Global logout - Globalne wylogowanie (wszędzie)
Applies to version: 2023 R1 and above; author: Krystyna Gawryał
Introduction
Version 2023 R1 of WEBCON BPS introduced the functionality to invalidate all active user sessions with the Global logout button. When the button is pressed, the user is logged out of all environments and platforms that use cookie-based authentication, including web browser tabs and windows, the mobile app, WEBCON BPS Teams, Outlook Classic, and Outlook Modern add-ins.
This article outlines the key considerations related to this functionality and provides instructions for its use.
Assumptions, design and configuration
The fundamental objective of the global logout functionality is to enhance user security by preventing unauthorized access to the system. Previously, there were instances where, despite logging out of Portal, the user's session remained active, e.g. on another device, potentially allowing outsiders to access confidential information.
By default, the user menu in Portal displays a single Logout button. This button enables users to log out of a single user session.
The visibility of other buttons (or combinations of buttons) is dependent on the settings configured in Designer Studio. In the Security window (System Settings → Global Parameters), you will find the parameter WEBCON BPS Portal logout behavior. In addition to the previously mentioned default option of logging out of a single session, a new setting has been introduced that allows users to Log out from all sessions.
When this option is selected (①) and the changes are saved (②), a Logout button will be available in the user menu in Portal, allowing users to log out from a single session, and, below that, a Global logout button, allowing users to log out from all sessions on all devices.
If necessary, it is also possible to Force logging out from all sessions. In this case, only the Global logout button is available in the user menu; when selected, the user is logged out of all sessions on all devices.
Note: Making security changes requires system administrator privileges and restarting Portal and Designer Studio each time.
Additional configuration
The Windows Authentication method in Internet Information Services (IIS) is the primary method for verifying the identity of users attempting to access resources on a web server. It is a key authentication method in enterprise environments where Active Directory integration and security are of paramount importance. It leverages existing Windows user credentials, eliminating the need for users who are logged on to their computers in the domain to re-enter their logins or passwords.
The method is well-suited for automatic authentication in websites and web applications where users are usually already logged in to the Windows domain. However, due to the nature of its operation, it does not allow for the termination of all active user sessions with the Global logout button.
Accordingly, supplementary configuration steps must be undertaken and the Windows Authentication method deactivated. To do so:
- Launch IIS Manager on your computer by selecting Control Panel → System and Security → Administrative Tools → Internet Information Services (IIS) Manager.
2. In the left panel of the navigation tree, select the server and then the WEBCONBPS site for which authentication will be configured.
3. In the middle Features panel, find and click on Authentication.
You will see a list of available authentication methods.
4. Right-click on the Windows Authentication method and select Disable. After a short period of time, its status will change to Disabled.
5. Make sure that the Basic Authentication method is also set to Disabled. You may now close the IIS Manager.
Testing the functionality
To test the functionality, the configuration steps mentioned above were carried out. The user then logged in to Portal on two different browsers (Microsoft Edge and Google Chrome), selecting the same authentication provider and entering the same user data. In Microsoft Edge , the Global logout button was selected.
This action was followed by a standard message in the same window:
In contrast, Google Chrome displayed a message indicating that the session had expired:
This was followed by a redirect to the login page:
The cookies were invalidated, and the user was successfully logged out of all active sessions.
Additional information: new metric for OpenTelemetry
Along with the new functionality that facilitates logging out of all sessions, a new OpenTelemetry metric has been introduced. This metric is accessible through the “webcon-workflow-portal-ticket-store-cache” module allowing the display of user authorization identifiers currently stored in the cache memory.
Detailed information about OpenTelemetry in WEBCON BPS can be found at https://community.webcon.com/posts/post/opentelemetry-in-webcon-bps/403/3.
============================ PL =======================
Dotyczy wersji: 2023 R1 i powyżej; autor: Krystyna Gawryał
Wprowadzenie
W wersji 2023 R1 WEBCON BPS wprowadzono funkcjonalność umożliwiającą unieważnienie wszystkich aktywnych sesji użytkownika przy użyciu przycisku Wyloguj wszędzie. Po jego naciśnięciu użytkownik zostaje wylogowany ze wszystkich środowisk i platform, które wykorzystują uwierzytelnianie oparte na plikach cookie, w tym kart i okien przeglądarek internetowych, aplikacji mobilnej, dodatku WEBCON BPS Teams oraz dodatków Outlook Classic i Outlook Modern.
W niniejszym artykule opisano najważniejsze kwestie związane z tą funkcjonalnością i zawarto krótką instrukcję jej użycia.
Założenia, wygląd i konfiguracja
Podstawowym założeniem funkcjonalności globalnego wylogowania jest zwiększenie bezpieczeństwa użytkowników poprzez zabezpieczenie przed nieupoważnionym dostępem do systemu. Dotychczas mogło zdarzyć się tak, że pomimo wylogowania z Portalu sesja użytkownika była nadal aktywna, np. na innym urządzeniu, przez co dostęp do informacji poufnych mogły mieć osoby postronne.
