Sikkerhetstest av implementasjon av single sign-out

[vildestixrud]

Tiltak 12

[LeifHelstad]

Test

Å teste "single sign-ut" krever flere enn en side å bli logget ut fra samtidig.
Jeg har kun testet arbeidsflate og kjenner kun til den. Å teste "single sign-out" med kun en side beviser ingenting.
Har forespurt de andre i testsenteret om de har andre A3 sider som burde delt samme global meny, slik at utlogging fra den ene siden medfører en samtidig utlogging fra den andre.

Test særlig rettet mot overgangsperioden A2 til A3 og perioden med beta-test

[seanes]

Les: https://docs.digdir.no/docs/idporten/oidc/oidc_protocol_logout.html

any tokens issues to 3rd-party scopes (beyond openid/profile) will still be active after a logout. For most scenarios in ID-porten, this is the desired behaviour, and thus the default behaviour. But a side effect of this design is that ex. Single-page applications (SPA)/javascript which have chosen to use ID-porten access_tokens with their own scope directly as their session mechanism, must use the revoke-endpoint instead (or in addition to) the /logout-endpoint to “log out of the spa”.

Per i dag bruker vi /logout-endepunktet, så hvis vi skal støtte SLO må vi bruke /revoke-endepunktet. Og som dere så er jeg usikker på om dette gir mening p.t. Men single sign in fungerer, og kan testes på tvers av applikasjoner allerede (f.eks. info.tt.altinn.no og af.tt.altinn.no).