Sessions non persistantes
Dans les sessions persistantes, les utilisateurs ferment le navigateur, mais conservent la session lorsqu’ils ouvrent à nouveau le navigateur sur le même appareil. Pour améliorer l’expérience utilisateur et fournir un accès plus sécurisé, les sessions non persistantes invalident un témoin de session lorsque le navigateur est fermé.
La biométrie comme premier type de facteur d’authentification ne fonctionne pas avec les sessions non persistantes.
Le PSaaS d’Auth0 prend actuellement en charge une fonctionnalité pour les sessions non persistantes, qui est applicable à tous les locataires. La fonctionnalité existante peut être remplacée par l’utilisation de sessions non persistantes basées sur les locataires.
Limitations du navigateur
Dans certains cas, les sessions non persistantes ne peuvent pas être activées par les paramètres du locataire. À titre d’exemple :
L’utilisateur a activé un paramètre de restauration de session sur le navigateur. La restauration de la session restaure également le témoin de session.
L’utilisateur ferme un onglet, mais pas la fenêtre du navigateur; le témoin de session n’est pas effacé tant que la session n’est pas terminée suivant l’expiration par inactivité ou expiration absolue.
Dans ces cas, les sessions non persistantes ne fournissent pas de sécurité supplémentaire à la session.
Sessions
Les sessions sont constituées d’un témoin dans le navigateur et d’un enregistrement de session sur le serveur. Dans les sessions non persistantes, les témoins ne sont pas conservés, et un délai d’expiration pour le locataire est défini. Ainsi, les utilisateurs n’auront pas besoin de se déconnecter manuellement d’un appareil.
La durée de vie de la session détermine combien de temps le système doit conserver la session de connexion et est configurée par locataire. L’expiration absolue d’une session est définie lors de la création de ladite session. Vous pouvez activer des paramètres non persistants pour les sessions utilisateur, ou permettre à la session de continuer même si le navigateur est fermé. Vous pouvez ajuster l’Expiration absolue et les paramètres non-persistants dans Dashboard ou Management API. Pour en savoir plus, consultez Configurer les paramètres de durée de vie des sessions.
Témoins
La plateforme Auth0 utilise trois types de témoins : de session, d’authentification multifacteur (MFA) et d’appareil. Tous ces types de témoins deviennent non persistants une fois que votre locataire Auth0 est configuré. Le délai d’expiration du locataire déclenche l’expiration de la session
Lorsque les sessions non persistantes sont activées, les témoins suivants sont émis en tant que témoins de session lors de l’interaction avec le serveur d’autorisations :
auth0/auth0_compatauth0-mf/auth0-mf_compatdid/did_compat
Pour en savoir plus sur les témoins, veuillez consulter Témoins de Authentication API.
Configuration du locataire
Vous pouvez configurer votre locataire pour gérer les sessions des deux manières suivantes :
Persistent (Persistant) : les témoins de session persistent lorsque le navigateur est fermé.
Non-Persistent (Non persistant) : les témoins de session ne persistent pas. Le navigateur conserve les témoins de session jusqu’à la fin de la session de navigation. Pour en savoir plus, lisez HTTP State Management Mechanism (sur le site IETF Datatracker).
Pour configurer ces paramètres dans Dashboard :
Allez à Dashboard > Tenant Settings (Paramètres du locataire), et sélectionnez la vue Advanced (Avancés).
Faites défiler jusqu’à la section Session Expiration (Expiration de session), recherchez Idle Session Lifetime (Durée de vie de la session inactive) et Maximum Session Lifetime (Durée de vie maximale de la session), entrez les paramètres souhaités et sélectionnez Save (Enregistrer).
Paramètres Description Idle Session Lifetime (Durée de vie de la session inactive) Délai (en minutes) après lequel la session d’un utilisateur expirera s’il n’a pas interagi avec le serveur d’autorisation. Sera remplacé par les limites système si le délai dépasse 4 320 minutes (3 jours) pour les plans Essential ou Professional ou 144 000 minutes (100 jours) pour les plans Entreprise. Maximum Session Lifetime (Durée de vie maximale de la session) Délai (en minutes) après lequel un utilisateur devra se reconnecter, quelle que soit son activité. Sera remplacée par les limites du système si plus de 43 200 minutes (30 jours) pour les plans Developer ou Developer Pro ou 525 600 minutes (365 jours) pour les plans Entreprise.
Management API
Vous pouvez utiliser Management API pour activer des sessions non persistantes, ainsi que définir des valeurs pour la durée de vie des sessions, la durée de vie des sessions inactives et les propriétés des témoins de session. Pour en savoir plus, consultez Management API Tenant Update endpoint (Point de terminaison Tenant Update/Mise à jour du locataire de Management API).