Ограничение продолжительности сессии пользователя

Оглавление раздела

1 Оглавление раздела
2 Общая информация
3 Настройка ограничения в Административной части
- 3.1 Как настроить ограничение сессии
4 Описание механики “Log out при бездействии“

Общая информация

Цель разработки

Цель разработки – дать возможность администраторам ограничивать продолжительность сессии пользователя.

Хорошо, но для чего?

Один из примеров использования – решение задачи несанкционированного доступа к платформе через учётную запись другого пользователя.

Допустим, что одним устройством пользуется несколько сотрудников компании. Сотрудник А. совершил вход на портал, а затем ушёл от устройства, не выйдя с портала. Сотрудник Б. начал работу с устройством, открыл страницу портала и увидел, что портал доступен от лица другого пользователя. Если бы ограничение продолжительности сессии было задано и сотрудник Б. открыл портал после того, как время истекло, он бы не смог использовать портал под чужой учётной записью – система потребовала бы пройти авторизацию.

Обратите внимание, ограничение сессии – функционал, который использовать необязательно. Если у вас нет задач, которые бы решались подобной мерой, возможно лучше оставить всё как есть.

Краткое описание механики

Работа ограничения продолжительности сессии обеспечена взаимодействием нескольких механизмов:

Механизм определения бездействия пользователя в веб-портале
Механизм определения бездействия пользователя в приложении
Механизм проверки истечения времени пользовательской сессии

Администратор задаёт настройку ограничения. Пользователь использует систему со своего устройства.
Пользователь перестаёт использовать систему. Проходит время.
Пользователь возобновляет работу с системой.
Система сравнивает настройку администратора с фактическим временем отсутствия пользователя.
Если время без активности больше указанного в настройках, система требует от пользователя пройти процедуру авторизации.

Если пользователь использует систему с разных устройств, то log out происходит только на том устройстве, где время без активности больше указанного в настройках.

Ограничение сессии пользователя по умолчанию

По умолчанию механизм ограничения сессии не включен.

Продолжительность сессии пользователя зависит от выбора пользователя при авторизации и типа авторизации.

Авторизация по логину и паролю

Продолжительность сессии пользователей, авторизованных на портале по логину и паролю не ограничена.

Okta

Продолжительность сессии пользователей, авторизованных на портале с помощью Okta, – 24 часа.

https://motivitydigital.atlassian.net/wiki/spaces/Documentation/pages/2154659918/Okta#%D0%96%D0%B8%D0%B7%D0%BD%D0%B5%D0%BD%D0%BD%D1%8B%D0%B9-%D1%86%D0%B8%D0%BA%D0%BB-%D1%81%D0%B5%D1%81%D1%81%D0%B8%D0%B8-%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D1%8F

Настройка ограничения в Административной части

Как настроить ограничение сессии

Детали настройки описаны в разделе https://motivitydigital.atlassian.net/wiki/spaces/Documentation/pages/2300477441#%D0%91%D0%BB%D0%BE%D0%BA-%E2%80%9C%D0%9F%D1%80%D0%BE%D0%B4%D0%BE%D0%BB%D0%B6%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D0%BE%D1%81%D1%82%D1%8C-%D1%81%D0%B5%D1%81%D1%81%D0%B8%D0%B8%E2%80%9D