Vous êtes ici :
Stratégies d'accès OAuth - Activer la déconnexion unique
Garantit que la déconnexion d'une application termine automatiquement toutes les sessions associées dans l'écosystème d'identité fédérée de cette application connectée.
Nom du contrôle
Stratégies d'accès OAuth - Activer la déconnexion unique
Vue d'ensemble du contrôle
Garantit que la déconnexion d'une application termine automatiquement toutes les sessions associées dans l'écosystème d'identité fédérée de cette application connectée.
Description
Configure Salesforce pour envoyer et recevoir des requêtes de déconnexion (via SAML ou OIDC) afin de synchroniser la fin de session entre différentes sessions actives pour l'application connectée sous-jacente.
Configuration recommandée
Activez « Déconnexion unique » dans les paramètres de l'application connectée. Saisissez une URL de déconnexion unique valide et assurez-vous que le certificat de signature SAML est partagé pour valider l'authenticité des demandes de déconnexion.
Impact sur la sécurité
Ferme la fenêtre de session orpheline dans laquelle un utilisateur pense avoir quitté le système, mais reste connecté à des applications en aval ou en amont.
Impact commercial
Rationalise l'expérience utilisateur en supprimant la nécessité de se déconnecter manuellement de plusieurs onglets et garantit la conformité aux normes de confidentialité des données (par exemple, GDPR/HIPAA) concernant la destruction des sessions.
Risque de sécurité s'il n'est pas configuré
L'absence de déconnexion unique permet aux utilisateurs non autorisés de pirater des sessions encore actives sur du matériel partagé ou des terminaux publics lorsque l'utilisateur principal s'est déconnecté de Salesforce à partir d'autres sessions actives.
Scénarios de menace
Piratage de session : Un assaillant utilise une session ouverte sur un ordinateur public. Expiration de session insuffisante : Un utilisateur se déconnecte de l'IdP, mais la session Salesforce reste valide pendant des heures.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
Le risque est amplifié dans les environnements avec des stations de travail partagées où plusieurs utilisateurs accèdent au même matériel physique, ou dans les environnements où la configuration du verrouillage de session inactif n'est pas appliquée.
Risque plus élevé quand
La configuration du verrouillage de session inactif n'est pas activée, ou l'URL de déconnexion unique est manquante/incorrecte, ce qui entraîne des sessions fantômes qui persistent jusqu'à l'expiration de la période d'expiration.
Risque faible quand
La déconnexion de l'IdP déclenche une LogoutRequest réussie vers Salesforce et tous les autres fournisseurs de services connectés.
Considérations relatives à l'entreprise et à l'intégration
Nécessite une coordination avec les utilisateurs professionnels pour s'assurer que la déconnexion des utilisateurs de toutes les sessions de l'application connectée n'entraîne aucune interruption des activités quotidiennes.
Guide d'examen sanitaire de sécurité
L'examen de l'intégrité de la sécurité identifie la configuration Activer le verrouillage unique appliquée dans votre organisation Salesforce.
Qui est impacté
Employés internes, administrateurs, développeurs et utilisateurs de la force de travail qui accèdent directement aux applications connectées via Salesforce.
