보안 로그아웃 페이지

제어 이름

보안 로그아웃

권장 구성

• 로그아웃 URL - 로그아웃 URL 제공
• 로컬 브라우저에서 리디렉션 로그아웃 URL 저장 활성화

설정>세션 설정>로그아웃 URL |로컬 브라우저에 리디렉션 로그아웃 URL을 저장합니다.

제어 개요

이 제어를 통해 브라우저 탭에서 Salesforce 세션이 만료되면 사용자가 기본 로그인 페이지가 아닌 사전 정의된 보안 URL(일반적으로 싱글사인온(SSO) 로그아웃 끝점)으로 자동 리디렉션됩니다. 이 리디렉션을 적용하면 조직이 전체 ID 에코시스템 전반에 걸쳐 전역 로그아웃을 보장하여 권한이 없는 사용자가 ID 공급자 수준에서 유휴 세션 토큰을 통해 환경에 다시 액세스하지 못하도록 방지합니다.

구성되지 않은 경우 보안 위험

만료된 탭을 사용자 정의 로그아웃 URL로 리디렉션하지 않으면 세션 시간이 초과되면 사용자가 ID 공급자(IdP) 로그아웃 끝점 대신 표준 Salesforce 로그인 페이지로 이동되므로 권한이 없는 세션 지속 위험이 증가합니다. 그러면 전역 로그아웃 프로세스를 우회하여 잠재적으로 싱글사인온(SSO) 세션이 IdP 수준에서 활성 상태를 유지하고 동일한 장치의 후속 사용자가 재인증 없이 환경에 다시 액세스할 수 있습니다.

위협 시나리오

공유 워크스테이션 또는 공개 터미널 환경에서 사용자는 세션이 중단된 것으로 가정하여 Salesforce 세션을 시간 초과로 떠날 수 있습니다. 그러나 만료된 탭이 ID 공급자(IdP)에서 전역 로그아웃을 트리거하지 못하므로 기본 SSO 세션이 활성 상태로 유지됩니다. 그러면 기회적 공격자는 로그인 버튼을 클릭하면 이전 사용자로 즉시 재인증되므로 자격 증명을 요청하지 않고도 중요한 데이터에 대한 전체 액세스 권한을 얻을 수 있습니다.

예상 CVSS 점수 범위

중요(9.0~10.0)

위험 영향 고려 사항

회사의 인스턴스 수에 따라 다릅니다.

위험이 높은 경우

세션 시간 초과 기간이 지나치게 길어 공격자가 세션이 만료되기 전에 무인 워크스테이션에 액세스할 수 있는 기회 창을 확장하기 때문에 무단 세션 복원이 발생할 위험이 크게 증가합니다.

또한 ID 공급자(IdP) 수준에서 강제 재인증이 없으므로 브라우저에서 유지 중인 IdP 쿠키를 사용하여 자동으로 Salesforce 세션을 재설정하여 사용자가 만료된 탭에서 "로그인" 버튼을 클릭하면 새 로그인 또는 MFA 챌린지를 생략할 수 있습니다.

낮은 위험 또는 비위험

인가되지 않은 세션 복원 위험을 최소화하기 위해 조직은 Salesforce에서 로그아웃하거나 세션 시간 초과 시 ID 공급자(IdP) 수준에서도 세션을 효과적으로 종료하도록 하는 단일 로그아웃(SLO)을 구현해야 합니다.

또한 짧은 세션 시간 초과 기간(예: 15~30분)을 적용하고 모든 로그인 세션에 다단계 인증(MFA)을 요구하면 중요한 심층 방어 기능을 제공하므로 세션이 기술적으로 활성 상태로 유지되더라도 중요한 데이터에 다시 액세스하기 위해 두 번째 요소 또는 새 인증이 필요합니다.

비즈니스 및 통합 고려 사항

N/A

권장 수정

로그인을 회사 페이지로 리디렉션합니다.

보안 상태 검토 지침

보안 상태 검토를 통해 조직이 브라우저에서 사전 정의된 리디렉션 로그아웃 URL로 구성되어 회사 정책에 부합하는지 확인합니다.