위치:
OAuth 액세스 정책 - 단일 로그아웃 제어 활성화
하나의 응용 프로그램에서 로그아웃하면 해당 연결된 앱의 연합 ID 에코시스템 전반에서 연결된 모든 세션이 자동으로 종료되는지 확인합니다.
제어 이름
OAuth 액세스 정책 - 단일 로그아웃 활성화
제어 개요
하나의 응용 프로그램에서 로그아웃하면 해당 연결된 앱의 연합 ID 에코시스템 전반에서 연결된 모든 세션이 자동으로 종료되는지 확인합니다.
상세 설명
SAML 또는 OIDC를 통해 로그아웃 요청을 보내고 수신하도록 Salesforce를 구성하여 기본 연결된 앱의 다양한 활성 세션에서 세션 종료를 동기화합니다.
권장 구성
연결된 앱 설정에서 "단일 로그아웃"을 활성화합니다. 유효한 단일 로그아웃 URL을 제공하고 SAML 서명 인증서가 공유되어 로그아웃 요청의 신뢰성을 확인합니다.
보안 영향
사용자가 시스템을 종료했지만 다운스트림 또는 업스트림 응용 프로그램에 로그인된 상태로 남아 있다고 생각하는 고아 세션 창을 닫습니다.
비즈니스 영향
여러 탭에서 수동 로그아웃을 제거하여 사용자 환경을 간소화하고 세션 폐기와 관련하여 데이터 프라이버시 표준(예: GDPR/HIPAA)을 준수합니다.
구성되지 않은 경우 보안 위험
단일 로그아웃이 없으면 기본 사용자가 다른 활성 세션에서 Salesforce에서 로그아웃한 후 권한이 없는 사용자가 공유 하드웨어 또는 공개 터미널에서 여전히 활성 세션을 하이재킹할 수 있습니다.
위협 시나리오
세션 하이재킹: 공격자가 공개 컴퓨터에서 열린 세션을 사용합니다. 부족한 세션 만료: 사용자가 IdP에서 로그아웃하지만 Salesforce 세션은 몇 시간 동안 유효하게 유지됩니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
동일한 물리적 하드웨어에 여러 사용자가 액세스하는 공유 워크스테이션이 있는 환경 또는 비활성 세션 잠금 구성이 적용되지 않은 환경에서 위험이 증가합니다.
위험이 높은 경우
비활성 세션 잠금 구성이 활성화되어 있지 않거나 단일 로그아웃 URL이 누락되거나 올바르지 않으므로 시간 초과 기간이 만료될 때까지 유령 세션이 지속됩니다.
낮은 위험 시기
IdP에서 로그아웃하면 Salesforce 및 기타 연결된 서비스 공급자에 대한 성공적인 LogoutRequest가 트리거됩니다.
비즈니스 및 통합 고려 사항
비즈니스 사용자와 협조하여 연결된 앱의 모든 세션에서 사용자 로그아웃으로 인해 일상적인 활동이 중단되는 영향을 미치지 않도록 합니다.
보안 상태 검토 지침
보안 상태 검토는 Salesforce 조직에 적용된 단일 잠금 구성 활성화를 식별합니다.
영향을 받는 사람
Salesforce를 통해 직접 연결된 응용 프로그램에 액세스하는 내부 직원, 관리자, 개발자, 직원 사용자
