Mecanismos de SLO (Single Log-Out) en SIR
Las infraestructuras de identidad digital suelen incorporar mecanismos de identificación única (SSO, Single Sign-On) para mejorar la experiencia de sus usuarios. Estos mecanismos han llegado a formar parte tan consustancial de las infraestructuras de identidad que llegan a confundirse.
La otra cara de esta identificación de SSO e identidad digital es la necesidad de proveer de mecanismos de SLO (Single Log-Out), que permitan asegurar al usuario que puede cancelar sus permisos de manera simple, con la garantía de que los mecanismos de SSO no pueden ser utilizados para obtener derechos de acceso no legítimos.
En la actualidad, SIR ofrece un servicio básico de SLO que garantiza, al menos, que la sesion con el GPoA común de SIR es liberada y ofrece la oportunidad de conectar con el sistema de SLO que las instituciones tengan definido localmente si es el caso.
El SLO se ofrece en SIR a día de hoy por medio del acceso GET a URLs de dos formas:
- Un URL genérico, http://www.rediris.es/SIRGPoA/signoff
Despues de liberar la sesion, el navegador del usuario es simplemente redirigido a http://www.rediris.es/sir/ - Para aquellas instituciones que dispongan de un URL con SLO local (o quieran dirigir a sus usarios a un URL distinto del general), SIR permite la definición de URLs específicos de SLO.
Para ello, basta comunicar este URL local al equipo de SIR, que responderá con un URL de SLO SIR adaptado a las necesidades de la institución.
Este URL puede enlazarse en cualquier página desde la que se quiera ofrecer a los usuarios la posibilidad de hacer logout de SIR.
El equipo de SIR sigue trabajando para tener un sistema de SLO lo mas completo posible, que permita una experiencia mejor y mas segura a los usuarios.