Passer au contenu principal
Auth0 implémente la déconnexion initié par RP 1.0 d’ Connect pour la déconnexion de l’utilisateur final. Cette norme fait partie de l’ensemble de spécifications finales OpenID Connect.

Fonctionnement

La déconnexion initiée par RP est un scénario dans lequel une partie utilisatrice (utilisateur) demande au fournisseur OpenID (Auth0) de se déconnecter.
  1. L’utilisateur lance une demande de déconnexion dans votre application.
  2. Votre application dirige l’utilisateur vers le point de terminaison de déconnexion OIDC de l’Authentication API Auth0.
  3. Auth0 redirige l’utilisateur vers la destination appropriée en fonction des paramètres de point de terminaison de déconnexion OIDC fournis.

Configurer la déconnexion initiée par RP

Pour configurer la déconnexion initiée par RP, vous devez vous assurer que votre application peut trouver le paramètre end_session_endpoint dans le document de métadonnées de découverte de votre locataire Auth0 et qu’elle appelle le point de terminaison de déconnexion OIDC avec les paramètres nécessaires.

Activer la découverte des points de terminaison

Pour les locataires Auth0 créés le 14 novembre 2023 ou après cette date, la Découverte du point de terminaison Déconnexion initiée par la partie de confiance est activée par défaut.
Vous pouvez activer RP-Initiated Logout End Session Endpoint Discovery (Découverte du point de terminaison de fin de session de déconnexion initiée par RP) dans l’ ou avec l’Auth0 Management API.
  • Dashboard
  • Management API
Pour activer la Détection du point de terminaison Déconnexion initiée par la partie de confiance dans Dashboard :
  1. Rendez-vous dans Dashboard > Paramètres > Avancé.
  2. Localisez la section Connexion et déconnexion.
  3. Activez le bouton à bascule Détection du point de terminaison Déconnexion initiée par la partie de confiance.

Appeler le point de terminaison de déconnexion OIDC

La plupart des bibliothèques de trousses SDK d’Auth0 sont conformes à l’OIDC et prennent en charge la déconnexion initiée par la partie de confiance.
Quand vous appelez le point de terminaison de déconnexion OIDC, Auth0 vous recommande de fournir le paramètre id_token_hint. Si votre application ne peut pas stocker les jetons d’ID en toute sécurité, vous pouvez fournir les paramètres logout_hint et client_id à la place.
Vous pouvez appeler le point de terminaison de déconnexion OIDC avec des informations redondantes.Par exemple, vous pouvez envoyer les paramètres id_token_hint et logout_hint, ou les paramètres id_token_hint et client_id.Dans tous les cas, Auth0 vérifie la cohérence des données relatives à l’utilisateur et à la session et renvoie une erreur en cas de divergence.

Paramètres du point de terminaison de déconnexion OIDC

Le point de terminaison de déconnexion OIDC de l’Authentication API prend en charge les paramètres suivants :
ParamètreRequis?Description
id_token_hintRecommandéJeton d’ID précédemment émis pour l’utilisateur. Il indique l’utilisateur à déconnecter.
logout_hintFacultatifValeur de l’identifiant de session (sid) qui indique l’utilisateur à déconnecter.
post_logout_redirect_uriFacultatifValeur d’URL de redirection qui indique où rediriger l’utilisateur après la déconnexion.
federatedFacultatifIndique à Auth0 de déconnecter l’utilisateur de son fournisseur d’identité.
stateFacultatifValeur opaque que l’application ajoute à la requête initiale de déconnexion, et qu’Auth0 inclut lors de la redirection vers le post_logout_redirect_uri.
ui_localesFacultatifListe de paramètres régionaux délimitée par des espaces, utilisée pour restreindre la liste des langues de la demande. Les premiers paramètres régionaux de la liste doivent correspondre aux paramètres régionaux activés dans votre locataire.

Paramètre id_token_hint

Auth0 recommande d’utiliser le paramètre id_token_hint lorsque vous appelez le point de terminaison de déconnexion OIDC.
La valeur du paramètre id_token_hint doit être le jeton d’ID qu’Auth0 a émis à l’utilisateur après son authentification. Le jeton d’ID contient l’émetteur des demandes enregistrées (iss), l’ (aud) et l’ID de la session Auth0 (sid) pour vérification. Pour en savoir plus sur les demandes relatives aux jetons d’ID, consultez Structure des jetons d’ID.
Exemples
  • HTTP
  • cURL
https://{yourDomain}/oidc/logout?id_token_hint={yourIdToken}&post_logout_redirect_uri={yourCallbackUrl}

Paramètre logout_hint

La valeur du paramètre logout_hint doit être l’identification de la session (sid) de la session Auth0 actuelle de l’utilisateur. L’identification de la session (sid) est fournie sous forme de demandes enregistrée dans le jeton d’ID qu’Auth0 a émis à l’utilisateur après son authentification.
Vous devez utiliser l’ID de session (sid) associé au jeton d’ID émis par Auth0 au moment où la session en cours a commencé. Auth0 ignore les demandes dont les valeurs sont aléatoires ou ne reflètent pas les données de la session en cours.
Exemple
https://{yourDomain}/oidc/logout?{clientId}={yourClientId}&logout_hint={sessionId}

