Usted está aquí:
Políticas de acceso de OAuth: Activar el control de cierre de sesión único
Garantiza que cerrar sesión en una aplicación finaliza automáticamente todas las sesiones asociadas en el ecosistema de identidad federado para esa aplicación conectada.
Nombre de control
Políticas de acceso de OAuth: Activar cierre de sesión único
Descripción general de control
Garantiza que cerrar sesión en una aplicación finaliza automáticamente todas las sesiones asociadas en el ecosistema de identidad federado para esa aplicación conectada.
Descripción
Configura Salesforce para enviar y recibir solicitudes de cierre de sesión (a través de SAML u OIDC) para sincronizar la finalización de sesión entre diferentes sesiones activas para la aplicación conectada subyacente.
Configuración recomendada
Active "Cierre de sesión único" en la configuración de la aplicación conectada. Proporcione una URL de cierre de sesión único válida y asegúrese de que el certificado de firma SAML está compartido para validar la autenticidad de las solicitudes de cierre de sesión.
Repercusión en la seguridad
Cierra la ventana de sesión huérfana donde un usuario cree que ha salido del sistema pero permanece conectado en aplicaciones descendentes o ascendentes.
Repercusión comercial
Simplifica la experiencia del usuario eliminando la necesidad de cerrar sesión manualmente desde múltiples fichas y garantiza el cumplimiento de los estándares de privacidad de datos (por ejemplo, RGPD/HIPAA) con respecto a la destrucción de sesiones.
Riesgo de seguridad si no está configurado
La falta de cierre de sesión único permite a los usuarios no autorizados secuestrar sesiones aún activas en hardware compartido o terminales públicos después de que el usuario principal cierre sesión en Salesforce desde otras sesiones activas.
Escenarios de amenazas
Secuestro de sesión: Un atacante utiliza una sesión abierta en un equipo público. Caducidad de sesión insuficiente: Un usuario cierra sesión en el IdP pero la sesión de Salesforce permanece válida durante horas.
Intervalo de puntuación de CVSS estimado
Alto (7,0–8,9).
Consideraciones sobre el impacto del riesgo
El riesgo se amplifica en entornos con estaciones de trabajo compartidas donde múltiples usuarios acceden al mismo hardware físico o entornos donde la configuración de bloqueo de sesión inactiva no se aplica.
Riesgo más alto cuando
La configuración de bloqueo de sesión inactiva no está activada o la URL de cierre de sesión único falta/es incorrecta, lo que lleva a sesiones fantasma que persisten hasta que caduca el periodo de tiempo de espera.
Bajo riesgo cuando
Cerrar sesión en el IdP desencadena una LogoutRequest correcta en Salesforce y todos los demás proveedores de servicio conectados.
Consideraciones comerciales y de integración
Requiere coordinación con usuarios comerciales para garantizar que no hay implicaciones de cerrar sesión de usuarios de todas las sesiones para la aplicación conectada causando interrupciones en las actividades diarias.
Directrices de revisión del estado de seguridad
Security Health Review identifica la configuración Activar bloqueo único aplicada en su organización de Salesforce.
Quién se ve afectado
Empleados internos, administradores, desarrolladores y usuarios de plantilla que acceden a aplicaciones conectadas a través de Salesforce directamente.
