Beim Anzeigen eines Benutzers auf der Seite admin/users sind die Felder Primäre E-Mail und Sekundäre E-Mail ausgeblendet und erfordern Berechtigungen, um sie einzusehen:
Derselbe E-Mail-Account wird jedoch weiter unten auf der Seite bei der Verwendung von SSO ungeschützt angezeigt:
Erwartetes Verhalten: Die SSO-E-Mail sollte wie die Primäre und Sekundäre E-Mail geschützt sein.
Tatsächliches Verhalten: Die SSO-E-Mail ist nicht geschützt und für Moderatoren sichtbar, selbst wenn die Site-Einstellungen die Anzeige von E-Mails für Moderatoren untersagen.
Ein weiterer Hinweis: Ich habe zwar von E-Mail gesprochen, aber auch die External ID kann sensible Informationen enthalten.