Quando si visualizza un Utente nella pagina admin/users, i campi Email Primaria e Email Secondaria sono nascosti e richiedono permessi per essere visualizzati:
Tuttavia, lo stesso indirizzo email viene mostrato senza protezione quando si utilizza SSO più avanti nella pagina:
Comportamento atteso: L’email SSO è protetta come le email Primaria e Secondaria.
Comportamento effettivo: L’email SSO non è protetta ed è visibile ai moderatori anche quando le impostazioni del sito vietano la visualizzazione delle email ai moderatori.
Un’ulteriore osservazione: ho menzionato l’email, ma in realtà anche l’External ID può essere un’informazione sensibile.