> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-actions-triggers-prototype.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# Universal Logout

> Comment configurer la révocation globale des jetons pour les connexions Auth0.

Auth0 prend en charge les intégrations Universal Logout avec Okta Workforce Identity Cloud, qui déconnecte les utilisateurs des applications lorsqu’un événement administratif ou de sécurité se produit.

Universal Logout met en œuvre la spécification [Révocation globale de jetons](https://www.ietf.org/archive/id/draft-parecki-oauth-global-token-revocation-02.html), qui va au-delà des normes de déconnexion par canal d’appui <Tooltip href="/docs/fr-ca/glossary?term=openid" tip="OpenID
Norme ouverte d’authentification qui permet aux applications de vérifier l’identité des utilisateurs sans avoir à collecter leurs informations de connexion." cta="Voir le glossaire">OpenID</Tooltip> Connect en révoquant les jetons d’actualisation en plus des sessions utilisateur. Cette solution de déconnexion complète couvre les applications Web traditionnelles, les applications à page unique (SPA) et les applications natives qui utilisent une combinaison de jetons d’actualisation, de sessions d’application et de sessions de fournisseurs d’identité pour obtenir de nouveaux jetons et maintenir la connexion de l’utilisateur.

Si vous utilisez les types de connexion [Okta](/docs/fr-ca/authenticate/identity-providers/enterprise-identity-providers/okta), [SAML](/docs/fr-ca/authenticate/identity-providers/enterprise-identity-providers/saml), ou [OpenID Connect](/docs/fr-ca/authenticate/identity-providers/enterprise-identity-providers/oidc) pour vous fédérer à Workforce Identity Cloud, vous n’avez plus besoin de créer un point de terminaison de [révocation globale de jetons](https://developer.okta.com/docs/guides/oin-universal-logout-overview/) pour fonctionner avec Okta Universal Logout. Vous pouvez fournir l’URL du point de terminaison propre à la connexion d’Auth0 à l’administrateur d’Okta Workforce, et tirer parti de la [déconnexion par canal d’appui OpenID Connect](/docs/fr-ca/authenticate/login/logout/back-channel-logout) d’Auth0 pour mettre fin aux sessions de l’application si nécessaire.

## Fonctionnement

Le point de terminaison de révocation globale de jetons Auth0 suit le profil documenté dans [Créer une déconnexion pour votre application](https://developer.okta.com/docs/guides/oin-universal-logout-overview/). Il utilise le format `iss_sub` pour identifier les utilisateurs dans la demande de déconnexion et utilise le format d’URL suivant :

`https://{yourDomain}/oauth/global-token-revocation/connection/{yourConnectionName}`

Lorsque Auth0 reçoit une demande de déconnexion d’un utilisateur, il valide la demande à l’aide du même jeu de clés que celui utilisé pour valider les jetons d’ID ou les assertionsº<Tooltip href="/docs/fr-ca/glossary?term=security-assertion-markup-language" tip="Security Assertion Markup Language (SAML)
Protocole normalisé permettant à deux parties d’échanger des informations d’authentification sans mot de passe." cta="Voir le glossaire">SAML</Tooltip> émises par Okta Workforce Identity Cloud. Il met ensuite fin à toutes les [sessions Auth0](/docs/fr-ca/manage-users/sessions/session-layers) pour l’utilisateur, révoque les [jetons d’actualisation](/docs/fr-ca/secure/tokens/refresh-tokens) émis par Auth0 et, si elle est configurée, déclenche la [déconnexion par canal d’appui OpenID Connect](/docs/fr-ca/authenticate/login/logout/back-channel-logout) pour révoquer les sessions d’application.

<Frame>
  <img src="https://mintcdn.com/docs-dev-actions-triggers-prototype/6JN7GvC_uhcSr-i5/docs/images/fr-ca/cdy7uua7fh8z/4tcRn1VmydyBGORCHlKuvt/725b95df1cddae8ed3b2d36f0c3495bb/universal_logout_flow_diagram.png?fit=max&auto=format&n=6JN7GvC_uhcSr-i5&q=85&s=31f68dcb042c86d8430eeb125f6e5947" alt="User workflow using Universal Logout" width="2546" height="1376" data-path="docs/images/fr-ca/cdy7uua7fh8z/4tcRn1VmydyBGORCHlKuvt/725b95df1cddae8ed3b2d36f0c3495bb/universal_logout_flow_diagram.png" />
</Frame>

