La biométrie comme premier type de facteur d’authentification ne fonctionne pas avec les sessions non persistantes.
Le PSaaS d’Auth0 prend actuellement en charge une fonctionnalité pour les sessions non persistantes, qui est applicable à tous les locataires. La fonctionnalité existante peut être remplacée par l’utilisation de sessions non persistantes basées sur les locataires.
Limitations du navigateur
Dans certains cas, les sessions non persistantes ne peuvent pas être activées par les paramètres du locataire. À titre d’exemple :- L’utilisateur a activé un paramètre de restauration de session sur le navigateur. La restauration de la session restaure également le témoin de session.
- L’utilisateur ferme un onglet, mais pas la fenêtre du navigateur; le témoin de session n’est pas effacé tant que la session n’est pas terminée suivant l’expiration par inactivité ou expiration absolue.
Dans ces cas, les sessions non persistantes ne fournissent pas de sécurité supplémentaire à la session.
Sessions
Les sessions sont constituées d’un témoin dans le navigateur et d’un enregistrement de session sur le serveur. Dans les sessions non persistantes, les témoins ne sont pas conservés, et un délai d’expiration pour le locataire est défini. Ainsi, les utilisateurs n’auront pas besoin de se déconnecter manuellement d’un appareil. La durée de vie de la session détermine combien de temps le système doit conserver la session de connexion et est configurée par locataire. L’expiration absolue d’une session est définie lors de la création de ladite session. Vous pouvez activer des paramètres non persistants pour les sessions utilisateur, ou permettre à la session de continuer même si le navigateur est fermé. Vous pouvez ajuster l’Expiration absolue et les paramètres non-persistants dans Dashboard ou . Pour en savoir plus, consultez Configurer les paramètres de durée de vie des sessions.Témoins
La plateforme Auth0 utilise trois types de témoins : de session, d’authentification multifacteur () et d’appareil. Tous ces types de témoins deviennent non persistants une fois que votre locataire Auth0 est configuré. Le délai d’expiration du locataire déclenche l’expiration de la session Lorsque les sessions non persistantes sont activées, les témoins suivants sont émis en tant que témoins de session lors de l’interaction avec le serveur d’autorisations :auth0/auth0_compatauth0-mf/auth0-mf_compatdid/did_compat
Configuration du locataire
Vous pouvez configurer votre locataire pour gérer les sessions des deux manières suivantes :- Persistent (Persistant) : les témoins de session persistent lorsque le navigateur est fermé.
- Non-Persistent (Non persistant) : les témoins de session ne persistent pas. Le navigateur conserve les témoins de session jusqu’à la fin de la session de navigation. Pour en savoir plus, lisez HTTP State Management Mechanism (sur le site IETF Datatracker).
- Allez à Dashboard > Tenant Settings (Paramètres du locataire), et sélectionnez la vue Advanced (Avancés).
- Faites défiler jusqu’à la section Session Expiration (Expiration de session), recherchez Idle Session Lifetime (Durée de vie de la session inactive) et Maximum Session Lifetime (Durée de vie maximale de la session), entrez les paramètres souhaités et sélectionnez Save (Enregistrer).
| Paramètres | Description |
|---|---|
| Idle Session Lifetime (Durée de vie de la session inactive) | Délai (en minutes) après lequel la session d’un utilisateur expirera s’il n’a pas interagi avec le serveur d’autorisation. Sera remplacé par les limites système si le délai dépasse 4 320 minutes (3 jours) pour les plans Essential ou Professional ou 144 000 minutes (100 jours) pour les plans Entreprise. |
| Maximum Session Lifetime (Durée de vie maximale de la session) | Délai (en minutes) après lequel un utilisateur devra se reconnecter, quelle que soit son activité. Sera remplacée par les limites du système si plus de 43 200 minutes (30 jours) pour les plans Developer ou Developer Pro ou 525 600 minutes (365 jours) pour les plans Entreprise. |