При просмотре пользователя на странице admin/users поля «Основной адрес электронной почты» и «Дополнительный адрес электронной почты» скрыты и требуют соответствующих разрешений для просмотра:
Однако тот же адрес электронной почты отображается без защиты при использовании SSO ниже на странице:
Ожидаемое поведение: Адрес электронной почты, полученный через SSO, должен быть защищён так же, как основной и дополнительный адреса.
Фактическое поведение: Адрес электронной почты, полученный через SSO, не защищён и виден модераторам, даже если настройки сайта запрещают показывать адреса электронной почты модераторам.
Ещё одно замечание: я упомянул адрес электронной почты, но даже внешний идентификатор (External ID) может содержать конфиденциальную информацию.