Sie befinden sich hier:
OAuth-Zugriffsrichtlinien – Single Logout Control aktivieren
Stellt sicher, dass die Abmeldung bei einer Anwendung automatisch alle zugehörigen Sitzungen im Verbundidentitäts-Ökosystem für diese verbundene Anwendung beendet.
Steuerelementname
OAuth-Zugriffsrichtlinien – Single Logout aktivieren
Steuerelementübersicht
Stellt sicher, dass die Abmeldung bei einer Anwendung automatisch alle zugehörigen Sitzungen im Verbundidentitäts-Ökosystem für diese verbundene Anwendung beendet.
Beschreibung
Konfiguriert Salesforce so, dass Abmeldeanforderungen (über SAML oder OIDC) gesendet und empfangen werden, um die Sitzungsbeendigung zwischen verschiedenen aktiven Sitzungen für die zugrunde liegende verbundene Anwendung zu synchronisieren.
Empfohlene Konfiguration
Aktivieren Sie "Single Logout" in den Einstellungen der verbundenen Anwendung. Geben Sie einen gültigen Single Logout-URL an und stellen Sie sicher, dass das SAML-Signaturzertifikat freigegeben ist, um die Authentizität von Abmeldeanforderungen zu überprüfen.
Sicherheitsauswirkung
Schließt das verwaiste Sitzungsfenster, in dem ein Benutzer glaubt, dass er das System verlassen hat, jedoch bei nach- oder vorgelagerten Anwendungen angemeldet bleibt.
Geschäftsauswirkungen
Optimiert die Benutzererfahrung, indem die manuelle Abmeldung von mehreren Registerkarten entfernt wird, und stellt sicher, dass die Datenschutzstandards (z. B. DSGVO/HIPAA) hinsichtlich der Sitzungsvernichtung eingehalten werden.
Sicherheitsrisiko, wenn nicht konfiguriert
Fehlende Single Logouts ermöglichen es nicht autorisierten Benutzern, noch aktive Sitzungen auf gemeinsam genutzter Hardware oder öffentlichen Endgeräten zu kapern, nachdem sich der primäre Benutzer von anderen aktiven Sitzungen bei Salesforce abgemeldet hat.
Bedrohungsszenarien
Sitzungs-Hijacking: Ein Angreifer verwendet eine offene Sitzung auf einem öffentlichen Computer. Unzureichender Sitzungsablauf: Ein Benutzer meldet sich vom Identitätsanbieter ab, die Salesforce-Sitzung bleibt jedoch stundenlang gültig.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Das Risiko wird in Umgebungen mit freigegebenen Workstations erhöht, in denen mehrere Benutzer auf dieselbe physische Hardware zugreifen, oder in Umgebungen, in denen die Konfiguration der inaktiven Sitzungssperre nicht erzwungen wird.
Höheres Risiko, wenn
Die Konfiguration der inaktiven Sitzungssperre ist nicht aktiviert oder der Single Logout-URL fehlt/ist falsch, was zu Geistersitzungen führt, die bis zum Ablauf des Zeitüberschreitungszeitraums beibehalten werden.
Geringes Risiko, wenn
Die Abmeldung vom Identitätsanbieter löst eine erfolgreiche LogoutRequest zu Salesforce und allen anderen verbundenen Serviceanbietern aus.
Überlegungen zu Unternehmen und Integration
Erfordert die Koordinierung mit Geschäftsbenutzern, um sicherzustellen, dass es keine Auswirkungen darauf gibt, dass sich Benutzer bei allen Sitzungen für die verbundene Anwendung abmelden und die täglichen Aktivitäten unterbrochen werden.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die in Ihrer Salesforce-Organisation erzwungene Konfiguration "Einzelsperre aktivieren".
Wer ist betroffen?
Interne Mitarbeiter, Administratoren, Entwickler und Belegschaftsbenutzer, die direkt über Salesforce auf verbundene Anwendungen zugreifen.
