Olet tässä:
Suojattu uloskirjautumissivu
Tämä hallinta varmistaa, että kun Salesforce-istunto vanhenee selainvälilehdessä, käyttäjä ohjataan automaattisesti esimääritettyyn ja suojattuun URL-osoitteeseen.
Ohjaimen nimi
Suojattu uloskirjautuminen
Suositeltu kokoonpano
- Uloskirjautumisen URL - Tarjoa uloskirjautumisen URL
- Ota Tallenna uudelleenohjauksen uloskirjautumissivun URL paikallisessa selaimessasi -asetus käyttöön
Määritykset>Istuntoasetukset>Logout URL |Store the redirect logout URL in your local browser.
Ohjauksen yleiskatsaus
Tämä ohjaus varmistaa, että kun Salesforce-istunto vanhenee selainvälilehdessä, käyttäjä ohjataan automaattisesti esimääritettyyn, suojattuun URL-osoitteeseen — tavallisesti kertakirjautumisen (SSO) uloskirjautumisen päätepisteeseen — oletusarvoisen sisäänkirjautumissivun sijaan. Kun organisaatio ottaa tämän uudelleenohjauksen käyttöön, se varmistaa globaalin uloskirjautumisen koko henkilöllisyyden ekosysteemistä estämällä valtuuttamattomia käyttäjiä käyttämästä ympäristöä uudelleen istuntovaltuuksien avulla henkilöllisyydentarjoajan tasolla.
Tietoturvariski, jos ei määritetty
Jos et ota käyttöön vanhentuneiden välilehtien uudelleenohjausta mukautettuun uloskirjautumissivun URL-osoitteeseen, käyttäjät ohjataan Salesforcen vakiomuotoiselle sisäänkirjautumissivulle henkilöllisyydentarjoajan (IdP) uloskirjautumisen päätepisteen sijaan, kun istunto aikakatkaistaan. Tämä ohittaa globaalin uloskirjautumisprosessin, mikä mahdollisesti jättää kertakirjautumisen (SSO) istunnon aktiiviseksi henkilöllisyydentarjoajan tasolla ja sallii saman laitteen seuraavan käyttäjän käyttää ympäristöä uudelleen todentamatta sitä uudelleen.
Uhkien skenaariot
Jaetussa työasemassa tai julkisessa pääteympäristössä käyttäjä voi jättää Salesforce-istuntonsa aikakatkaistamiseen olettaen, että istunto on päättynyt. Koska vanhentunut välilehti ei kuitenkaan voi käynnistää globaalia uloskirjautumista henkilöllisyydentarjoajasta (IdP), sen perustana oleva SSO-istunto pysyy aktiivisena. Sitten opportunistinen hyökkääjä voi vain napsauttaa sisäänkirjautumispainiketta ja todentaa itsensä välittömästi uudelleen edelliseksi käyttäjäksi, jolloin hänellä on täydet käyttöoikeudet luottamuksellisiin tietoihin pyytämättä häneltä koskaan tunnuksia.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
Riippuen yrityksessä olevien esiintymien määrästä.
Korkeampi riski, kun
Valtuuttamattoman istunnon palautuksen riski on merkittävästi suurempi, kun istunnon aikakatkaisun kesto on liian pitkä, mikä laajentaa hyökkääjän mahdollisuutta käyttää valvomatonta työasemaa ennen kuin istunto vanhenee.
Lisäksi henkilöllisyydentarjoajan (IdP) tason pakotetun todennuksen puute sallii selaimen luoda Salesforce-istunnon hiljaa uudelleen käyttämällä pysyvää henkilöllisyydentarjoajan evästettä, mikä ohittaa uuden sisäänkirjautumisen tai MFA-haasteen tarpeen, kun käyttäjä napsauttaa "Kirjaudu sisään"-painiketta vanhentuneesta välilehdestä.
Matala riski tai ei riskiä, kun
Organisaatioiden tulisi ottaa käyttöön kertakirjautuminen (SLO), joka varmistaa, että Salesforcesta uloskirjautuminen (tai istunnon aikakatkaisu) lopettaa istunnon tehokkaasti myös henkilöllisyydentarjoajan tasolla (IdP).
Lisäksi lyhyen istunnon aikakatkaisun kestojen (esimerkiksi 15–30 minuutin) ja monimenetelmäisen todennuksen (MFA) vaatiminen jokaiselle sisäänkirjautumisistunnolle tarjoaa kriittisen syvällisyyden, mikä varmistaa, että vaikka istunto pysyisi teknisesti aktiivisena, luottamuksellisten tietojen uudelleenkäyttö edellyttää toista todennusta tai uutta todennusta.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
N/A
Suositeltu korjaus
Ohjaa sisäänkirjautuminen yrityksesi sivulle.
Tietoturvan terveystarkastuksen ohjeet
Suojauksen terveystarkastus varmistaa, että organisaatiosi on määritetty käyttämään selaimessa esimääritettyä uudelleenohjauksen uloskirjautumissivun URL-osoitetta yhtiösi käytännön mukaiseksi.
