您在此处:
OAuth 访问策略 - 启用单点注销
确保注销一个应用程序会自动终止该连接的应用程序的联盟身份生态系统中的所有关联会话。
控件名称
OAuth 访问策略 - 启用单点注销
控制概览
确保注销一个应用程序会自动终止该连接的应用程序的联盟身份生态系统中的所有关联会话。
描述
配置 Salesforce 发送和接收注销请求(通过 SAML 或 oidC),以跨基础连接的应用程序的不同活动会话同步会话终止。
推荐配置
在连接的应用程序设置中启用“单点注销”。提供有效的单点注销 URL,并确保共享 SAML 签名证书,以验证注销请求的真实性。
安全影响
关闭孤立会话窗口,在该窗口中,用户认为他们已经退出系统,但仍登录下游或上游应用程序。
业务影响
通过消除从多个选项卡手动注销的需要,简化用户体验,并确保遵守关于会话销毁的数据隐私标准(例如 GDPR/HIPAA)。
安全风险(如果未配置)
在主要用户从其他有效会话注销 Salesforce 后,缺乏单点注销使未经授权的用户能够劫持共享硬件或公共终端上仍处于活动状态的会话。
威胁场景
会话劫持:攻击者在公共计算机上使用打开的会话。会话到期不足:用户注销 IdP,但 Salesforce 会话仍有效数小时。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
在多个用户访问相同物理硬件的共享工作站环境中,或者未强制实施非活动会话锁定配置的环境中,风险被放大。
高风险
未启用非活动会话锁定配置,或单点注销 URL 缺失/不正确,导致假象会话持续存在,直到超时期限到期。
低风险
注销 IdP 会触发对 Salesforce 和所有其他连接的服务提供商的成功LogoutRequest。
业务和集成注意事项
需要与业务用户协调,以确保不会因为用户从连接的应用程序的所有会话中注销而导致日常活动中断。
安全健康审查指导
安全运行状况审查识别在您的 Salesforce 组织中强制执行的启用单点锁定配置。
谁受到影响
内部员工、管理员、开发人员和员工用户可通过 Salesforce 直接访问连接的应用程序。
