Olá,
É intencional que um usuário ainda consiga fazer login com a senha local? Digamos que um usuário crie uma conta através do login oidc. Neste ponto, tudo está bem, o usuário pode fazer login através do provedor oidc e a conta também é protegida pela aplicação de 2FA no provedor oidc.
Agora, o usuário definiu uma senha local para esta conta conectada oidc através do recurso de redefinição de senha por e-mail. Após definir a senha, o login é possível usando a senha local e oidc, mas o login local não é protegido por 2FA e é potencialmente inseguro. Para piorar, parece não haver como voltar atrás, após definir uma senha local, os usuários não podem removê-la novamente, e também não podem configurar 2FA porque isso desabilitará os logins sociais. Eu gostaria de ter uma opção para desabilitar logins locais para usuários oidc e, para ser ainda mais rigoroso, uma opção para desabilitar todos os outros logins sociais também, para tornar o login oidc obrigatório para contas conectadas oidc.
Obrigado.
