Usted está aquí:
Políticas de acceso de OAuth: Activar cierre de sesión único
Garantiza que el cierre de sesión de una aplicación finaliza automáticamente todas las sesiones asociadas en el ecosistema de identidad federada para esa aplicación conectada.
Nombre de control
Políticas de acceso de OAuth: Activar cierre de sesión único
Descripción general de control
Garantiza que el cierre de sesión de una aplicación finaliza automáticamente todas las sesiones asociadas en el ecosistema de identidad federada para esa aplicación conectada.
Descripción
Configura Salesforce para enviar y recibir solicitudes de cierre de sesión (a través de SAML u OIDC) para sincronizar la terminación de sesión entre diferentes sesiones activas para la aplicación conectada subyacente.
Configuración recomendada
Active "Cierre de sesión único" en la configuración de la aplicación conectada. Proporcione una URL de cierre de sesión único válida y asegúrese de que el certificado de firma SAML está compartido para validar la autenticidad de las solicitudes de cierre de sesión.
Impacto de seguridad
Cierra la ventana de sesión huérfana donde un usuario cree que salió del sistema pero permanece conectado en aplicaciones descendentes o ascendentes.
Repercusión de negocio
Simplifica la experiencia del usuario eliminando la necesidad de cerrar sesión manualmente desde múltiples fichas y garantiza el cumplimiento de los estándares de privacidad de datos (por ejemplo, GDPR/HIPAA) con respecto a la destrucción de sesiones.
Riesgo de seguridad si no está configurado
La falta de cierre de sesión único permite a los usuarios no autorizados secuestrar sesiones aún activas en hardware compartido o terminales públicos después de que el usuario principal haya cerrado sesión en Salesforce desde otras sesiones activas.
Escenarios de amenazas
Secuestro de sesión: Un atacante utiliza una sesión abierta en un equipo público. Caducidad de sesión insuficiente: Un usuario cierra sesión en el IdP pero la sesión de Salesforce sigue siendo válida durante horas.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
El riesgo se amplifica en entornos con estaciones de trabajo compartidas donde múltiples usuarios acceden al mismo hardware físico o entornos donde la configuración de bloqueo de sesión inactiva no se aplica.
Mayor riesgo cuando
La configuración de bloqueo de sesión inactivo no está activada, o la URL de cierre de sesión único falta/es incorrecta, lo que lleva a sesiones fantasma que persisten hasta que caduca el periodo de tiempo de espera.
Bajo riesgo cuando
El cierre de sesión del IdP desencadena una LogoutRequest correcta en Salesforce y todos los demás proveedores de servicio conectados.
Consideraciones de negocio e integración
Requiere coordinación con usuarios de negocio para garantizar que no hay implicaciones de cerrar sesión de usuarios de todas las sesiones para la aplicación conectada causando interrupciones en las actividades diarias.
Directrices de revisión del estado de seguridad
Security Health Review identifica la configuración Activar bloqueo único aplicada en su organización de Salesforce.
Quién se ve afectado
Empleados internos, administradores, desarrolladores y usuarios de plantilla laboral que acceden a aplicaciones conectadas a través de Salesforce directamente.
