Déconnexion (B2C)

Logout (Déconnexion) La déconnexion est l’action de mettre fin à une session authentifiée lorsqu’elle n’est plus nécessaire, ce qui réduit au minimum la probabilité que des parties non autorisées puissent « prendre le contrôle » de la session. Ceci est généralement réalisé en fournissant une option de déconnexion sur l’interface utilisateur que vous fournissez à vos utilisateurs. Plusieurs types de sessions peuvent être créés lorsqu’un utilisateur ouvre une session (p. p.ex.., sessions d’application locale, session Auth0, sessions de fournisseur d’identité tiers), et vous devrez déterminer lesquelles de ces sessions doivent être terminées lorsque l’utilisateur clique sur une option  Logout (Déconnexion).

Lors de la configuration du comportement de déconnexion, vous devrez tenir compte des éléments suivants :

• Quelles sessions doivent être terminées lorsque l’utilisateur se déconnecte?

• Quelles informations devez-vous fournir aux utilisateurs pour confirmer la fin des sessions?

• Où les utilisateurs doivent-ils être redirigés après la fin de la déconnexion?

• Combien de temps voulez-vous que les sessions durent si les utilisateurs ne déclenchent pas le processus de déconnexion?

Compte tenu des différents types de sessions qui peuvent être créées chaque fois qu’un utilisateur se connecte, il existe plusieurs types de déconnexion possibles. La déconnexion de l’application locale met fin à la session avec l’application, tandis que la déconnexion Auth0 met fin à la session Auth0. Si vous avez des organisations qui utilisent leur propre IDP, vous pouvez envisager une stratégie de Déconnexion fédérée et la mettre en œuvre en conséquence. Déconnexion globale ou Déconnexion Unique (SLO), met fin à la session Auth0 et envoie également une demande/avis de déconnexion aux applications qui dépendent de la session Auth0.

Les fonctionnalités offertes par votre application, ainsi que l’utilisation de fonctions comme le Authentification unique (SSO), vous aideront à déterminer le type de déconnexion nécessaire et la confirmation visuelle que vous devrez fournir à vos utilisateurs. Quelle que soit l’option choisie, le processus de déconnexion que vous mettez en œuvre devrait indiquer clairement à l’utilisateur quelles sessions sont terminées et également quand le processus de déconnexion est terminé.

Une fois que votre utilisateur se déconnecte, il sera redirigé vers un emplacement spécifique de votre choix. Cet emplacement est spécifié en tant que redirection de déconnexion, et vous pouvez le définir en tant que paramètre via Auth0 Dashboard.

Les URL(s) que vous utilisez pour rediriger les utilisateurs après la déconnexion doivent être mis sur la liste blanche dans le Dashboard afin d’atténuer les vulnérabilités de sécurité des redirections ouvertes. Vous pouvez les mettre sur la liste blanche au niveau du locataire ou de l’application.

Il n’est pas courant que tous les utilisateurs enclenchent le processus de déconnexion manuellement, donc Auth0 fournit également un session timeout (délai d’expiration de session) pour éviter des sessions excessivement longues. Ce paramètre est available and configurable via the Auth0 Dashboard (disponible et paramétrable via le tableau de bord Auth0).

Nous fournissons un guide de planification en format PDF que vous pouvez télécharger; vous pouvez vous y référer pour de plus amples détails concernant nos stratégies recommandées.