Hur ska vi göra med "Logga ut"?
På Paddys tema, men för att skilja trådarna åt lite skulle jag vilja ha ett resonemang kring att logga ut på KTH:s webb.
Vi har ju en SSO-lösning på KTH, därför blir begreppet "logga ut" som finns i många system en smula kludgigt. Den vanligaste metoden för de flesta system är att förstöra den lokala sessionen och sedan skicka användaren till login-servern för att förstöra sessionen i SSO-lösningen.
Båda dessa metoder har ingen effekt på sessioner i andra system (med undantag för KTH Social och den personliga menyn som prenumererar på SSOUT-events från login-servern), utan de lever vidare. Därför finns det en brasklapp på login-servern om att man ska stänga ner webbläsaren också vilket i allmänhet terminerar sessioner i de flesta system. Det finns utrymme för att diskutera om den här ordningen är helt bra.
Det här blir ännu mer komplicerat om vi tänker oss att börja använda oss av SPNEGO. Det innebär i realiteten en flytt av SSO-upplevelsen ifrån att logga in på login.kth.se till att logga in på datorn, dvs man kommer att komma åt webbapplikationer direkt i ett svep, precis som man kommer åt andra resurser i nätet, filservrar osv. Det är lockande av t.ex av "just works"-faktorn, och att färre lösenord åker omkring i nätverket. Men, begreppet "logga ut" ifrån webbapplikationer kommer då att bli ännu mer urvattnat, eftersom man omedelbart kommer att loggas in på webben igen så länge man har en kerberos-biljett, dvs så länge man är inloggad på den lokala datorn.
Det här behöver man tänka igenom lite. Det kan vara att det är en så stor beteendeförändring att man inte ens vill genomföra den, vi måste åtminstone fundera igenom själva logga-ut-grejen lite mer.