breadcrumbDescription
OAuth-adgangspolitikker for en tilsluttet app: Aktiver Single og SAML-logoutkontrol
Single Logout er en mekanisme, der sikrer, at når en bruger logger ud af enten Salesforce eller en ekstern identitetsudbyder (IdP), afsluttes sessionen samtidigt på tværs af alle tilsluttede applikationer i Trust.
Kontrolnavn
Eksterne klientapps: Konfigurer OAuth-politikker: Administrer start-URL'en for eksterne klientapps
Anbefalet konfiguration
Aktiver Single Logout.
Kontroller oversigt
Single Logout er en mekanisme, der sikrer, at når en bruger logger ud af enten Salesforce eller en ekstern identitetsudbyder (IdP), afsluttes sessionen samtidigt på tværs af alle tilsluttede applikationer i Trust.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Uden Single Logout kan en bruger "logge ud" af Salesforce, men efterlade en aktiv, gyldig session åben på IdP (eller omvendt) og oprette en "zombisession", der tillader uautoriseret adgang til den, der næste bruger denne enhed.
Trusselscenarier
I et delt arbejdsstationsmiljø klikker en bruger på "Log ud" i Salesforce og går væk, men den næste person kan genindtaste systemet uden en adgangskode, da IdP-sessionen forbliver aktiv.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Ufuldstændig sessionsafslutning fører til uautoriseret dataadgang og kontoovertagelse, hvilket øger risikoen for "Insider Threats" eller utilsigtet dataeksponering i offentlige eller delte miljøer.
Højere risiko når
Risikoen er væsentligt højere, når flere medarbejdere bruger den samme fysiske hardware i løbet af dagen.
Lav risiko når
Scenariet er lavere risiko, når det kombineres med aggressive sessionstimeouts og tvungne gengodkendelsespolitikker, der minimerer vinduet af tid, hvor en inaktiv session forbliver gyldig.
Overvejelser i forbindelse med forretning og integration
Implementering af Single Logout kræver teknisk koordinering med IdP for at sikre, at både "Front-Channel"-logoutanmodninger (browserbaseret) og "Back-Channel"-logoutanmodninger (server-til-server) er korrekt formateret og accepteret.
Anbefalet rettelse
Gå til indstillingerne for Tilsluttet app eller Godkendelsesudbyder, angiv den Single Logout-URL, der leveres af din IdP, og vælg den relevante type (SAML eller OpenID Connect).
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandscheck identificerer Single Logout som et grundlæggende "Clean Afslutning"-krav, så "Logout" er en absolut kommando, der rydder brugerens hele digitale fodaftryk for den pågældende session.