Domyślnie w menu użytkownika w Portalu widnieje jeden przycisk wylogowania – Wyloguj. Pozwala on na wylogowanie z pojedynczej sesji użytkownika.
Widoczność innych przycisków (lub ich kombinacji) determinowana jest ustawieniami w Designer Studio. W oknie Bezpieczeństwo (Konfiguracja systemu → Parametry globalne) dostępny jest parametr Zachowanie wylogowania z WEBCON BPS Portal. Oprócz wcześniej wspomnianej, domyślnej opcji wylogowania z pojedynczej sesji wprowadzono tutaj także ustawienie dające Możliwość wylogowania ze wszystkich sesji.
Po wybraniu tej opcji (①) i zapisaniu zmian (②) w menu użytkownika w Portalu dostępny będzie przycisk Wyloguj pozwalający na wylogowanie z pojedynczej sesji użytkownika oraz, poniżej, przycisk Wyloguj wszędzie pozwalający na wylogowanie z wszystkich sesji użytkownika na wszystkich urządzeniach.
Jeżeli zaistnieje taka potrzeba, możliwe jest także ustawienie Wymuszonego wylogowania ze wszystkich sesji. Wówczas w menu użytkownika dostępny będzie tylko przycisk Wyloguj wszędzie, po wybraniu którego nastąpi wylogowanie użytkownika ze wszystkich sesji na wszystkich urządzeniach.
Uwaga: należy pamiętać, że wprowadzenie zmian bezpieczeństwa wymaga uprawnień administratora systemu i każdorazowo zrestartowania Portalu i Designer Studio.
Konfiguracja dodatkowa
Metoda Windows Authentication w Internet Information Services (IIS) odpowiada za uwierzytelnianie użytkowników, którzy próbują uzyskać dostęp do zasobów na serwerze sieciowym. Jest ona kluczową metodą uwierzytelniania w środowiskach korporacyjnych, gdzie integracja z Active Directory i bezpieczeństwo są priorytetem. Wykorzystuje istniejące poświadczenia użytkownika Windows, co oznacza, że użytkownicy zalogowani na swoich komputerach w domenie nie muszą ponownie wprowadzać swoich nazw użytkowników ani haseł.
Metoda doskonale sprawdza się do automatycznego uwierzytelniania w witrynach i aplikacjach internetowych, gdzie użytkownicy są już zazwyczaj zalogowani do domeny Windows, jednak z uwagi na charakter swojego działania uniemożliwia prawidłowe funkcjonowanie opcji zakończenia wszystkich aktywnych sesji użytkownika za pomocą przycisku Wyloguj wszędzie.
W związku z powyższym konieczne jest przeprowadzenie dodatkowych czynności konfiguracyjnych i dezaktywowanie metody uwierzytelniania Windows Authentication:
- Uruchom Menedżera IIS na swoim komputerze, wybierając z Panelu sterowania → System i zabezpieczenia → Narzędzia administracyjne → Internet Information Services (IIS) Manager.
- W lewym panelu drzewa nawigacyjnego wybierz serwer, a następnie stronę WEBCONBPS, dla której zostanie skonfigurowane uwierzytelnianie.
- W środkowym panelu Features (Funkcje) znajdź i kliknij na Authentication (Uwierzytelnianie).
Zobaczysz listę dostępnych metod uwierzytelniania.
- Kliknij prawym przyciskiem myszy na metodę Windows Authentication i wybierz Disable (Wyłącz). Po chwili jej status zmieni się na Disabled.
5. Upewnij się, że dla metody Basic Authentication również ustawiona jest opcja Disabled. Możesz już zamknąć Menadżera IIS.
Testowanie funkcjonalności
W celu przetestowania funkcjonalności przeprowadzono wyżej wymienione czynności konfiguracyjne, a następnie zalogowano się do Portalu na dwóch różnych przeglądarkach (Microsoft Edge i Google Chrome), wybierając tego samego dostawcę uwierzytelnienia oraz wprowadzając dane tego samego użytkownika. W przeglądarce Microsoft Edge wybrano przycisk Wyloguj wszędzie.
W następstwie tego działania w tym samym oknie wyświetlony został standardowy komunikat:
Z kolei w przeglądarce Google Chrome po chwili pojawiła się informacja o wygaśnięciu sesji:
Po czym nastąpiło przekierowanie do strony logowania:
Pliki cookie zostały unieważnione i użytkownik został poprawnie wylogowany ze wszystkich aktywnych sesji.
Informacje dodatkowe: nowa metryka dla OpenTelemetry
Wraz z nową funkcjonalnością umożliwiającą wylogowanie ze wszystkich sesji dodano nową metrykę OpenTelemetry dostępną za pośrednictwem modułu o nazwie „webcon-workflow-portal-ticket-store-cache”. Metryka umożliwia wyświetlanie liczby aktualnie zapisanych w pamięci podręcznej identyfikatorów uwierzytelniania użytkownika.
Szczegółowe informacje na temat OpenTelemetry w WEBCON BPS można znaleźć na stronie: https://kb.webcon.pl/opentelemetry-w-webcon-bps/.