U bent hier:
OAuth-toegangsbeleid - Enkelvoudig uitloggen inschakelen
Zorgt ervoor dat uitloggen bij één toepassing automatisch alle gekoppelde sessies beëindigt binnen het ecosysteem voor gebundelde identiteit voor die verbonden app.
Controlenaam
OAuth-toegangsbeleid - Enkelvoudig uitloggen inschakelen
Overzicht van besturingselementen
Zorgt ervoor dat uitloggen bij één toepassing automatisch alle gekoppelde sessies beëindigt binnen het ecosysteem voor gebundelde identiteit voor die verbonden app.
Beschrijving
Configureert Salesforce voor het verzenden en ontvangen van uitlogverzoeken (via SAML of OIDC) voor het synchroniseren van sessiebeëindiging binnen verschillende actieve sessies voor de onderliggende verbonden app.
Aanbevolen configuratie
Schakel "Enkelvoudig uitloggen" in de instellingen van de verbonden app in. Geef een geldige URL voor enkelvoudig uitloggen op en zorg ervoor dat het SAML-ondertekeningscertificaat wordt gedeeld om de authenticiteit van uitlogverzoeken te valideren.
Impact op beveiliging
Sluit het venster met de verweesde sessie waarin een gebruiker denkt het systeem te hebben verlaten, maar ingelogd blijft bij toepassingen verderop in de stroom of verderop in de stroom.
Business Impact
Stroomlijnt de gebruikerservaring door de noodzaak voor handmatig uitloggen van meerdere tabbladen weg te nemen en zorgt voor naleving van gegevensprivacynormen (bijvoorbeeld AVG/HIPAA) met betrekking tot sessievernietiging.
Beveiligingsrisico indien niet geconfigureerd
Door het ontbreken van enkelvoudig uitloggen kunnen niet-geverifieerde gebruikers nog actieve sessies op gedeelde hardware of openbare terminals kapen nadat de primaire gebruiker heeft uitgelogd bij Salesforce vanuit andere actieve sessies.
Dreigingsscenario's
Sessie-overname: Een aanvaller gebruikt een open sessie op een openbare computer. Onvoldoende sessieverval: Een gebruiker logt uit bij de IdP, maar de Salesforce-sessie blijft uren geldig.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Risico's worden vergroot in omgevingen met gedeelde werkstations waar meerdere gebruikers toegang hebben tot dezelfde fysieke hardware, of in omgevingen waar inactieve sessie-uitsluitingsconfiguratie niet wordt afgedwongen.
Hoger risico wanneer
Configuratie van inactieve sessieuitsluiting is niet ingeschakeld of de URL voor enkelvoudig uitloggen ontbreekt/is incorrect, wat leidt tot spooksessies die blijven bestaan totdat de time-outperiode is verstreken.
Laag risico wanneer
Uitloggen bij de IdP activeert een succesvolle LogoutRequest met Salesforce en alle andere verbonden serviceproviders.
Overwegingen bij bedrijf en integratie
Vereist coördinatie met zakelijke gebruikers om ervoor te zorgen dat het uitloggen van gebruikers bij alle sessies voor de verbonden app geen verstoring van dagelijkse activiteiten veroorzaakt.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert Enkelvoudige uitsluiting inschakelen die wordt afgedwongen in uw Salesforce-organisatie.
Wie wordt beïnvloed
Interne medewerkers, beheerders, ontwikkelaars en personeelsgebruikers die rechtstreeks via Salesforce toegang hebben tot verbonden toepassingen.
