Durées de vie des jetons sur la plateforme d’identité Mozaïk
Jetons de session d’authentification unique
Quand l’utilisateur s’authentifie auprès de la Plateforme d’identité Mozaïk, une session d’authentification unique (SSO) est établie avec le navigateur de l’utilisateur et la plateforme d’identité Mozaïk. Le jeton SSO représente cette session sous la forme d’un cookie. Le jeton de session SSO n’est pas lié à une application cliente/ressource spécifique. Les jetons de session SSO peuvent être révoqués, et leur validité est vérifiée à chaque fois qu’ils sont utilisés.
La plateforme d’identité Mozaïk utilise deux types de jetons de session d’authentification unique : persistant et non persistant. Les jetons de session persistants sont stockés en tant que cookies persistants par le navigateur. Les jetons de session non persistants sont stockés en tant que cookies de session. Les cookies de session sont détruits lors de la fermeture du navigateur. En règle générale, un jeton de session non persistant est stocké à moins que l’utilisateur sélectionne une option lors de l’authentification qui lui permet de maintenir la connexion, alors un jeton de session persistant est stocké.
Lorsque l’utilisateur se connecte avec un fournisseur d’identité externe (Google, Microsoft, Apple, etc.), un jeton de session non persistant est généralement stocké. Le fournisseur d’identité externe gère à son tour la session de l’utilisateur.
Durée de vie de la session
| Domaine | Durée de vie | Type | Prolongé à chaque accès |
|---|---|---|---|
mozaikacces.ca |
14 jours | Non-persistant et persistant1 | Oui |
1 Persistant seulement avec la fonctionnalité
Me garder connecté
Me garder connecté
La fonctionnalité Me garder connecté étend la durée de vie de la session à l’aide d’un cookie persistant. La session reste active lorsque l’utilisateur ferme et rouvre le navigateur. La session est révoquée uniquement quand un utilisateur se déconnecte. La fonctionnalité Me garder connecté s’applique uniquement à la connexion avec des comptes locaux.
Jetons d’identité
Les jetons d’identité sont transmis aux sites web et clients natifs. Les jetons d’identité contiennent des informations de profil sur un utilisateur. Un jeton d’identité est lié à une combinaison spécifique d’utilisateur et de client. Les jetons d’identité sont considérés comme valides jusqu’à leur expiration de 5 minutes.
Jetons d’accès
Les clients utilisent des jetons d’accès pour accéder à une ressource protégée. Un jeton d’accès peut uniquement être utilisé pour une combinaison spécifique d’utilisateur, de client et de ressource. Les jetons d’accès ne peuvent pas être révoqués et sont valides jusqu’à leur expiration. Le client doit acquérir un nouveau jeton d’accès après 1 heure.
Jetons d’actualisation
Lorsqu’un client acquiert un jeton d’accès pour accéder à une ressource protégée, il peut aussi recevoir un jeton d’actualisation. Le jeton d’actualisation permet d’obtenir de nouvelles paires de jetons d’accès/actualisation à l’expiration du jeton d’accès actuel. Un jeton d’actualisation est lié à une combinaison d’utilisateur et de client. Un jeton d’actualisation peut être révoqué à tout moment, et la validité du jeton est vérifiée à chaque fois qu’il est utilisé. Les jetons d’actualisation sont révoqués lorsqu’ils sont utilisés pour récupérer de nouveaux jetons d’accès. Pour les applications PKCE confidentielles, la rotation des jetons d’actualisation est désactivée : le même jeton d’actualisation est réutilisé lors de chaque opération de rafraîchissement. Le client doit acquérir un nouveau jeton d’actualisation avant l’expiration de 30 jours.
Codes d’autorisation
Les codes d’autorisation sont transmis aux sites web et clients natifs pour demander un jeton d’accès. Les codes d’autorisation sont considérés comme valides jusqu’à leur expiration de 5 minutes.