Saltar al contenido principal
Los iniciadores de cierre de sesión por canal secundario de OIDC le permiten cerrar de forma remota la sesión de los usuarios en sus aplicaciones en función de eventos de finalización de sesión. Los iniciadores de cierre de sesión por canal secundario de OIDC funcionan con distintos protocolos; por ejemplo, una solicitud de cierre de sesión de iniciada por el IdP (IdP-initiated) ; y no se ven afectados por las restricciones de cookies de terceros. Esta función es una extensión de la especificación estándar de cierre de sesión por canal secundario de OIDC. Puede configurarla para iniciar una solicitud de cierre de sesión por canal secundario de OIDC para eventos específicos de finalización de sesión, como un cambio de contraseña o el vencimiento de la sesión, o para todos los eventos de finalización de sesión. Los administradores pueden habilitar esta función para aplicaciones específicas con la de Auth0.

Cómo funcionan los iniciadores de cierre de sesión por canal secundario de OIDC

Los iniciadores vinculan una respuesta de cierre de sesión por canal secundario de OIDC a un evento de finalización de sesión. Capturan ese evento y lo usan para activar un token de cierre de sesión de OIDC en todas las aplicaciones asociadas a la sesión indicada.
Los iniciadores no controlan la administración de sesiones en su inquilino, incluidos los eventos de finalización de sesión.
El siguiente diagrama ilustra cómo funciona un iniciador de cierre de sesión por canal secundario de OIDC ante un evento de cambio de contraseña:

Configurar iniciadores de cierre de sesión por canal secundario de OIDC

Puede configurar iniciadores de cierre de sesión por canal secundario de OIDC con la Management API de Auth0.

Management API

Puede configurar los iniciadores de cierre de sesión por canal secundario de OIDC para una aplicación mediante la Management API con el endpoint Update a Client.
  1. Obtenga un token de acceso para la Management API con el scope update:clients.
  2. Llame al endpoint Update a Client con los datos de configuración adecuados en la carga útil. Por ejemplo, para cerrar la sesión de una aplicación después de un evento de cambio de contraseña, proporcione lo siguiente:

Propiedades

El objeto backchannel_logout_initiators admite las siguientes propiedades:
PropiedadTipo¿Obligatoria?DescripciónValores admitidos
modestringObligatoriaMétodo de configuración para habilitar los iniciadores.custom, all
selected_initiatorsarrayObligatoria si mode es customLista de iniciadores que se habilitarán.rp-logout, idp-logout, password-changed, session-expired, session-revoked, account-deleted, email-identifier-changed
propiedad mode
La propiedad mode determina el método de configuración para habilitar los iniciadores. De forma predeterminada, se establece en custom, lo que le permite especificar qué iniciadores quiere habilitar. Si quiere que su aplicación cierre sesión cada vez que finalice la sesión del IdP, establézcala en all. La propiedad mode admite los siguientes valores:
ValorDescripción
customHabilita solo los iniciadores incluidos en el arreglo selected_initiators.
allHabilita automáticamente todos los iniciadores actuales y futuros.
Propiedad selected_initiators
La propiedad selected_initiators contiene la lista de iniciadores que se habilitarán para la aplicación indicada. La propiedad selected_initiators admite los siguientes valores:
ValorDescripción
rp-logoutLa solicitud fue iniciada por una parte confiable (RP).
idp-logoutLa solicitud fue iniciada por un proveedor de identidad externo (IdP).
password-changedLa solicitud fue iniciada por un cambio de contraseña.
session-expiredLa solicitud fue iniciada por el vencimiento de la sesión.
session-revokedLa solicitud fue iniciada por la eliminación de la sesión.
account-deletedLa solicitud fue iniciada por la eliminación de una cuenta.
email-identifier-changedLa solicitud fue iniciada por un cambio en el identificador de correo electrónico.

Ejemplos

Suscribir una aplicación a todos los iniciadores, actuales y futuros
Suscriba una aplicación únicamente al iniciador password-changed (rp-logout e idp-logout son obligatorios)
Cancelar la suscripción de todos los iniciadores (rp-logout sigue siendo el valor predeterminado)

Dashboard

Connect cierre de sesión por canal secundario se puede configurar junto con el resto de la configuración de la aplicación. Esta función se activa automáticamente en cuanto se proporciona un URI de cierre de sesión por canal secundario.
Dashboard > Applications > Application Settings

Solo los iniciadores seleccionados

De forma predeterminada, solo se suscribirá a los iniciadores obligatorios (rp-logout e idp-logout). Cualquier iniciador adicional, incluidos los que se agreguen en el futuro, primero debe seleccionarse para poder iniciar el cierre de sesión de su aplicación. Seleccione esta opción si desea que su aplicación cierre sesión solo para los iniciadores que seleccione.

Todos los iniciadores compatibles

Todos los iniciadores compatibles, incluidos los que se añadan en el futuro, se suscribirán de forma predeterminada. Seleccione esta opción si quiere que su aplicación cierre sesión cada vez que finalice la sesión del IdP.