安全登出頁面

控制名稱

保護登出

建議組態

• 登出 URL - 提供登出 URL
• 啟用「在您的本機瀏覽器中儲存重新導向登出 URL」

設定>工作階段設定>登出 URL|將重新導向登出 URL 儲存在您的本機瀏覽器中。

控制概觀

此控制項可確保當在瀏覽器索引標籤中 Salesforce 工作階段到期時,系統會自動將使用者重新導向至預先定義的安全 URL (通常是單一登入 (SSO) 登出端點),而非預設登入頁面。透過強制執行此重新導向,組織可確保整個身分識別生態系統的全域登出,避免未經授權的使用者透過延遲的工作階段權杖在身分提供者層級重新存取環境。

未設定安全性風險

若未啟用將過期的索引標籤重新導向至自訂登出 URL,則會增加未經授權的工作階段持續性風險,因為當工作階段逾時,系統會將使用者導向至標準 Salesforce 登入頁面,而非身分提供者的 (IdP) 登出端點。這會略過全域登出流程,可能會在 IdP 層級將「單一登入」(SSO) 工作階段保持啟用,並允許相同裝置上的後續使用者無須重新驗證即可重新存取環境。

威脅情況

在共用工作站或公用終端環境中,使用者可能會離開其 Salesforce 工作階段逾時,假設工作階段已關閉。然而,由於到期的索引標籤無法觸發身分提供者 (IdP) 的全域登出,因此基本 SSO 工作階段會保持啟用。接著,機會性攻擊者可以直接按一下登入按鈕,以立即重新驗證為先前的使用者,取得敏感資料的完整存取權,而不會收到認證的提示。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

取決於公司中的例項數目。

風險愈高時機

過長的工作階段逾時持續時間會大幅增加未經授權的工作階段還原風險,進而擴大攻擊者在工作階段到期前存取未受監視工作站的機會時段。

此外,由於在身分提供者 (IdP) 層級缺乏強制重新驗證,因此瀏覽器可以使用持續的 IdP Cookie 無聲地重新建立 Salesforce 工作階段,以略過當使用者按一下已到期索引標籤上的「登入」按鈕時需要重新登入或 MFA 挑戰。

低風險或無風險的時機

為了儘量減少未經授權的工作階段還原風險,組織應實作單一登出 (SLO),以確保登出 Salesforce (或工作階段逾時) 也有效終止身分提供者 (IdP) 層級的工作階段。

此外,強制執行工作階段短逾時持續時間 (例如 15–30 分鐘) 並為每個登入工作階段要求多因素驗證 (MFA) 可提供重要深度防禦,確保即使工作階段在技術上保持啟用,仍需要使用第二因素或重新驗證才能重新存取敏感資料。

業務與整合考量事項

無

建議的補救措施

將登入重新導向至您的公司頁面。

安全性健康檢閱指南

「安全性健康檢閱」檢查以確保在瀏覽器中使用預先定義的重新導向登出 URL 來設定組織,以符合您的公司原則。