Le temps nécessaire pour que l’utilisateur d’une application perde l’accès dépend du type d’application et de la manière dont elle est intégrée à Auth0. Auth0 accepte un large éventail d’[architectures d’application](/docs/fr-ca/get-started/applications) grâce à la prise en charge des normes d’identité OIDC et <Tooltip href="/docs/fr-ca/glossary?term=oath2" tip="OAuth 2.0
Cadre d’applications d’autorisation qui définit les protocoles d’autorisation et les flux de production." cta="Voir le glossaire">OAuth</Tooltip> 2.0 et aux [Guides de démarrages rapides et trousses SDK](https://auth0.com/docs/quickstarts) d’Auth0. Cela inclut :

* Les applications Web traditionnelles qui créent leurs propres [sessions d’application](/docs/fr-ca/manage-users/sessions/session-layers) peuvent utiliser des jetons d’actualisation et des jetons d’accès pour accéder auxºAPI au moyen d’un système dorsal sécurisé.
* Les applications JavaScript basées sur un navigateur qui tirent parti de la [couche de session Auth0](/docs/fr-ca/authenticate/login/configure-silent-authentication) ou utilisent des techniques telles que la [rotation des jetons d’actualisation](/docs/fr-ca/secure/tokens/refresh-tokens/refresh-token-rotation) pour obtenir des jetons d’accès nécessaires pour accéder aux API au sein d’un navigateur Web.
* Les applications natives ou mobiles qui ne s’exécutent pas dans un navigateur Web et qui utilisent des jetons d’actualisation et des jetons d’accès comme méthode principale pour maintenir la connexion des utilisateurs.

### Révoquer les jetons d’actualisation et les sessions utilisateur Auth0

Les applications qui utilisent des jetons d’actualisation ou qui exploitent des sessions Auth0 bénéficient des avantages suivants en matière de sécurité lorsque l’intégration Universal Logout est activée :

* Pour les applications basées sur un navigateur qui tirent parti de la [session Auth0](/docs/fr-ca/authenticate/login/configure-silent-authentication), l’utilisateur perd l’accès la prochaine fois que l’application [interroge la session Auth0](https://auth0.com/docs/authenticate/login/configure-silent-authentication#poll-with-checksession-), et Auth0 invite l’utilisateur à s’identifier à nouveau lorsqu’il est redirigé.
* Pour les applications qui utilisent des jetons d’actualisation, l’utilisateur perd l’accès dès que son jeton d’accès actuel expire, ce qui varie de quelques secondes à la [durée de vie maximale du jeton d’accès](/docs/fr-ca/secure/tokens/access-tokens/update-access-token-lifetime) configurée dans Auth0.

### Révoquer des sessions d’utilisateurs d’applications

Pour les sessions créées par des applications Web, vous devez utiliser la fonction [Déconnexion par canal d’appui OpenID Connect](/docs/fr-ca/authenticate/login/logout/back-channel-logout/configure-back-channel-logout) existante dans Auth0 pour mettre fin à ces sessions lorsque Universal Logout met fin à la session de l’utilisateur Auth0. Pour en savoir plus, reportez-vous aux [exemples de mise en œuvre de la trousse SDK Auth0](https://auth0.com/docs/authenticate/login/logout/back-channel-logout#auth0-sdks).

## Configurer Universal Logout dans Auth0

Configurer Universal Logout par le type de connexion Auth0.

### Okta Workforce

1. [Connectez votre locataire Auth0 à OktaºWorkforce Identity Cloud](/docs/fr-ca/authenticate/identity-providers/enterprise-identity-providers/okta).
2. Dans Auth0 Dashboard, naviguez vers [**Authentification > Entreprise > Okta Workforce**](https://manage.auth0.com/#/connections/enterprise/okta). Sélectionnez votre connexion et choisissez **Settings (Paramètres)**.
3. Copiez l’**Revocation Endpoint URL (URL du point de terminaison) de révocation** que vous fournirez à l’administrateur d’Okta Workforce.

### OpenID Connect

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Nous recommandons fortement d’utiliser le type de connexion **Okta Workforce** pour les nouvelles intégrations OpenID Connect. Cependant, Universal Logout peut toujours être activée sur des intégrations plus anciennes en utilisant le type de connexion générique OpenID Connect dans les **Settings (Paramètres)** OpenID Connect d’Auth0 Dashboard.
</Callout>

1. Dans Auth0 Dashboard, naviguez vers [**Authentification > Entreprise > OpenID Connect**](/docs/fr-ca/%24manage_url#/connections/enterprise/oidc)**.** Sélectionnez votre connexion et choisissez **Settings (Paramètres)**.
2. Copiez l’**Revocation Endpoint URL (URL du point de terminaison) de révocation** que vous fournirez à l’administrateur d’Okta Workforce.

