Unter Single Sign-out (SSO), auch als Single Sign-off, Single Log-out oder Single Log-off (SLO) bezeichnet, versteht man in der Webentwicklung ein Verhaltensmuster, welches es einem Client ermöglicht sich über einen zentralen Authentifizierungsgateway von mehreren Diensten gleichzeitig abzumelden.

Varianten

Bearbeiten
OpenID Connect Session Management[1][2]
Spezifikation für das Single Sign-out mittels JavaScript in Single-Page-Webanwendungen. Die JavaScript-Anwendung erhält hierbei eine Liste von URLs, welche die Anwendung über HTTP-Requests aufruft. Die Sessions können hierbei etwa mittels der DELETE-Methode gelöscht werden.
Alternativ kann auch ein iframe-Element oder img-Elemente verwendet werden, um den Browser zum Aufruf der URLs zu bringen. Hierbei wird jedoch nur die GET-Methode unterstützt.
OpenID Connect Front-Channel Logout[1][3]
Hier registriert die Clientanwendung die URL zur Abmeldung am Authentifizierungsgateway. Bei der Abmeldung rendert der Authentifizierungsgateway die aufzurufenden URLs mittels eines iframe-Elements oder mittels img-Elementen, wodurch der Browser die Logout-URLs aufruft. Hierbei wird nur die GET-Methode unterstützt.
OpenID Connect Back-Channel Logout[4]
Hier speichert der Authentifizierungsgateway an welchen Diensten sich der Client angemeldet hat. Bei der Abmeldung sendet der Authentifizierungsgateway ein Logout-Token an die jeweiligen Dienste.
Die Logout-Tokens basieren auf JSON Web Tokens (JWT) und sind mit Security Event Tokens (SET) kompatibel.[4][5]

Siehe auch

Bearbeiten
  1. a b Brock Allen: Single sign-out and IdentityServer3. 8. Februar 2016, abgerufen am 8. Mai 2017 (englisch).
  2. OpenID Connect Session Management 1.0. Abgerufen am 8. Mai 2017 (englisch).
  3. OpenID Connect Front-Channel Logout 1.0. Abgerufen am 8. Mai 2017 (englisch).
  4. a b OpenID Connect Back-Channel Logout 1.0. Abgerufen am 8. Mai 2017 (englisch).
  5. P. Hunt, W. Denniss, M. Ansari, M. Jones: Security Event Token (SET). IETF, abgerufen am 8. Mai 2017 (englisch).