On laisse les instances ouvertes aux inscriptions ?
Hello, ce ticket est plus pour poser ici un point de vigilance dans un premier temps et s'accorder sur une/des action.s à mettre en place en réponse.
J'ai remarqué en allant sur les instances dédiées pour faire de la maintenance d'harmonisation que la plupart sont toujours ouvertes aux nouvelles inscriptions.
-
Est-ce bien une volonté de leur administrateur·trice ou bien un oubli ?
-
A l'heure actuelle, dans l'admin SSO tel qui est donné l'admin n'a pas la possibilité de fermer les inscriptions (seulement de gérer les users et groupes). Ne faudrait-il pas ajouter le realm-management pour les admin ? (et du coup faire les harmonisations nécessaires)
-
Le fait de laisser ainsi ouvert aux inscriptions peut constituer une brèche de sécurité. Concrètement, une organsation peut penser qu'elle est safe puisqu'il faut se créer des comptes et partage des documents sensibles à l'échelle de son instance. Seulement voilà, quelqu'un·e découvre la page de sign up, s'inscrit et accède à tous les docs. C'est un des multiples scénarios qui pourraient arriver.
-
J'ai du mal à croire que les admins vont nécessairement se soucier de ce paramètre même si on prend le temps de leur expliciter, n'y aurait-il pas un système de modération que l'on pourrait activer par défaut qui fait que toute inscription doit nécessairement passer par l'activation des personnes admin de l'instance ?