Alternativamente, poderíamos escopar must_approve_users com um must_approve_local_users
mas isso eliminaria a possibilidade de desativar a página inicial que redireciona para /login como efeito colateral da resolução dessa vulnerabilidade de segurança.