Configuration du serveur Liberty pour le suivi des jetons LTPA déconnectés
Vous pouvez configurer un serveur Liberty pour suivre les jetons LTPA (Lightweight Third Party Authentication) déconnectés.
Pourquoi et quand exécuter cette tâche
Lorsqu'un utilisateur se déconnecte au moyen d'une déconnexion par formulaire ou d'une déconnexion par programme, le jeton LTPA qui est utilisé pour la connexion unique est retiré du cookie. Le jeton LTPA qui est utilisé pour la connexion unique est également retiré du cache d'authentification locale et la session est invalidée. Si le jeton est conservé et présenté de nouveau, il est validé d'après le délai d'expiration et les clés de chiffrement LTPA.
Cet élément étant activé, les jetons SSO LTPA qui ont été déconnectés sur le serveur sont suivis et en cas de présentation sur le même serveur, ils ne sont pas utilisés. Une déconnexion est effectuée et l'utilisateur doit de nouveau s'authentifier.
Cette configuration fonctionne uniquement sur un même serveur. Cela signifie que le jeton LTPA peut être suivi uniquement sur le serveur où l'utilisateur s'est déconnecté, et si ce même jeton est présenté sur un autre serveur et est utilisé, et si les clés LTPA sont partagées et que le jeton n'est pas arrivé à expiration, il est utilisé jusqu'à sa déconnexion de ce serveur.
Procédure
<webAppSecurity trackLoggedOutSSOCookies="true"/>
Lorsque cet élément est activé, il peut affecter vos scénarios de connexion unique. Par exemple, si l'utilisateur 'bob' se connecte depuis plusieurs navigateurs au même serveur et se déconnecte depuis un navigateur et essaie d'accéder à la ressource en utilisant un autre navigateur, cet utilisateur doit se connecter car le jeton présenté est annulé.