Paramètre post_logout_redirect_uri

La valeur du paramètre post_logout_redirect_uri doit être une URL codée valide qui a été enregistrée dans la liste des URL de déconnexion autorisées dans vos :
  1. Paramètres d’application : Si vous fournissez le paramètre id_token_hint ou les paramètres logout_hint et client_id.
  2. Tenant settings (Paramètres du locataire) : Si vous fournissez uniquement le paramètre logout_hint.
Exemple
https://{yourDomain}/oidc/logout?post_logout_redirect_uri=http%3A%2F%2Fwww.example.com
Mettre à jour les URL de déconnexion autorisées de l’application
Vous pouvez enregistrer une URL avec la liste des URL de déconnexion autorisées de votre application dans l’Auth0 Dashboard ou avec l’Auth0 Management API.
  • Dashboard
  • Management API
Pour enregistrer une URL avec votre liste d’application de URL de déconnexion autorisées dans Dashboard :
  1. Allez à Dashboard > Applications > Applications.
  2. Sélectionnez votre application.
  3. Localisez la section Application URIs (URI de l’application) .
  4. Mettez à jour URL de déconnexion autorisées en suivant pour ce faire les instructions fournies.
Mettre à jour les URL de déconnexion autorisées du locataire
Vous pouvez enregistrer une URL avec la liste des URL de déconnexion autorisées du locataire dans l’Auth0 Dashboard ou avec l’Auth0 Management API.
  • Dashboard
  • Management API
Pour enregistrer une URL avec la liste URL de déconnexion autorisées de votre locataire dans Dashboard :
  1. Allez à Dashboard > Paramètres > Avancés.
  2. Localisez la section Connexion et déconnexion.
  3. Mettez à jour les URL de déconnexion autorisées en suivant pour ce faire les instructions fournies.
Directives relatives aux URL de déconnexion autorisées
Quand vous mettez à jour les URL de déconnexion autorisées, suivez les directives ci-dessous pour éviter des erreurs de validation :
  • Séparez plusieurs valeurs d’URL par une virgule (,).
  • Incluez la partie du schéma de l’URL (par exemplehttps:// ).
Vous pouvez utiliser un astérisque (*) comme caractère générique pour les sous-domaines (tels que https://*.example.com), mais nous vous conseillons de ne pas utiliser de caractères génériques dans les environnements de production. Pour en savoir plus, veuillez consulter Paramètres fictifs d’URL de sous-domaine.
Ajouter des paramètres de chaîne de requête à post_logout_redirect_uri
Le point de terminaison de déconnexion OIDC analyse les paramètres de chaîne de requête dans l’URL fournie au paramètre post_logout_redirect_uri. Vous devez inclure ces paramètres de chaîne de requête dans vos URL de déconnexion autorisées, sinon la demande de déconnexion pourrait être refusée. Par exemple, si vous passez https://example.com/logout?myParam=1234 au paramètre post_logout_redirect_uri (encodé comme https%3A%2F%2Fexample.com%2Flogout%3FmyParam%3D1234), vous devez inclure https://example.com/logout?myParam dans vos URL de déconnexions autorisées.

Paramètre ui_locales

La valeur du paramètre ui_locales doit être une liste de paramètres locaux pris en charge, délimités par des espaces. La première valeur fournie dans la liste doit correspondre au paramètre de la langue par défaut de votre locataire.

paramètre federated

Le paramètre federated ne nécessite pas de valeur. Si vous incluez le paramètre federated lorsque vous appelez le point de terminaison de déconnexion OIDC, Auth0 tente de déconnecter l’utilisateur de son fournisseur d’identité.

Invite de consentement de déconnexion

La norme OIDC définit que le flux de déconnexion doit être interrompu pour demander le consentement de l’utilisateur si le fournisseur OpenID ne peut pas vérifier que la demande a été faite par ce dernier. Auth0 applique ce comportement en affichant une invite de consentement de déconnexion si l’une des conditions suivantes est détectée :
  • Les paramètres id_token_hint et logout_hint ne sont pas fournis.
  • La demande de jeton d’ID sid ne correspond pas à la session du navigateur dans la demande.
  • La valeur du paramètre logout_hint ne correspond pas aux données de la session en cours.
null
Si l’utilisateur confirme la demande de déconnexion, Auth0 poursuit le flux de déconnexion.

Désactiver l’invite de consentement à la déconnexion

Vous pouvez désactiver l’invite de consentement à la déconnexion. Si vous le faites, Auth0 ne tente pas de détecter un comportement anormal et accepte automatiquement les demandes de déconnexion. Pour désactiver l’invite de consentement de déconnexion dans le Dashboard :
  1. Accédez à Dashboard > Paramètres > Avancés.
  2. Désactivez la bascule Afficher la confirmation de l’utilisateur final de déconnexion initiée par RP.
    null

En savoir plus

I