Déconnecter les utilisateurs des appareils

Version en accès anticipé. Consultez Activer les fonctionnalités en libre-service.

Utilisez Déconnexion de l'appareil pour déconnecter les utilisateurs de leurs appareils.

Déconnexion de l'appareil est utile dans les situations où les informations d‘identification de l‘utilisateur sont compromises ou en présence de menaces basées sur l‘identité, telles que le piratage de session. Vous pouvez également l'utiliser pour gérer les modifications du cycle de vie des employés, telles que les congés ou les départs. Si un utilisateur est désactivé ou suspendu, Okta déconnecte automatiquement l‘utilisateur de tous les appareils.

Remarque :

Les appareils effectuent une interrogation optimale toutes les 15 minutes pour recevoir la commande de déconnexion d‘Okta. Cette action nécessite une connexion active entre l‘appareil et votre organisation Okta.

Avant de commencer

Déployez les certificats d'accès aux appareils à l'aide de SCEP sur les appareils des utilisateurs finaux.
Les appareils des utilisateur finaux sont protégés par Desktop MFA.

Remarque :
La Déconnexion de l'appareil est uniquement prise en charge pour les appareils macOS .
Les appareils des utilisateur finaux ont Okta Verify pour macOS version 9.46.1 ou ultérieure.
Activez Identity Threat Protection with Okta AI dans votre org pour utiliser Universal Logout avec Identity Threat Protection .
Vous devez avoir le rôle de super administrateur ou un rôle personnalisé avec les autorisations Déconnecter un utilisateur des appareils et Déconnecter les utilisateurs des appareils.

Pour utiliser ces autorisations, activez les fonctionnalités Activer les rôles d'administrateur personnalisés pour les autorisations Okta Accès à l'appareilet Activer les rôles d'administrateur personnalisés pour les autorisations d'appareils.

Consultez Rôles et permissions standard des administrateurs et Rôles d'administrateur personnalisés.

Déconnecter un utilisateur de tous les appareils

Utilisez la procédure suivante pour déconnecter manuellement un seul utilisateur de tous ses appareils enregistrés. Cette action est gérée par le biais du profil Universal Directory de l‘utilisateur.

Dans Admin Console, accédez à Directory > Personnes.
Recherchez et sélectionnez le nom ou l‘adresse e-mail d‘un utilisateur pour ouvrir son profil.
Facultatif. Utilisez le menu déroulant Statut afin de filtrer les résultats par statut utilisateur.
Cliquez sur le nom de l‘utilisateur pour ouvrir son profil.
Sur la page de profil, sélectionnez Plus d‘actions, puis Déconnexion de l'appareil .
Cliquez sur Déconnecter tous les appareils dans l‘invite de confirmation.

Déconnecter un utilisateur de ses appareils avec Universal Logout

Configurez l‘action de déconnexion pour les appareils dans l‘application Desktop MFA.

Dans l'Admin Console, accédez à Applications > Applications.
Sélectionnez l'application Desktop MFA .
Sélectionnez l‘onglet Authentification.
Dans la section Déconnexion, cliquez sur Modifier.
Sélectionnez Un système Okta ou un administrateur initie la déconnexion.
Cliquez sur Enregistrer.

Universal Logout avec Identity Threat Protection

La fonctionnalité Universal Logout dans Identity Threat Protection (ITP) peut automatiquement déconnecter un utilisateur de tous ses appareils lorsqu‘une Politique de risques pour l‘entité déclenche une condition configurée. Voir Paramètres de détection pour la stratégie de risque d'entité.

Assurez-vous qu‘ITP est activé dans votre organisation. Consultez Identity Threat Protection with Okta AI ou contactez l‘assistance Okta.
Lorsque vous configurez les conditions de la règle pour votre Politique de risques pour l‘entité, sélectionnez Déconnecter et révoquer les jetons comme action de règle.
Cliquez sur Enregistrer pour confirmer la règle de politique.

Universal Logout avec effacement des sessions utilisateur

Vous pouvez également déconnecter un utilisateur de tous ses appareils en effaçant sa session sur sa page Profil .

Dans Admin Console, accédez à Répertoire > Personnes.
Recherchez l‘ utilisateur, puis cliquez sur le nom de l‘utilisateur pour ouvrir son profil Universal Directory .
Dans le menu déroulant Plus d‘actions, sélectionnez Effacer les sessions utilisateur.
Dans la boîte de dialogue Effacer les sessions et révoquer les jetons, sélectionnez Inclure également les applications activées par déconnexion et les jetons API Okta.
Cliquez sur Effacer et révoquer pour effacer la session de l‘utilisateur.

Voir les événements du journal système Déconnexion de l'appareil

Pour afficher les événements du System Log dans l'Admin Console, accédez à Rapports > System Log et recherchez le nom de l‘événement.

Le journal système enregistre les événements suivants pour les opération de Déconnexion de l'appareil :

device.desktop_mfa.device_logout.started : ajouté lorsque Okta ou un administrateur invoque une opération de Déconnexion de l'appareil pour un utilisateur.
device.desktop_mfa.device_logout.completed : ajouté lorsque l‘appareil termine l‘opération de déconnexion de utilisateur et envoie le résultat à Okta.
device.desktop_mfa.configuration.update : ajouté lorsqu‘un administrateur modifie la configuration Universal Logout pour une instance d‘application Desktop MFA. L'entrée comprend l'ID client de l'instance d‘application Desktop MFA.

Consultez Types d‘événements dans la documentation de l'API Okta.

Vous pouvez corréler un événement device.desktop_mfa.device_logout.started avec l‘événement device.desktop_mfa.device_logout.completed à l‘aide de la valeur TraceID. La valeur TraceID se trouve dans les données System > DebugContext > DebugData enregistrées pour l‘événement.

Si Universal Logout a déclenché l‘opération de déconnexion de l‘appareil, vous pouvez corréler l‘événement avec un user.authentication.universal_logout utilisant également le TraceID.

Rubriques connexes

Universal Logout

Applications prises en charge par Universal Logout