### SAML

1. [Configurer Okta en tant que fournisseur d’identité SAML](/docs/fr-ca/authenticate/protocols/saml/saml-sso-integrations/configure-auth0-saml-service-provider/configure-okta-as-saml-identity-provider)

2. Dans Auth0 Dashboard, naviguez vers [**Authentification > Entreprise > SAML**](https://manage.auth0.com/#/connections/enterprise/samlp). Sélectionnez votre connexion et choisissez **Settings (Paramètres)**.

3. Pour **Subject (Objet)**, entrez l’identifiant d’application de l’application SAML enregistrée dans Okta Workforce Identity Cloud. Exemple : `0oagcc12354688xxxx`. Pour en savoir plus, consultez[Comment obtenir un identifiant d’application](https://support.okta.com/help/s/article/How-to-obtain-an-application-ID?language=en_US).

4. Pour **Emetteur**, naviguez jusqu’à l’application SAML enregistrée dans l’organization Okta Workforce Identity Cloud et copiez l’[URI de l’émetteur](https://developer.okta.com/docs/guides/oin-universal-logout-overview/#endpoint-authentication).

   <Callout icon="file-lines" color="#0EA5E9" iconType="regular">
     Pour récupérer cette valeur, les administrateurs WIC peuvent se rendre dans la section **Applications** > **Applications > \[Application] > Authentication > Sign-on settings (Paramètres de connexion) > Sign-on methods (Méthodes de connexion) > SAML 2.0 > More details (Plus de détails)** du portail Okta.
   </Callout>

5. Copiez l’**Revocation Endpoint URL (URL du point de terminaison de révocation)**, que vous fournirez à l’administrateur d’Okta Workforce.

## Configurer Universal Logout dans Okta WorkforceºIdentity Cloud

Configurez Universal Logout dans Okta Workforce Identity Cloud pour envoyer des signaux de déconnexion à l’application en utilisant la connexion Auth0. Cette opération doit être effectuée par un administrateur Okta.

### Conditions préalables

Vous avez besoin de ce qui suit :

* Une organization OktaºWorkforce Identity Cloud avec la [Protection contre les menaces liées à l’identité](https://www.okta.com/products/identity-threat-protection/) activée, ou un [essai gratuit](https://www.okta.com/free-trial/).
* L’accès anticipé à Universal Logout pour les applications génériques SAML et OIDC doit être activé pour votre organization Okta Workforce Identity Cloud. Pour en savoir plus, consultez [Configurer Universal Logout pour les applications prises en charge](https://help.okta.com/oie/en-us/content/topics/itp/config-universal-logout.htm).

### Configurer Okta

Activez Universal Logout dans une [organization Okta Workforce](/docs/fr-ca/authenticate/identity-providers/enterprise-identity-providers/okta) pour la connexion Auth0.

1. Dans le portail Okta, sélectionnez **Applications** > **Applications**.

2. Sélectionnez l’application que vous avez enregistrée pour l’intégration Auth0.

3. Sous l’onglet **General (Général)**, sélectionnez **Logout (Déconnexion) > Edit (Modifier)**.

   <Frame>
     <img src="https://mintcdn.com/docs-dev-actions-triggers-prototype/gqbf-XGz7-Z2BrZ6/docs/images/fr-ca/cdy7uua7fh8z/M957prYUhjyMxXgpdA8pB/224812ce3a76ac9d032abe50c4be3a1d/2025-01-23_13-03-21.png?fit=max&auto=format&n=gqbf-XGz7-Z2BrZ6&q=85&s=77b610ccdeec36c77cad7e90cd768392" alt="Okta Dashboard image for Universal Logout configuration" width="1508" height="1256" data-path="docs/images/fr-ca/cdy7uua7fh8z/M957prYUhjyMxXgpdA8pB/224812ce3a76ac9d032abe50c4be3a1d/2025-01-23_13-03-21.png" />
   </Frame>

4. Choisissez **Okta system or admin initiates logout (Système Okta ou administrateur à l’origine de la déconnexion)**.

5. Saisissez l’URL copiée depuis Auth0 dans **Logout Endpoint URL (URL du point de terminaison de déconnexion)**.

6. Sélectionnez **Issuer and Subject Identifier (Émetteur et identifiant du sujet)** comme **Subject Format (Format du sujet)**.

7. Sélectionnez **Save** (Enregistrer).

### Tester Universal Logout

Testez Universal Logout dans Okta Workforce Identity Cloud en révoquant les sessions d’un utilisateur sélectionné.

