Wyloguj wszędzie

Facebooktwitterpinterestlinkedinmail
Dotyczy wersji: 2023 R1 i powyżej; autor: Krystyna Gawryał

 

Wprowadzenie

W wersji 2023 R1 WEBCON BPS wprowadzono funkcjonalność umożliwiającą unieważnienie wszystkich aktywnych sesji użytkownika przy użyciu przycisku Wyloguj wszędzie. Po jego naciśnięciu użytkownik zostaje wylogowany ze wszystkich środowisk i platform, które wykorzystują uwierzytelnianie oparte na plikach cookie, w tym kart i okien przeglądarek internetowych, aplikacji mobilnej, dodatku WEBCON BPS Teams oraz dodatków Outlook Classic i Outlook Modern.

W niniejszym artykule opisano najważniejsze kwestie związane z tą funkcjonalnością i zawarto krótką instrukcję jej użycia.

 

Założenia, wygląd i konfiguracja

Podstawowym założeniem funkcjonalności globalnego wylogowania jest zwiększenie bezpieczeństwa użytkowników poprzez zabezpieczenie przed nieupoważnionym dostępem do systemu. Dotychczas mogło zdarzyć się tak, że pomimo wylogowania z Portalu sesja użytkownika była nadal aktywna, np. na innym urządzeniu, przez co dostęp do informacji poufnych mogły mieć osoby postronne.

Domyślnie w menu użytkownika w Portalu widnieje jeden przycisk wylogowania – Wyloguj. Pozwala on na wylogowanie z pojedynczej sesji użytkownika.

 

Widoczność innych przycisków (lub ich kombinacji) determinowana jest ustawieniami w Designer Studio. W oknie Bezpieczeństwo (Konfiguracja systemu → Parametry globalne) dostępny jest parametr Zachowanie wylogowania z WEBCON BPS Portal. Oprócz wcześniej wspomnianej, domyślnej opcji wylogowania z pojedynczej sesji wprowadzono tutaj także ustawienie dające Możliwość wylogowania ze wszystkich sesji.

 

Po wybraniu tej opcji (①) i zapisaniu zmian (②) w menu użytkownika w Portalu dostępny będzie przycisk Wyloguj pozwalający na wylogowanie z pojedynczej sesji użytkownika oraz, poniżej, przycisk Wyloguj wszędzie pozwalający na wylogowanie z wszystkich sesji użytkownika na wszystkich urządzeniach.

 

Jeżeli zaistnieje taka potrzeba, możliwe jest także ustawienie Wymuszonego wylogowania ze wszystkich sesji. Wówczas w menu użytkownika dostępny będzie tylko przycisk Wyloguj wszędzie, po wybraniu którego nastąpi wylogowanie użytkownika ze wszystkich sesji na wszystkich urządzeniach.

Uwaga: należy pamiętać, że wprowadzenie zmian bezpieczeństwa wymaga uprawnień administratora systemu i każdorazowo zrestartowania Portalu i Designer Studio.

 

Konfiguracja dodatkowa

Metoda Windows Authentication w Internet Information Services (IIS) odpowiada za uwierzytelnianie użytkowników, którzy próbują uzyskać dostęp do zasobów na serwerze sieciowym. Jest ona kluczową metodą uwierzytelniania w środowiskach korporacyjnych, gdzie integracja z Active Directory i bezpieczeństwo są priorytetem. Wykorzystuje istniejące poświadczenia użytkownika Windows, co oznacza, że użytkownicy zalogowani na swoich komputerach w domenie nie muszą ponownie wprowadzać swoich nazw użytkowników ani haseł.

Metoda doskonale sprawdza się do automatycznego uwierzytelniania w witrynach i aplikacjach internetowych, gdzie użytkownicy są już zazwyczaj zalogowani do domeny Windows, jednak z uwagi na charakter swojego działania uniemożliwia prawidłowe funkcjonowanie opcji zakończenia wszystkich aktywnych sesji użytkownika za pomocą przycisku Wyloguj wszędzie.

W związku z powyższym konieczne jest przeprowadzenie dodatkowych czynności konfiguracyjnych i dezaktywowanie metody uwierzytelniania Windows Authentication:

  1. Uruchom Menedżera IIS na swoim komputerze, wybierając z Panelu sterowaniaSystem i zabezpieczeniaNarzędzia administracyjneInternet Information Services (IIS) Manager.

 

  1. W lewym panelu drzewa nawigacyjnego wybierz serwer, a następnie stronę WEBCONBPS, dla której zostanie skonfigurowane uwierzytelnianie.

 

  1. W środkowym panelu Features (Funkcje) znajdź i kliknij na Authentication (Uwierzytelnianie).

 

Zobaczysz listę dostępnych metod uwierzytelniania.

  1. Kliknij prawym przyciskiem myszy na metodę Windows Authentication i wybierz Disable (Wyłącz). Po chwili jej status zmieni się na Disabled.

 

5. Upewnij się, że dla metody Basic Authentication również ustawiona jest opcja Disabled.      Możesz już zamknąć Menadżera IIS.

 

Testowanie funkcjonalności

W celu przetestowania funkcjonalności przeprowadzono wyżej wymienione czynności konfiguracyjne, a następnie zalogowano się do Portalu na dwóch różnych przeglądarkach (Microsoft Edge i Google Chrome), wybierając tego samego dostawcę uwierzytelnienia oraz wprowadzając dane tego samego użytkownika. W przeglądarce Microsoft Edge wybrano przycisk Wyloguj wszędzie.

 

W następstwie tego działania w tym samym oknie wyświetlony został standardowy komunikat:

 

Z kolei w przeglądarce Google Chrome po chwili pojawiła się informacja o wygaśnięciu sesji:

 

Po czym nastąpiło przekierowanie do strony logowania:

 

Pliki cookie zostały unieważnione i użytkownik został poprawnie wylogowany ze wszystkich aktywnych sesji.

 

Informacje dodatkowe: nowa metryka dla OpenTelemetry

Wraz z nową funkcjonalnością umożliwiającą wylogowanie ze wszystkich sesji dodano nową metrykę OpenTelemetry dostępną za pośrednictwem modułu o nazwie „webcon-workflow-portal-ticket-store-cache”. Metryka umożliwia wyświetlanie liczby aktualnie zapisanych w pamięci podręcznej identyfikatorów uwierzytelniania użytkownika.

Szczegółowe informacje na temat OpenTelemetry w WEBCON BPS można znaleźć na stronie: https://kb.webcon.pl/opentelemetry-w-webcon-bps/.