護されておらず、潜在的に安全ではありません。さらに悪いことに、元に戻す方法はないようです。ローカルパスワードを設定すると、ユーザーはそれを再度削除できず、2FAを設定することもできません。これはソーシャルログインを無効にするためです。OIDCユーザーのローカルログインを無効にするオプションと、さらに厳密には、OIDC接続済みアカウントでOIDCログインを必須にするために、他のすべてのソーシャルログインを無効にするオプションも欲しいです。
よろしくお願いします。
