Skip to main content
Le 1er décembre 2021, le comportement de déconnexion changera : les utilisateurs seront toujours redirigés vers l’URI transmise aux API de déconnexion d’Auth0, au lieu d’utiliser le paramètre de requête returnTo transmis par les à /login/callback lors de la déconnexion. L’URI utilisée dépendra de l’API appelée pour demander la déconnexion de la session :
  • https://{yourDomain}/logout : Auth0 utilisera le paramètre returnTo
  • https://{yourDomain}/v2/logout?federated : Auth0 utilisera le paramètre returnTo
  • https://{yourDomain}/wsfed/{yourClientId}?wa=wsignout1.0 : le paramètre wreply
Si Auth0 n’a aucune trace d’un appel antérieur à l’une de ces API, la déconnexion se terminera, mais aucune redirection n’aura lieu et une page d’erreur s’affichera pour les utilisateurs finaux.

Points de terminaison touchés

Les points de terminaison suivants sont touchés par ce changement : Les locataires qui s’appuient sur les modes d’utilisation suivants ne pourront pas être redirigés vers l’URI de redirection souhaitée après le 01 décembre 2021.
  1. Les applications qui appellent /login/callback?returnTo sans appel préalable à /v2/logout or /wsfed/{yourClient}?wa=wsignout1.0 pour préciser l’URL de déconnexion.
  2. Les fournisseurs d’identité qui appellent /login/callback?returnTo avec une valeur de returnTo différente de celle fournie initialement dans un appel précédent à /v2/logout ou /wsfed/{yourClientId}.
  3. Les applications qui effectuent des appels concurrents à l’une des API touchées tout en fournissant des URI de redirection différentes d’un appel à l’autre.
  4. Les applications ou les utilisateurs qui effectuent des appels à l’API /authorize de façon concurrente ou entrecoupée d’appels à l’une des API touchées, qu’il y ait eu ou non un appel préalable à /v2/logout ou /wsfed/{yourClientId}?wa=wsignout1.0.

Actions

  1. Accédez à Auth0 Dashboard > Monitoring > Logs, puis recherchez type:depnote AND description:*unvalidated*redirects* pour repérer les applications qui reposent sur ce comportement obsolète.
  2. Pour chaque application touchée, assurez-vous que :
    1. l’application ou la partie de confiance lance la déconnexion à l’aide de l’une des API publiques d’Auth0 : Authentication API : Logout ou Authentication API : WS-Federation.
    2. l’application ne dépend pas des fournisseurs d’identité pour modifier l’URL de déconnexion renvoyée à /login/callback?returnTo, car ces modifications ne seront plus respectées.
    3. l’application n’effectue pas d’appels concurrents aux API de déconnexion avec des URL de déconnexion différentes. Auth0 ne stocke qu’une seule URL de déconnexion par agent utilisateur à la fois, ce qui signifie que les processus de déconnexion concurrents échoueront à rediriger.
    4. l’application n’effectue pas d’appels à /authorize de façon concurrente ou intercalée avec des appels aux API de déconnexion. La finalisation d’une transaction de connexion efface l’URL de déconnexion stockée pour un agent utilisateur, ce qui signifie que les processus de déconnexion concurrents échoueront à rediriger.
    5. l’application et les utilisateurs n’intercalent pas d’appels à /authorize avec des appels à l’une des API touchées.
Une fois les actions de migration terminées et testées, vous devez vérifier la migration.

Vérifier la migration

Une fois vos applications migrées et après vous être assuré qu’elles ne dépendent plus des modes d’utilisation obsolètes, vérifiez vos changements en désactivant le comportement obsolète au moment de votre choix, avant le 01 décembre 2021.
  1. Accédez à Auth0 Dashboard > Paramètres du locataire > Avancé et repérez la section Migrations.
  2. Désactivez le commutateur Unvalidated redirects from /login/callback. La désactivation de ce commutateur désactive le comportement obsolète pour votre locataire et empêche son utilisation.
Si la redirection vers la URL de déconnexion ne fonctionne pas comme prévu après la désactivation de ce commutateur, cela indique que votre application dépend encore du comportement obsolète. Une fois les migrations effectuées avec succès et confirmées dans les environnements de production, vous pouvez désactiver le commutateur de façon permanente pour vous assurer que les fonctionnalités obsolètes ne peuvent plus être utilisées. Le 01 décembre 2021, Auth0 supprimera complètement le comportement obsolète ainsi que le commutateur associé.