Googleは2020年7月14日にChrome 84をリリースしました。Sitecoreでは、お客様への影響の有無を調査しています。
それによりChromeのセキュリティ アップデートによるChrome 84のSameSite設定の挙動の変更(LaxとStrictの他に、デフォルトで使用される新しいNone設定が加わりました)により、許可されるユーザーの最大数を超える可能性があることがわかりました。
本件は、ASP.NET_SessionId Cookieの生成に影響します。ASP.NET_SessionId Cookieが安全であるとマークされていない場合、新しいリクエストごとに新たに生成されます。これは、すべてのリクエストが、Sitecoreが新しいユーザーとしてカウントする新しいセッションで行われることを意味します。その結果、実際のユーザーが1人だけでも、最大許可ユーザー数を超えてしまうことができます。
このようなシナリオでは、KickUser.aspx管理ページに同じ名前のユーザーが多数表示されます。また、各リクエストの後、ASP.NET_SessionId Cookieの値が変更されます(これはChrome開発ツールで確認できます)。
Chrome 84の変更点の詳細については、次のリンク先を参照してください:https://devblogs.microsoft.com/aspnet/upcoming-samesite-cookie-changes-in-asp-net-and-asp-net-core/
ASP.NET_SessionId cookieを安全にするには、以下を実行してください:
<system.web>
....
<httpCookies requireSSL="true" />
</system.web>