Liberty-Server für die Überwachung abgemeldeter LTPA-Tokens konfigurieren
Sie können einen Liberty-Server für die Überwachung abgemeldeter LTPA-Tokens (Lightweight Third Party Authentication) konfigurieren.
Informationen zu diesem Vorgang
Wenn ein Benutzer mithilfe der formulargestützten Abmeldung oder über eine programmsteuerte Abmeldung abgemeldet wird, wird das für SSO (Single Sign On) verwendete LTPA-Token aus dem Cookie entfernt. Das für SSO verwendete LTPA-Token wird auch aus dem lokalen Authentifizierungscache entfernt und die Sitzung wird ungültig. Wenn ein Token persistent gespeichert und erneut vorgelegt wird, wird es basierend auf der Verfallszeit und den LTPA-Chiffrierschlüsseln validiert.
Wenn dieses Element aktiviert ist, werden die LTPA-SSO-Tokens, die auf dem Server abgemeldet wurden, überwacht und, falls sie wieder auf demselben Server vorgelegt werden, nicht erneut verwendet. Es wird eine Abmeldung durchgeführt und der Benutzer muss sich erneut authentifizieren.
Diese Konfiguration funktioniert nur auf demselben Server. Das bedeutet, dass das LTPA-Token nur auf dem Server überwacht werden kann, auf dem sich der Benutzer abgemeldet hat. Wenn dasselbe LTPA-Token anschließend einem anderen Server vorgelegt wird, wird es verwendet. Wenn die LTPA-Schlüssel gemeinsam genutzt werden und das Token nicht verfallen ist, wird es verwendet, bis es ebenfalls auf diesem Server abgemeldet wird.
Vorgehensweise
<webAppSecurity trackLoggedOutSSOCookies="true"/>
Wenn dieses Element aktiviert ist, kann sich das möglicherweise auf Ihre SSO-Szenarien (Single Sign On) auswirken. Der Benutzer 'Bob' meldet sich beispielsweise über mehrere Browser an demselben Server an. Wenn er sich nun über einen Browser abmeldet und versucht, über einen anderen Browser auf die Ressource zuzugreifen, muss sich der Benutzer erneut anmelden, da das verwendete Token bereits verworfen wurde.