Я думаю, что одновременное включение SSO и опции «обязательно утверждать пользователей» — это довольно редкий случай. Не уверен, как это должно работать. В идеале, при включении SSO утверждение пользователей должно осуществляться на стороне провайдера SSO (WordPress). К сожалению, это требует некоторого кастомного кода. См. How to prevent some WP users from being able to login to Discourse для подробностей о настройке этого.
Я изучу, как должно работать утверждение пользователей, когда включены и «обязательно утверждать пользователей», и SSO. Если найду что-то стоящее упоминания, сообщу здесь.