Passer au contenu principal
La déconnexion consiste à mettre fin à une session authentifiée lorsqu’elle n’est plus nécessaire, ce qui réduit le risque qu’une personne non autorisée « prenne le contrôle » de la session. On y parvient généralement en offrant une option de déconnexion dans l’interface utilisateur que vous fournissez à vos utilisateurs. Plusieurs types de sessions peuvent être créés lorsqu’un utilisateur se connecte (p. ex., sessions d’application locales, session Auth0, sessions de tiers), et vous devrez déterminer lesquelles de ces sessions doivent être terminées lorsque l’utilisateur clique sur une option Déconnexion.

Pratique exemplaire

Le comportement de déconnexion devrait indiquer clairement à l’utilisateur quelles sessions prennent fin et, idéalement, afficher ensuite une confirmation visuelle de la déconnexion.
Lors de la configuration du comportement de déconnexion, vous devrez tenir compte des éléments suivants :
  • Quelles sessions doivent être terminées lorsque l’utilisateur lance la déconnexion ?
  • Quelles informations devriez-vous fournir aux utilisateurs pour confirmer quelles sessions ont été terminées ?
  • Vers où les utilisateurs devraient-ils être redirigés une fois la déconnexion terminée ?
  • Combien de temps voulez-vous que les sessions durent si les utilisateurs ne déclenchent pas le processus de déconnexion ?
Étant donné les différents types de sessions qui peuvent être créés chaque fois qu’un utilisateur se connecte, plusieurs types de déconnexion sont possibles. La déconnexion de l’application locale met fin à la session avec l’application, tandis que la déconnexion Auth0 met fin à la session Auth0. Si vous avez des organisations qui utilisent leur propre IdP, vous pourriez envisager une stratégie de déconnexion fédérée et l’implémenter en conséquence. La déconnexion globale, ou déconnexion unique (SLO), met fin à la session Auth0 et envoie aussi une demande ou un avis de déconnexion aux applications qui s’appuient sur la session Auth0. Les fonctionnalités offertes par votre application, ainsi que votre utilisation de fonctions comme l’authentification unique (SSO), orienteront votre décision quant au type de déconnexion requis et à la confirmation visuelle que vous devrez fournir à vos utilisateurs. Quelle que soit l’option choisie, le processus de déconnexion que vous mettez en œuvre devrait indiquer clairement à l’utilisateur quelles sessions sont terminées, ainsi que le moment où le processus de déconnexion est achevé.
Si la fonctionnalité de déconnexion d’une application met fin à une session SSO Auth0 utilisée par d’autres applications, l’utilisateur pourrait perdre du travail s’il a des transactions non validées. Assurez-vous d’ajouter la fonctionnalité nécessaire pour gérer de telles situations afin de réduire le risque de perte de travail.

Où rediriger les utilisateurs après la déconnexion

Une fois l’utilisateur déconnecté, il sera redirigé vers l’emplacement de votre choix. Cet emplacement correspond à l’URL de redirection après déconnexion, que vous pouvez définir comme paramètre dans le . La ou les URL utilisées pour rediriger les utilisateurs après la déconnexion doivent être ajoutées à la liste d’autorisation dans le Dashboard afin de réduire les risques de vulnérabilités de sécurité liées aux redirections ouvertes. Vous pouvez les autoriser au niveau du locataire ou de l’application.
Si l’utilisateur se déconnecte et que vous le redirigez vers l’application, puis que l’application le redirige vers un fournisseur d’identité qui maintient toujours une session valide pour cet utilisateur, celui-ci sera reconnecté à l’application sans intervention de sa part. L’utilisateur pourrait alors avoir l’impression que le processus de déconnexion n’a pas fonctionné correctement.

Expiration automatique des sessions

Tous les utilisateurs ne lancent pas manuellement le processus de déconnexion; Auth0 propose donc aussi un délai d’expiration de session pour éviter que les sessions ne restent actives trop longtemps. Ce paramètre est disponible et configurable dans Auth0 Dashboard.

Guide de planification du projet

Nous fournissons un guide de planification en format PDF que vous pouvez télécharger et consulter pour en savoir plus sur les stratégies que nous recommandons. Guide de planification du projet B2C IAM