Passer au contenu principal
Les initiateurs de déconnexion OIDC par canal arrière vous permettent de déconnecter à distance des utilisateurs de leurs applications en fonction d’événements de fin de session. Les initiateurs de déconnexion OIDC par canal arrière fonctionnent avec différents protocoles — par exemple, une demande de déconnexion initiée par l’IdP — et ne sont pas touchés par les restrictions relatives aux témoins tiers. Cette fonctionnalité est une extension de la spécification standard de back-channel OIDC. Vous pouvez la configurer pour lancer une demande de déconnexion OIDC par canal arrière pour des événements précis de fin de session, comme un changement de mot de passe ou l’expiration d’une session, ou pour tous les événements de fin de session. Les administrateurs peuvent activer cette fonctionnalité pour des applications précises à l’aide de la d’Auth0.

Fonctionnement des initiateurs de déconnexion OIDC par canal arrière

Les initiateurs associent une réponse de déconnexion OIDC par canal arrière à un événement de fin de session. Ils capturent cet événement et l’utilisent pour déclencher un jeton de déconnexion OIDC dans toutes les applications associées à la session en question.
Les initiateurs ne contrôlent pas la gestion des sessions dans votre locataire, y compris les événements de fin de session.
Le diagramme suivant illustre le fonctionnement d’un initiateur de déconnexion OIDC par canal arrière lors d’un changement de mot de passe :

Configurer les initiateurs de déconnexion OIDC par canal arrière

Vous pouvez configurer les initiateurs de déconnexion OIDC par canal arrière à l’aide de la Management API d’Auth0.

Management API

Vous pouvez configurer les initiateurs de déconnexion OIDC par canal arrière pour une application au moyen de la Management API en utilisant le point de terminaison Update a Client.
  1. Obtenez un jeton d’accès à la Management API avec le scope update:clients.
  2. Appelez le point de terminaison Update a Client avec les données de configuration appropriées dans le payload. Par exemple, pour déconnecter une application après un changement de mot de passe, fournissez ce qui suit :

Propriétés

L’objet backchannel_logout_initiators comprend les propriétés suivantes :
PropriétéTypeObligatoire ?DescriptionValeurs prises en charge
modestringObligatoireMéthode de configuration pour activer les initiateurs.custom, all
selected_initiatorsarrayObligatoire si mode est customListe des initiateurs à activer.rp-logout, idp-logout, password-changed, session-expired, session-revoked, account-deleted, email-identifier-changed
propriété mode
La propriété mode détermine la méthode de configuration à utiliser pour activer les initiateurs. Par défaut, elle est définie sur custom, ce qui vous permet de préciser les initiateurs à activer. Si vous voulez que votre application se déconnecte dès que la session de l’IdP prend fin, définissez-la sur all. La propriété mode prend en charge les valeurs suivantes :
ValeurDescription
customActive uniquement les initiateurs répertoriés dans le tableau selected_initiators.
allActive automatiquement tous les initiateurs actuels et futurs.
Propriété selected_initiators
La propriété selected_initiators contient la liste des initiateurs à activer pour l’application donnée. La propriété selected_initiators prend en charge les valeurs suivantes :
ValeurDescription
rp-logoutLa requête a été initiée par une partie de confiance (RP).
idp-logoutLa requête a été initiée par un fournisseur d’identité externe (IdP).
password-changedLa requête a été initiée par un changement de mot de passe.
session-expiredLa requête a été initiée par l’expiration de la session.
session-revokedLa requête a été initiée par la suppression de la session.
account-deletedLa requête a été initiée par la suppression d’un compte.
email-identifier-changedLa requête a été initiée par un changement d’identifiant de courriel.

Exemples

Abonner une application à l’ensemble des initiateurs actuels et futurs
Abonner une application à l’initiateur password-changed uniquement (rp-logout et idp-logout sont requis)
Désinscrire tous les initiateurs (rp-logout demeure la valeur par défaut)

Tableau de bord

Connect déconnexion par canal arrière peut être configuré parmi les autres paramètres de votre application. Cette fonctionnalité s’active automatiquement dès qu’un URI de déconnexion par canal arrière est fourni.
Tableau de bord > Applications > Paramètres de l’application

Initiateurs sélectionnés uniquement

Seuls les initiateurs requis (rp-logout et idp-logout) seront activés par défaut. Tout initiateur supplémentaire, y compris ceux qui pourraient être ajoutés ultérieurement, doit d’abord être sélectionné avant de pouvoir déclencher une déconnexion pour votre application. Sélectionnez cette option si vous voulez que votre application se déconnecte uniquement pour les initiateurs que vous sélectionnez.

Tous les initiateurs pris en charge

Tous les initiateurs pris en charge, y compris ceux qui seront ajoutés ultérieurement, seront activés par défaut. Sélectionnez cette option si vous voulez que votre application ferme la session chaque fois que la session de l’IdP prend fin.