Aan de slag met sessiebeheer in Exact Synergy Enterprise
Introductie
Een sessie is een identificatie voor een ‘gesprek’ tussen twee of meer
communicerende apparaten. In de context van Exact Synergy Enterprise, betreft
een sessie een ‘gesprek’ tussen de webbrowser en de server door gebruik te
maken van een applicatie. Sessiebeheer betreft de tracking, verwerking en
bescherming van deze sessies. Sessiebeheer is vooral belangrijk om een
potentiele aanval of kaping van een sessie te voorkomen.
Sessiebeheer in
Exact Synergy Enterprise biedt de volgende functies die helpen bij het beheer
van de sessies:
- Sessie time-out
- Uitloggen
- Controle op
gelijktijdige sessies
- Loggen van
gebruikerstoegang
Sessie time-out
Exact Synergy Enterprise worden geconfigureerd met een
absolute sessie time-out; dit verbeterd de beveiliging van de applicatie door
het risico te verkleinen waarbij een aanvaller een bestaande gebruikerssessie
kan stelen en gebruiken.
De absolute sessie time-out kan door de
administrator worden geactiveerd of gedeactiveerd. Wanneer de functie is
geactiveerd kan de administrator tevens de duur van de gebruikerssessie
definiëren, waarna de time-out optreedt. Wanneer een sessie is verlopen, is een
nieuwe sessie nodig. Afhankelijk van de verificatie methode van Exact Synergy
Enterprise kan de nieuwe sessie automatisch worden toegepast of door middel van een scherm waarin de
gebruiker dient in te loggen.
- Bij Windowsverificatie en Basisverificatie wordt een nieuwe sessie automatisch toegepast.
- Bij Federated Identity authenticatie of Formulierverificatie dient de gebruiker opnieuw in te loggen.
De sessie time-out definiëren
- Open de Sessie
Beheer: Instellingen pagina in menupad Modules > Systeem > Inrichting > Sessie Beheer > Instellingen.
- Om de sessie time-out te activeren vinkt u de optie Geactiveerd in de sectie
Sessie Time-out aan. Standaard is deze
aangevinkt.
- Definieer
vervolgens de tijdsduur (in seconden) waarna een sessie moet verlopen. Standaard
is 86400 seconden (24 uur)
geselecteerd.
Voor
meer informatie, zie Sessie
Beheer instellingen definiëren.
Opmerkingen:
- Een sessie is een representatie van de aanwezigheid van
een gebruiker op een website of applicatie. De sessie (en sessie ID) wordt
uitgegeven door de webserver op basis van het domein en de browser die gebruikt
wordt om de website of applicatie te benaderen. Dit is een beperking van de
webserver zoals hieronder aangegeven:
|
Browser
|
Exact Synergy Enterprise
|
Resultaat
|
|
Zelfde browser
|
Enkele instance van Exact Synergy Enterprise
|
Alle tabs delen dezelfde sessie (en sessie ID).
|
|
Zelfde browser
|
Meerdere instances van Exact Synergy Enterprise op
hetzelfde webdomein, maar verschillende virtual directories
|
Alle Exact Synergy Enterprise sessies delen
dezelfde sessie ID, over de virtual directories. Bijvoorbeeld,
-
Tab 1 toegang
SynergyA
-
Tab 2 toegang
SynergyB
Beide tabs hebben dezelfde sessie ID.
Opmerking: Iedere Exact Synergy Enterprise sessie heeft echter
zijn eigen vervaldatum.
|
|
Zelfde browser
|
Meerdere instances van Exact Synergy Enterprise,
ieder op een uniek domein
|
Alle Exact Synergy Enterprise sessies hebben een
eigen sessie ID per domein.
|
- Bij het gebruik van meerdere tabs in een enkele sessie, wordt
de eerste tab die een sessie time-out heeft doorgestuurd naar de inlogpagina.
Wanneer een gebruiker echter niet inlogt via de eerste tab, en probeert een
actie uit te voeren op een van de andere tabs, wordt hij alleen in het IFRAME
doorgestuurd naar de inlogpagina. Dit is een beperking van de webserver omdat
zodra de sessie is vervallen door de webapplicatie, de daaropvolgende controle
van de sessie wordt uitgevoerd door de webserver en niet de webapplicatie. Het
is de webserver die de gebruiker doorstuurt naar de inlogpagina in het IFRAME.
Uitloggen
Bij Formulierverificatie
of Federated Identity authenticatie, biedt Exact Synergy Enterprise een knop om
uit te loggen waarmee u een sessie kunt beëindigen om te voorkomen dat de
sessie wordt gekaapt door een derde partij.
Er is geen aparte
instelling voor de uitlog functionaliteit. Deze is automatisch geactiveerd voor
de ondersteunde verificatiemethodes.
Controle op gelijktijdige
sessies
Omdat
gelijktijdige gebruikerssessies een potentieel risico kunnen zijn omdat een
aanvaller de eerdere sessie van de gebruiker kan stelen om het systeem te
benaderen, kunt u gelijktijdige sessies deactiveren in Exact Synergy
Enterprise. Deze functie is alleen beschikbaar wanneer Exact Synergy Enterprise
gebruikt maakt van Formulierverificatie of Federated Identity authenticatie;
het is niet mogelijk om gelijktijdige sessies te deactiveren wanneer gebruik
wordt gemaakt van Windowsverificatie.
