Uitloggen werkt niet indien DigiD Eenmalig Inloggen aan staat

[joeribekker]

Product versie / Product version

1.1.0 / 1.0.8

Omschrijf het probleem / Describe the bug

Indien DigiD "Eenmalig Inloggen" inloggen aan staat, dan wordt de gebruiker niet uitgelogd als hij op "Uitloggen" klikt in een formulier. Het formulier wordt wel "gereset" maar als iemand op dezelfde computer wil inloggen, dan behoudt deze persoon zijn sessie op *.digid.nl en is door het drukken op de knop "Inloggen met DigiD" direct weer ingelogd.

Gemarkeerd als "improvement" omdat in de handleiding staat dat Eenmalig Inloggen uit moet staan voor Open Formulieren.

Stappen om te reproduceren / Steps to reproduce

1. Zorg dat DigiD "Eenmalig Inloggen" aan staat bij DigiD.
2. Login met DigiD op een formulier
3. Log uit
4. Login met DigiD op een formulier zonder je gegevens in te vullen

Verwacht gedrag / Expected behavior

@SilviaAmAm komt met een voorstel

[SilviaAmAm]

Since version 0.4 of the django-digid-eherkenning package, the single log out (SLO) is supported. We use version 0.6.

Our problem is that django-digid-eherkenning uses the django authentication backend to log in/out users, while we don't create users in the DB for each person logging in with Digid.

What we need to do to use SLO in Open forms:

• [ ] In the logout method of the digid plugin (https://github.com/open-formulieren/open-forms/blob/master/src/openforms/authentication/contrib/digid/plugin.py#L86), a call should be made to the DigiDLogoutView (https://github.com/maykinmedia/django-digid-eherkenning/blob/master/digid_eherkenning/views/digid.py#L124). This is the view that makes the request to the IdP to initiate log out (in the case 'logout initiated by session participant', step U2). This should only be done if SLO is enabled.

• [ ] Overwrite the DigidSingleLogoutRedirectView (https://github.com/maykinmedia/django-digid-eherkenning/blob/master/digid_eherkenning/views/digid.py#L156). This is the endpoint that receives the confirmation from the IdP that logout was successful for all the other Session Participants (U5). Here we should add our OF local clean up.

• [ ] Overwrite the DigidSingleLogoutSoapView (https://github.com/maykinmedia/django-digid-eherkenning/blob/master/digid_eherkenning/views/digid.py#L189). This receives the request to logout when the logout was initiated either by the IdP or by another session participant (step U3). Here we should add our OF local clean up.

[joeribekker]

Refinement: Check if Utrecht wants this so we can make the stakeholder.