Ti trovi qui:
Policy di accesso OAuth - Abilita Single Logout
Garantisce che la disconnessione da un'applicazione termini automaticamente tutte le sessioni associate nell'ecosistema dell'identità federata per quell'applicazione connessa.
Nome controllo
Policy di accesso OAuth - Abilita Single Logout
Panoramica sul controllo
Garantisce che la disconnessione da un'applicazione termini automaticamente tutte le sessioni associate nell'ecosistema dell'identità federata per quell'applicazione connessa.
Descrizione
Configura Salesforce per l'invio e la ricezione di richieste di disconnessione (tramite SAML o OIDC) per sincronizzare la terminazione della sessione in diverse sessioni attive per l'applicazione connessa sottostante.
Configurazione consigliata
Abilitare "Single Logout" nelle impostazioni dell'applicazione connessa. Specificare un URL di Single Logout valido e assicurarsi che il certificato di firma SAML sia condiviso per convalidare l'autenticità delle richieste di disconnessione.
Impatto sulla sicurezza
Chiude la finestra della sessione orfana in cui un utente crede di essere uscito dal sistema ma rimane connesso alle applicazioni a valle o a monte.
Impatto sul business
Semplifica l'esperienza utente eliminando la necessità di disconnessione manuale da più schede e garantisce la conformità agli standard di privacy dei dati (ad esempio, GDPR/HIPAA) per quanto riguarda la distruzione della sessione.
Rischio per la sicurezza se non configurato
La mancanza di Single Logout consente agli utenti non autorizzati di dirottare le sessioni ancora attive su hardware condiviso o terminali pubblici dopo che l'utente principale si è disconnesso da Salesforce da altre sessioni attive.
Scenari di minaccia
Hijack della sessione: Un aggressore utilizza una sessione aperta su un computer pubblico. Scadenza sessione insufficiente: Un utente si disconnette dal provider di identità ma la sessione di Salesforce rimane valida per ore.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
Il rischio è amplificato negli ambienti con workstation condivise in cui più utenti accedono allo stesso hardware fisico o in cui non viene applicata la configurazione di blocco della sessione inattiva.
Rischio maggiore quando
La configurazione di blocco della sessione inattiva non è abilitata o l'URL di Single Logout è assente/errato, il che causa sessioni fantasma che persistono fino alla scadenza del periodo di timeout.
Basso rischio quando
La disconnessione dal provider di identità attiva un LogoutRequest riuscito a Salesforce e a tutti gli altri fornitori di servizi connessi.
Considerazioni su Business e integrazione
Richiede il coordinamento con gli utenti aziendali per garantire che non vi siano implicazioni che la disconnessione degli utenti da tutte le sessioni per l'applicazione connessa causi interruzioni delle attività quotidiane.
Guida all'esame dello stato della sicurezza
Security Health Review identifica Abilita configurazione Single Lockout applicata nell'organizzazione Salesforce.
Chi è interessato
Dipendenti interni, amministratori, sviluppatori e utenti della forza lavoro che accedono direttamente alle applicazioni connesse tramite Salesforce.
