Resultados de la búsqueda :

×
Registrarsee Contáctenos

La mayoría de la gente solo ha oído hablar del SSO (inicio de sesión único). ¡Caramba!, construimos nuestra empresa basándonos en el SSO. El inicio de sesión único permite verificar la identidad una sola vez y, gracias a ello, acceder e iniciar sesión en múltiples aplicaciones conectadas. Esto añade un nivel de seguridad al eliminar la necesidad de tener varias credenciales diferentes; y al reducir la superficie de ataque, se puede minimizar la exposición y aumentar la seguridad de la superficie expuesta.

Esta seguridad se puede llevar un paso más allá agregando SLO (cierre de sesión único), el siguiente paso lógico, pero a menudo olvidado, en la seguridad de identidad y la gestión de sesiones.

El cierre de sesión único (SLO) es una función que garantiza que un usuario cierre la sesión automáticamente de todos los sistemas de autenticación conectados (como el proveedor OAuth o el proveedor de identidad (IdP)) cuando cierra la sesión de la aplicación principal (en este caso, un sitio web Drupal).

Cuando un usuario cierra sesión en Drupal, también se cierra la sesión en el IdP. Esto crea un escenario de cierre de sesión seguro que abarca todas las aplicaciones integradas.

En esta sección, discutiremos todo, desde los requisitos y el proceso de implementación hasta los resultados.

logotipo de la tarjeta de caso de uso

Módulo de cliente OAuth

Descargar módulo

Imagine una organización donde los usuarios se autentican a través de un proveedor central de OAuth o un proveedor de identidad y acceden a múltiples aplicaciones como portales de RR.HH., paneles de control, herramientas internas y plataformas de atención al cliente.

Todas las aplicaciones están conectadas y son accesibles a través de la aplicación Drupal central/principal.

Dado que la aplicación Drupal es el punto de ingreso principal, un usuario que opere bajo el supuesto de que el cierre de sesión de Drupal sería la salida principal, no estaría equivocado.

Pero sin que SLO haga su trabajo detrás de escena, su sesión en el Proveedor de Identidad sigue activa.

Esto significa, en teoría:

  • Un usuario no autenticado puede volver a abrir una aplicación conectada sin que se le solicite que inicie sesión.
  • En sistemas compartidos o públicos, es posible que otra persona obtenga acceso sin intención.

En entornos sensibles, como los que Drupal se especializa, esto se convierte en un problema grave, tanto en términos de cumplimiento normativo como de privacidad de datos.

El sistema parece seguro, pero no lo es.

Dónde un solo cierre de sesión cambia las reglas del juego

El Cierre de Sesión Único garantiza que, al cerrar sesión en Drupal, se cierren todas las sesiones conectadas (autenticadas), incluyendo la sesión en el proveedor de OAuth o de identidad. En lugar de detenerse en la capa de aplicación, el Cierre de Sesión Único completa el proceso de cierre de sesión de principio a fin.

Cuando SLO está habilitado:

  • Una vez que Drupal inicia el proceso de cierre de sesión, se envía una solicitud de cierre de sesión al punto final de sesión del proveedor OAuth.
  • Se finaliza la sesión del proveedor OAuth del usuario.
  • El usuario es redirigido a un destino de cierre de sesión definido en el Cliente OAuth.
  • Y como la sesión en el lado del proveedor ha finalizado, todas las futuras solicitudes de acceso desde cualquiera de las aplicaciones conectadas fallarían y todas las sesiones se finalizarían, y los usuarios se verían obligados a volver a autenticarse.

Un solo clic - Cierre de sesión único

  • Primero, instale y configure el Cliente OAuth de Drupal miniOrange módulo. Este Guia de preparacion Le ayudará a configurar el módulo.
  • Después de eso, en la sección Configuración del cliente, bajo la pestaña Configuración del cliente, marque la casilla Habilitar cierre de sesión único.
  • Ingrese la URL del proveedor OAuth o del IdP en el campo de texto Punto final de sesión del IDP para cerrar la sesión del usuario del proveedor de identidad cuando cierra la sesión del sitio Drupal.
  • Nombre del parámetro URI de redireccionamiento según su proveedor de identidad. Este parámetro contiene la URL de redireccionamiento posterior al cierre de sesión. Puede cambiar el nombre del parámetro según su proveedor de identidad.
  • Ahora, puedes ver el token Incluir ID en la casilla de verificación Punto final de sesión.
    • Si desea aprovechar esta función, navegue a la pestaña de configuración del módulo haciendo clic en el enlace de configuración del módulo.
    • Desplácese hacia abajo hasta la sección Almacenamiento de token, luego habilite el token Almacenar en la sesión de usuario y marque la casilla de verificación Token de ID.
    • Luego, desplácese hacia abajo y haga clic en el botón Guardar configuración.
  • Después de eso, marque la casilla de verificación Incluir token de ID en el punto final de la sesión e ingrese el nombre del parámetro del token de ID en el campo de texto según su IdP o proveedor de OAuth.
  • Luego, desplácese hacia abajo y haga clic en el botón Guardar.
  • Eso es todo, has configurado exitosamente la función de Cierre de sesión único.

En los ecosistemas de autenticación modernos, el cierre de sesión parcial o incorrecto es un riesgo oculto. Los usuarios confían en el botón de cierre de sesión, pero sin un SLO, esa confianza podría ser infundada.

La solución conjunta SSO y SLO garantiza la seguridad de su inicio de sesión y, una vez finalizado el trabajo, todas las sesiones conectadas se destruyen al cerrar sesión correctamente. Esto significa que no hay sesiones zombi; no hay posibilidad de robo accidental de cuentas o sesiones; y no hay puntos ciegos de seguridad.

Nos pondremos en contacto con usted lo antes posible.

formulario mo

 Gracias por su respuesta. Nos pondremos en contacto con usted pronto.

Algo salió mal. Por favor envíe su consulta nuevamente

Índice

¡Hola!

¿Necesitas ayuda? ¡Estamos aquí!

múltiples proveedores