Støtte for OpenID Connect Backchannel Logout #571
Description
Overordnet beskrivelse
Tiltaket innfører støtte for OpenID Connect Backchannel Logout i ID-porten og Ansattporten. Løsningen gjør det mulig for tjenester å motta sikre logout-meldinger når en brukersesjon avsluttes i ID-Porten/Ansattporten, slik at brukeren logges ut på tvers av alle tilknyttede tjenester uten bruk av nettleserfunksjonalitet slik som ved Front Channel Logout.
Forventet resultat
Bedre sikkerhet:
Redusert risiko for feil eller økter som blir hengende hos tjenesteeiere, spesielt i scenarier der økten ikke ble avsluttet på riktig måte.
Mer konsistent brukeropplevelse:
Brukere logges ut fra alle tjenester når de logger ut fra ID-porten/Ansattporten.
Styrket etterlevelse av OIDC-standarder:
Tjenestene får en moderne, standardisert og robust mekanisme for sentral logout.
Bedre støtte for mellomvare, native apper og backends som ikke kan bruke front-kanal logout (nettleser).
Hvordan skal det fungere?
Når en bruker logger ut av ID-porten/Ansattporten genererer autentiseringstjenesten et backchannel logout-token i henhold til OIDC-spesifikasjonen.
Logout-tokenet sendes som et server-til-server-kall til alle registrerte logout-endepunkter hos tjenesteeiere som har aktive sesjoner for brukeren.
Tjenesteeiers backend validerer tokenet kryptografisk, identifiserer relevante lokale økter og avslutter dem uten brukerinteraksjon.
Løsningen fungerer uavhengig av front-kanal mekanismer og krever ikke at brukerens nettleser er aktiv.