10. Utloggning & sessionens giltighetstid
- Marco de Luca (Unlicensed)
OIDC servern har följande sessions tider.
- Förnya access token (RefreshToken): Nej (0 gånger)
- Session inaktivitetsutloggning: 15 min
- Session maxlängd: 10 tim
Säker utloggning behöver beaktas då flera aktörer är iblandade vid inloggning.
- Applikationen
- OIDC server (Behörighetstjänsten)
- SAML IdP
Bilden illustrerar vilka sessioner som måste avslutas för att få en säker utloggning.
Rekommendation
- Krav 1. Vid inloggning till e-Tjänsten bör tjänsten informera användaren om att den ska logga ut ur tjänsten när den avslutar arbetet.
- Krav 2. När användaren loggar ut ska det tydligt visas att sessionen mot tjänsten är avslutad. Då detta är en webbapplikation bör användaren även uppmanas om att stänga alla webbläsare.
Utloggning:
E-tjänsten behöver göra följande för att säkerställa att användaren loggas ut ordentligt.
| Session | Ansvarig |
|---|---|
1.Lokal session måste avslutas. | Ansluten e-tjänst eller applikation |
2.OIDC session måste avslutas | Ansluten e-tjänst eller applikation |
3.SP/IdP session skapad av OIDC server | OIDC server
|
SP/IdP session skapad* av e-tjänst | Ansluten e-tjänst eller applikation |
*Om e-tjänst/applkation har en egen SP anslutning mot IdP.
OIDC session avslutas genom följande URL kommando.
https://{hostnamn till miljö}/auth/realms/1177/protocol/openid-connect/logout?redirect_uri={URL kodad redirect URL}
Hostnamn till miljö:
- Utveckling: utv-oidc.inera.se
- Test: test-oidc.inera.se
- Produktion: oidc.inera.se
URL kodad redirect URL:
URL dit OIDC servern skall skicka användaren efter utloggning.