SSO - Cosa dovrebbe accadere quando l'utente fa clic su "Esci"

4

Stiamo aggiungendo la possibilità per le imprese di configurare l'accesso alla nostra applicazione Web tramite provider single-sign-on esterni (inizialmente tramite WS-FED, tuttavia, le versioni future supporteranno protocolli aggiuntivi). L'autenticazione nome utente / password sarà disponibile anche per i clienti che non hanno / vogliono configurare un provider SSO esterno e anche come fall-back nei casi in cui vi sia qualche problema con il provider SSO.

Che cosa dovrebbe accadere quando gli utenti fanno clic sul pulsante "Esci" nella nostra applicazione?

  • Sono disconnessi dalla nostra applicazione solo in modo che altre applicazioni che si autenticano tramite il provider SSO siano ancora disponibili.
  • Come sopra, ma richiediamo inoltre la ri-autenticazione con il provider SSO.
  • Sono completamente disconnessi dal loro provider SSO
posta Justin 29.02.2016 - 11:49
fonte

3 risposte

2

Questo è uno di quei punti in cui l'usabilità e la sicurezza generano risposte radicalmente diverse.

Da un punto di vista dell'usabilità ho osservato i seguenti argomenti:

  • Quando eseguo il logout su Sito a ho solo il modulo di disconnessione qui e posso continuare a utilizzare le altre posizioni in cui sono ancora connesso.
  • Quando premo il logout su Sito a in realtà viene reindirizzato a Sito b (il portale) e solo quando eseguo il logout in quel modulo sono effettivamente disconnesso. (usato principalmente nel contesto di una intranet o di un ambiente simile)

Da un punto di vista della sicurezza ho osservato i seguenti argomenti:

  • Quando un utente fa un logout, annulla immediatamente TUTTE le sessioni per questo utente e lo disconnette da qualsiasi parte di tutto il sistema dell'SSO.
  • Quando un utente esegue un logout, informa il provider SSO e non consente alcuna nuova sessione e disconnessione dall'applicazione corrente. ma non esiste alcun logout implicito per tutti i sistemi nell'SSO. (Solitamente mitigato con tempi di sessione brevi / vite di cookie). Questo può essere un limite tecnico dovuto alle tecnologie coinvolte (e / o licenze)
risposta data 29.02.2016 - 12:29
fonte
1

Nella maggior parte dei sistemi di autenticazione SSO che ho usato, Logout di solito significa disconnettersi dal provider di autenticazione e da tutti i sistemi connessi.

In alcune applicazioni mal scritte e nel sistema SSO, l'applicazione può memorizzare nella cache l'autenticazione e potrebbe non notare che la sessione che stanno utilizzando è già scaduta, ma l'applicazione dovrebbe ricontrollare periodicamente la validità della sessione per evitare che questa situazione rimanga per molto tempo. I migliori sistemi SSO sono in grado di postare nuovamente le applicazioni, per costringerli a disconnettersi immediatamente piuttosto che in base al controllo dell'applicazione periodicamente.

    
risposta data 29.02.2016 - 12:21
fonte
0

Probabilmente non c'è una risposta giusta qui, ma sosterrò che "Esci" si applica solo al tuo sito.

Stack Exchange come esempio

Uso l'opzione "Accedi con Google". Quando faccio clic su Esci, vedo questo:

Thedisconnetti"menu" in stack exchange "> </a> </p>

<P> Note: </p>

<Ol>
<li> Mostra che verrai disconnesso da tutti i domini Stack Exchange. </li>
<li> È una mia scelta se disconnettermi da questo dispositivo o da tutti i dispositivi. (che presumo sia delete-local-browser-cache vs invalidate-serveride-session). </li>
<li> Dopo aver effettuato il logout da SE, la mia scheda gmail continua a funzionare. </li>
</Ol>

<p> Alcuni motivi per cui non mi sento a mio agio </p>

<blockquote>
  <p>They are completely logged out of their SSO provider</p>
</blockquote>

<H2> Usabilità </h2>

<p> Sarei piuttosto seccato se esco da Stack Exchange sul mio portatile e dopo qualche tempo scopro che il mio telefono è stato espulso dal mio account Google, causandomi la perdita di e-mail urgenti, chat, documenti Google non sincronizzati, ecc. . </p>

<H2> Sicurezza </h2>

<p> Se disconnettersi da un servizio mi fa disconnettere dal provider SSO, può essere considerato un vettore di attacco di tipo Denial of Service? vale a dire un dipendente di Stack Stack non autorizzato può ottenere il mio browser per disconnettermi da tutti i servizi Google? Aumenta l     

risposta data 12.09.2018 - 16:54
fonte

Leggi altre domande sui tag