1. Dans le portail Okta, sélectionnez **Directory (Répertoire) > People (Personnes)**.

2. Sélectionnez un utilisateur connecté à une application Auth0.

3. Sélectionnez **More Actions (Autres actions) > Clear User Sessions (Supprimer les sessions d’utilisateur)**.

   <Frame>
     <img src="https://mintcdn.com/docs-dev-actions-triggers-prototype/gqbf-XGz7-Z2BrZ6/docs/images/fr-ca/cdy7uua7fh8z/Z8an5lN6WAlSAdgiBkKLa/fde264f71615c5eb7e07e0c48d8426bf/2025-01-23_13-08-29.png?fit=max&auto=format&n=gqbf-XGz7-Z2BrZ6&q=85&s=0d7caa84cebfd1399309ff08dedb7151" alt="Test Universal Logout in Okta Dashboard" width="1518" height="1326" data-path="docs/images/fr-ca/cdy7uua7fh8z/Z8an5lN6WAlSAdgiBkKLa/fde264f71615c5eb7e07e0c48d8426bf/2025-01-23_13-08-29.png" />
   </Frame>

4. Dans la boîte de dialogue, sélectionnez **Also include logout enabled apps and Okta API tokens (Inclure aussi les applications avec déconnexion activée et les jetons d’API Okta)**.

5. Sélectionnez **Clear and Revoke (Effacer et révoquer)**.

## Journaux et notifications

Les administrateurs du locataire Auth0 peuvent voir l’état et les détails de chaque demande Universal Logout qu’Auth0 reçoit dans [Auth0 Dashboard > Suivi > Journaux](https://manage.auth0.com/#/*/logs). Les types d’événements de journal émis pour Universal Logout sont documentés dans les [Codes de type d’événement de journal](/docs/fr-ca/deploy-monitor/logs/log-event-type-codes).

Vous pouvez également intégrer des [exportations de journaux personnalisées](/docs/fr-ca/customize/log-streams) pour notifier les systèmes externes lorsque des événements Universal Logout se produisent.

## Management API

Vous pouvez également utiliser [Management API](https://auth0.com/docs/api/management/v2) pour configurer Universal Logout de manière programmatique. Cela est utile pour automatiser les configurations ou pour construire votre propre configuration en dehors d’Auth0 Dashboard.

Pour les connexions Okta Workforce et OpenID, aucune entrée dans Management API n’est nécessaire, car seul le point de terminaison de révocation globale du jeton Auth0 doit être présenté à l’administrateur Okta Workforce.

Pour les connexions SAML, outre le partage de l’URL du point de terminaison, Universal Logout doit être configurée en définissant ces attributs sur l’objet `connection` :

* **options.global\_token\_revocation\_jwt\_iss** – L’[identifiant de l’émetteur](https://developer.okta.com/docs/guides/oin-universal-logout-overview/#endpoint-authentication) de l’application SAML enregistrée dans Okta Workforce Identity Cloud. Exemple de valeur : `http://www.okta.com/exkhwkmkwhZUnuA6xxxx`.
* **options.global\_token\_revocation\_jwt\_sub** - L’[identifiant d’application](https://support.okta.com/help/s/article/How-to-obtain-an-application-ID?language=en_US) de l’application SAML enregistrée dans Okta Workforce Identity Cloud. Exemple de valeur : `0oagcc12354688xxxx`.

Vous pouvez utiliser ces attributs dans les appels Management API pour [mettre à jour](https://auth0.com/docs/api/management/v2#!/Connections/patch_connections_by_id) ou [créer](https://auth0.com/docs/api/management/v2/connections/post-connections) des connexions SAML. Examinez l’exemple JSON suivant pour créer une requête :

```json lines theme={null}
{
	"strategy": "samlp",
  	"name": "CONNECTION_NAME",
  	"options": {
    	"global_token_revocation_jwt_iss": "ISS_VALUE", 
     	"global_token_revocation_jwt_sub":  "SUB_VALUE",
    	"signInEndpoint": "SIGN_IN_ENDPOINT_URL",
    	"signOutEndpoint": "SIGN_OUT_ENDPOINT_URL",
    	"signatureAlgorithm": "rsa-sha256",
    	"digestAlgorithm": "sha256",
    	"fieldsMap": {
     		...
    	},
    	"signingCert": "BASE64_SIGNING_CERT"
  	}
}
```

Pour en savoir plus, consultez [Créer une connexion Entreprise à l’aide de Management API](https://auth0.com/docs/authenticate/identity-providers/enterprise-identity-providers/saml#create-an-enterprise-connection-using-the-management-api).