Acho que ter tanto o SSO quanto a opção deve aprovar usuários habilitada é um caso de borda um pouco peculiar. Não tenho certeza de como se espera que funcione. Idealmente, quando o SSO está habilitado, você deveria gerenciar a aprovação de usuários no site do provedor de SSO (WordPress). Infelizmente, isso exige algum código personalizado. Veja How to prevent some WP users from being able to login to Discourse para detalhes sobre como configurar isso.
Vou investigar como se espera que a aprovação de usuários funcione quando tanto deve aprovar usuários quanto o SSO estão habilitados. Se encontrar algo relevante, retorno aqui para informar.