Déconnecter des utilisateurs des fournisseurs d’identité SAML

La Déconnexion unique (Single Logout, SLO) est une fonctionnalité qui permet à un utilisateur d’arrêter plusieurs sessions d’authentification en une seule action de déconnexion.

Auth0 prend en charge la déconnexion unique lorsque vous connectez votre application à un fournisseur d’identité (IdP) SAML et, de manière plus limitée lorsque vous configurez Auth0 en tant qu’IdP SAML.

Si vous souhaitez qu’Auth0 déconnecte un utilisateur de son fournisseur d’identité, ajoutez le paramètre federated lorsque vous appelez le point de terminaison Déconnexion de l’Authentication API Auth0.

Vous aurez sans doute besoin de configurer des paramètres supplémentaires pour garantir qu’Auth0 envoie la demande de déconnexion au point de terminaison de déconnexion de l’IdP SAML :

1. Allez à Auth0 Dashboard > Authentification > Entreprise > SAML, et sélectionnez votre connexion.

2. Activez Activer la déconnexion.

3. Saisissez l’URL de déconnexion SAML fournie par l’IdP SAML dans le champ URL de déconnexion. Si vous laissez ce champ vide, Auth0 utilisera par défaut l’URL du champ URL de connexion.

4. Confirmez que la valeur du champ Liaison de protocole correspond à la liaison de protocole attendue par l’IdP SAML.

Lorsqu’Auth0 est l’IdP SAML, vous avez le choix entre deux scénarios de déconnexion :

• Initiée par l’application

• Initiée par l’IdP

Dans les deux scénarios, vous devez configurer le module supplémentaire SAML2 Web App pour savoir où envoyer les réponses de déconnexion :

1. Allez à Dashboard > Applications > Applications et sélectionnez votre application.

2. Naviguez vers l’onglet Extensions et activez SAML2 Web App.

3. Allez dans l’onglet Paramètres.

4. Trouvez la zone Paramètres et ajoutez (ou modifiez) l’objet logout avec les propriétés suivantes :

   • callback : Saisissez l’URL de déconnexion unique (SLO) de l’application.

   • slo_enabled : Saisissez true si vous voulez activer la déconnexion unique initiée par IdP par laquelle Auth0 envoie une demande de déconnexion SAML à l’application lorsque l’utilisateur se déconnecte de l’IdP SAML Auth0. Sinon, saisissez false.

     {
       "logout": {
         "callback": "https://myapp.exampleco.com/saml/logout",
         "slo_enabled": true
       }
     }

     Was this helpful?

     Yes /No

Par défaut, Auth0 envoie des réponses de déconnexion SAML avec la liaison de protocole HTTP-POST. Si votre application s’attend à la liaison de protocole HTTP-Redirect, ajoutez (ou modifiez) la propriété binding comme suit :

{
  "binding": "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
}

Lorsqu’un utilisateur initie la déconnexion à partir d’une application, celle-ci doit envoyer une demande au point de terminaison de déconnexion SAML de l’Authentication API pour déclencher la déconnexion unique (SLO).

Si votre application ne prend pas en charge la déconnexion unique (SLO) mais prend en charge l’envoi à l’utilisateur d’une URL de redirection après la déconnexion, définissez l’URL de redirection vers le point de terminaison de déconnexion OIDC de l’API d’authentification (ou le point de terminaison de déconnexion Auth0 de l’Authentication API si vous utilisez la méthode de déconnexion classique). Auth0 n’informera pas les autres participants de la session qu’une déconnexion a été initiée, mais supprimera la session Auth0 de l’utilisateur.

Lorsqu’un utilisateur initie une déconnexion à partir d’un IdP SAML Auth0, Auth0 envoie une réponse de déconnexion SAML à l’URL de la propriété logout.callback dans les paramètres du module supplémentaire SAML2 Web App. Vous ne pouvez indiquer qu’une seule URL pour cette propriété.

En raison de cette limitation, Auth0 ne prend pas en charge de façon native le scénario par lequel un utilisateur doit être déconnecté de toutes les applications connectés à votre IdP SAML Auth0.

Vous pouvez bénéficier de fonctionnalités similaires à celles proposées par la déconnexion unique (SLO) en configurant vos applications pour qu’elle vérifient régulièrement le statut de la session Auth0 de l’utilisateur et arrête les sessions des applications le cas échéant. Pour en savoir plus, consultez Configurer les paramètres de durée de vie des sessions.

• Déconnecter l’utilisateur de l’application
• Déconnexion des utilisateurs d’Auth0 avec le point de terminaison OIDC
• Déconnecter des utilisateurs des fournisseurs d’identité
• Rediriger les utilisateurs avec une déconnexion alternative
• Dépanner des configurations SAML
• Dépannage des erreurs SAML