Management von Anwendersitzungen
Diese Kategorie befasst sich mit der Sicherheit des Anwendungsstatus für einen Anwender. Sitzungen sollten für jede Person eindeutig sein, nicht erraten oder geteilt werden können und nach Phasen der Inaktivität oder wenn sie nicht benötigt werden, für ungültig erklärt werden. Dies umfasst Faktoren wie Cookie-Attribute für Cookies-basierte Sitzungen, die Generierung von Sitzungstoken und den Speicher sowie Anforderungen für die erneute Verbundauthentifizierung.
Wenden Sie Richtlinien für die kontinuierliche Authentifizierung auf mobile Sitzungen an Absolute Zeitüberschreitungsdauer für Sitzung minimieren [Aktualisiert in Security Center 1.3] glide.ui.user_cookie.max_life_span_in_days , um eine maximale Lebensdauer für Anwendercookies festzulegen, die erstellt werden, wenn sich Anwender mit aktiviertem Kontrollkästchen „Anwendernamen speichern“ anmelden. Wenn das Cookie abläuft, werden Benutzer, die das Kontrollkästchen „Anwendernamen speichern“ aktiviert, müssen sich erneut bei der Instanz authentifizieren.Ausnahmerollen für Zeitüberschreitung bei aktiver Sitzung definieren [Neu in Security Center 1.3] glide.active.session.timeout.exception.roles steuert die Rollen, die von einer Zeitüberschreitungsgrenze für aktive Sitzungen befreit sind.UserCookie Version 3.1 aktivieren [In Security Center 2.0 aktualisiert] Passwortzurücksetzung für API-Anforderungen erzwingen [Aktualisiert in Security Center 1.5] Kennzeichnung für „Nur-HTTP-Cookie“ aktivieren [In Security Center 1.3 aktualisiert] glide.cookies.http_only , um das HTTPOnly-Attribut für vertrauliche Cookies zu aktivieren.Sitzung nach Ablauf des OAuth-Tokens für ungültig erklären [Neu in Security Center 2.0] glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled auf den sicheren Wert, um zu verhindern, dass Anwender eine Sitzung über Cookies weiterhin verwenden, nachdem das zum Erstellen der Sitzung verwendete OAuth-Token abgelaufen ist.Anzahl der gleichzeitigen interaktiven Sitzungen minimieren [Aktualisiert in Security Center 1.3] Gleichzeitige Sitzungen über alle Knoten hinweg begrenzen [Aktualisiert in Security Center 1.3] glide.authenticate.limit.concurrent.sessions.across.all.nodes mit dem Plugin „Gleichzeitige Sitzungen begrenzen“, um die Anzahl der auf allen Knoten nachverfolgten Sitzungen zu verwalten.Plugin „Gleichzeitige Sitzungen begrenzen“ Lebensdauer aktiver Sitzungen von Gästen begrenzen [Neu in Security Center 1.3] glide.guest.active.session.life_span , um die Dauer der HTTP-Sitzungen eines aktiven Gasts zu steuern.Gleichzeitige interaktive Sitzungen begrenzen [Aktualisiert in Security Center 1.3] Lebensdauer aktiver Sitzungen von Integrationen begrenzen [Neu in Security Center 1.3] glide.integrations.active.session.life_span erzwingt die maximale Lebensdauer für aktive Gast-HTTP-Sitzungen unabhängig von der inaktiven Zeitüberschreitung. Der konfigurierte Wert wird in Minuten angegeben. Ein Wert von Null deaktiviert das Timeout für aktive Sitzungen.Intervall für mobiles Aktualisierungstoken für richtlinienbasierten Sitzungszugriff beschränken [Neu in Security Center 1.5] glide.authenticate.session_access.mobile.refresh_token_interval , um die Zeitspanne zu steuern, nach der die erneute Authentifizierung eines Mobilgerätbenutzers erzwungen wird.Begrenzen Sie die Sitzungslänge für Sitzungen mit hoher Sicherheit Lebensdauer aktiver Sitzungen von UI begrenzen [Neu in Security Center 1.3] glide.ui.active.session.life_span erzwingt die maximale Lebensdauer für aktive und authentifizierte HTTP-Sitzungen unabhängig von der inaktiven Zeitüberschreitung.Inaktive Sitzungen proaktiv für ungültig erklären [Neu in Security Center 1.3 und aktualisiert in 1.5 und 2.0] glide.active.session.timeout.invalidate.session steuert, ob eine Timeout-Sitzung vor dem Tomcat-Server proaktiv für ungültig erklärt wird.HTTP-Sitzungs-Bezeichner rotieren glide.ui.rotate_sessions , um die Rotation der HTTP-Sitzungsbezeichner zu aktivieren und so Sicherheitsschwachstellen zu reduzieren.Anzahl der gleichzeitigen interaktiven Sitzungen minimieren [Aktualisiert in Security Center 1.3] Zeitüberschreitungsdauer der Sitzungsaktivität minimieren [Aktualisiert in Security Center 1.3] glide.ui.session_timeout , um den Zeitüberschreitungswert der Aktivität in Minuten anzugeben.Zeitüberschreitungsdauer des Sitzungsfensters minimieren [Aktualisiert in Security Center 1.3] glide.ui.user_cookie.life_span_in_days , um den Ablaufzeitraum für das „Anwendernamen speichern“-Cookie festzulegen. Der Standardwert beträgt 15 Tage, und die maximale Obergrenze beträgt 30 Tage.