Wanneer
gelijktijdige gebruikerssessies zijn gedeactiveerd staat Exact Synergy Enterprise
maar één
actieve sessie toe. Alleen de meest recente sessie blijft actief. Wanneer een gebruiker probeert een actie uit te voeren op een sessie die is
gedeactiveerd, wordt de gebruiker weer doorgestuurd naar de inlogpagina.
Controle op gelijktijdige sessies instellen
- Open de Sessie
Beheer: Instellingen pagina in menupad Modules > Systeem > Inrichting > Sessie Beheer > Instellingen.
- Om gelijktijdige sessies toe te staan vinkt u de optie Geactiveerd in de sectie
Gelijktijdige
sessies aan. Wanneer aangevinkt zijn gelijktijdige gebruikerssessies
toegestaan in Exact Synergy Enterprise. Wanneer uitgevinkt, zijn gelijktijdige
gebruikerssessies niet toegestaan in Exact Synergy Enterprise.
Voor
meer informatie, zie Sessie
Beheer instellingen definiëren.
Opmerkingen
- De functie voor gelijktijdige sessies is alleen van
toepassing op de Federated Identity authenticatie en Formulierverificatie verificatiemethodes
- Administrators kunnen de gelijktijdige gebruikerssessies
activeren of deactiveren in menupad Modules > Systeem > Inrichting > Sessie Beheer > Instellingen. Wanneer gebruikt wordt gemaakt van Federated
Identity authenticatie of Formulierverificatie is de instelling standaard
gedeactiveerd. Wanneer gebruik wordt gemaakt van Windowsverificatie, is de
instelling geactiveerd en kan niet worden aangepast.
- Een gebruikerssessie is
gedefinieerd door de webserver (IIS) en wordt geïdentificeerd met een sessie ID.
In een enkele browser, delen meerdere tabs dezelfde sessie ID, en worden gezien
als dezelfde gebruikerssessie. Browsers die gebruik maken van privé/incognito
modus krijgen aparte sessie ID’s dan wanneer ze worden gebruik in
niet-privé/incognito modus, en worden gezien als twee aparte gebruikerssessies.
- Wanneer gelijktijdige
gebruikerssessies zijn gedeactiveerd, mag alleen de meest recente
gebruikerssessie acties uitvoeren. Wanneer een gebruiker probeert een actie uit
te voeren in een gebruikerssessie die niet de meest recente is (of is
gedeactiveerd), wordt de gebruiker doorgestuurd naar de inlogpagina.
- Er zijn enkele speciale
scenario’s in verband met technische redenen:
- Gebruikersdelegatie wordt gezien als deel van de
oorspronkelijke gebruiker zijn sessie. Wanneer gebruiker A delegeert naar
gebruiker B, behoort de sessie bij gebruiker A en niet bij gebruiker B.
- Wanneer een gebruiker uitlog bij delegatie en terugkeert
naar zijn eigen sessie, maakt het systeem automatisch een nieuwe sessie aan (en
geeft een nieuwe sessie ID). Dit is de enig uitzondering waarbij de gebruiker
niet opnieuw hoeft in te loggen.
- Wanneer de database nog
niet is bijgewerkt naar product update 260, wordt geen controle uitgevoerd op
gelijktijdige sessies; dit is tijdelijk gedeactiveerd totdat de database update
gereed is, en gebeurd maar eenmalig. De toegang in deze sessie blijft aanwezig
zelfs wanneer de database is bijgewerkt, totdat de gebruiker de sessie
handmatig beëindigd door de browser te sluiten en/of uit te loggen van het
systeem.
Loggen van gebruikerstoegang
Voor betere
toegangscontrole zijn er twee overzichten beschikbaar de inzicht geven in alle
succesvolle en gefaalde inlogpogingen en informatie over een gebruikers een
toegang geweigerd melding krijgt in Exact Synergy Enterprise.
Opmerkingen:
- Het loggen van succesvolle en gelaagde inlogpogingen is
alleen beschikbaar voor Formulierverificatie.
- Het loggen van toegang geweigerd is alleen beschikbaar
voor Formulierverificatie, Federated Identity authenticatie, Basisverificatie
en Windowsverificatie
Log: Login overzicht
De Log:Login pagina in menupad Modules > Systeem > Overzichten > Log > Login, toont de inloggegevens zoals de inlogdatum en tijd, de medewerker en
status. Wanneer een gebruiker niet kan inloggen wordt “ExactWebGuest” getoond
in de kolom Medewerker.
Voor meer informatie, zie Login overzicht bekijken.
Log: Toepassing overzicht
De Log: Toepassing pagina in menupad
Modules > Systeem > Overzichten > Log > Toepassing
toont de pagina’s die zijn benaderd en door wie.
Wanneer een gebruiker toegang tot een pagina
is geweigerd wordt de informatie getoond met de melding "Access
Denied:<naam van de betreffende pagina>”. Voor meer informatie, zie Overzicht Toepassing log.
Gerelateerde documenten
| Main Category: |
Attachments & notes |
Document Type: |
Support - On-line help |
| Category: |
|
Security level: |
All - 0 |
| Sub category: |
|
Document ID: |
28.158.563 |
| Assortment: |
Exact Synergy Enterprise
|
Date: |
03-07-2024 |
| Release: |
260 |
Attachment: |
|
| Disclaimer |