Всем привет. Обнаружилась аномалия, что заблокированные пользователи могут авторизоваться и работать в системе. На инстансе используется SSO.
Может у кого такое было и как решили?
Алексей, привет!
Убедись, что для этих пользователей в таблице user нет дубликатов записей в разном регистре.
Была похожая проблема связанная с дефектом платформы DEF0017908 (пока не исправлен):
- если в таблице user для одного пользователя есть несколько записей (например, загрузили УЗ в разных регистрах, а ненужные деактивировали),
- то платформа не учитывает признак активности УЗ при подборе подходящей для аутентификации. Берётся первая УЗ из списка найденных, а это может быть и неактивная запись.
Также обрати внимание на сист.переменную - simple.login.username.sensitivity.enabled. Она управляет возможностью создавать дубликаты УЗ в разных регистрах.
Дублей нет, свойство simple.login.username.sensitivity.enabled отключено. Спасибо за ответ.
Мы у себя добавили в явном виде удаление токенов отключенных пользователей - теперь юзеры офбордятся из симпла без возможности заходить в систему после ближайшей синхронизации с АД.
Важное наблюдение - логин через ССО (у нас кейклок) служит именно для логина (внезапно), после этого на время жизни токена авторизация этого юзера в этом браузере продолжит работать и не будет проверять через ССО необходимость блокировки
1 лайк
Если я правильно помню ответ сапорта на один из давних вопросов про отличие флагов “Активен” и “Заблокирован” в user, то если поставить флаг “Заблокирован”, то токены для УЗ удаляются автоматически (в документации это не описано!). Но я не проверял это…
Мы сделали так, создали пользовательские критерии и настроили портальные контексты для агентского и пользовательского портала, с условием, что пользователь “Активен”. И так же сделали удаление токенов. Всем спасибо, кто ответил.