Gestion des sessions utilisateur

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Permet Now Platform d’afficher et de mettre fin aux sessions utilisateur individuelles, de verrouiller les utilisateurs du système et de rendre les utilisateurs inactifs.

    Quel que soit le nombre de fenêtres ouvertes dans un navigateur, il s’agit d’une session. Cependant, si vous avez deux navigateurs distincts ouverts (tels que Google Chrome et Safari), il s’agit de deux sessions distinctes.

    • Mettre fin à une session utilisateur a pour effet de déconnecter cet utilisateur de la transaction suivante, qui est généralement la prochaine sélection du navigateur. Utilisez la fonctionnalité d’arrêt des sessions lorsque vous souhaitez effectuer une maintenance du système.
    • Verrouiller un utilisateur hors du système signifie qu’il ne peut plus se connecter ou générer des actions à partir des e-mails qu’il envoie à l’instance. Le verrouillage de l’accès des utilisateurs met également fin à leurs sessions.
    • Rendre un utilisateur inactif signifie qu’il n’apparaît pas dans les champs qui font référence aux utilisateurs actifs dans la table Utilisateur .

    Configurer une durée active maximale pour les sessions utilisateur

    Sécurisez votre instance en appliquant une durée maximale pour les sessions, quelle que soit l’activité de l’utilisateur.

    Avant de commencer

    Rôle requis : administrateur

    Pourquoi et quand exécuter cette tâche

    Par défaut, les sessions n’expirent qu’après une période d’inactivité. L’application d’une durée de session active maximale met fin aux sessions, qu’un utilisateur ait été actif récemment ou non, y compris s’il a récemment choisi de prolonger une session. Le délai d’expiration de la session active doit être supérieur à la valeur configurée pour le délai d’expiration de la session inactive. Par exemple, si les sessions sont configurées pour expirer après 30 minutes d’inactivité, le délai d’expiration de la session active doit être supérieur à 30 minutes.

    Procédure

    1. Dans le filtre de navigation, saisissez sys_properties.list.
    2. Filtrez la liste Propriétés système [sys_properties] pour les propriétés suivantes, puis sélectionnez une propriété pour ouvrir son enregistrement.
      • glide.ui.active.session.life_span: définit la durée de session maximale pour les sessions utilisateur authentifiées, quelle que soit l’activité de l’utilisateur. Les utilisateurs authentifiés sont déconnectés de l’instance après le délai spécifié et doivent saisir à nouveau leurs informations d’identification pour accéder à l’instance.
      • glide.guest.active.session.life_span: définit la durée de session maximale pour les sessions de l’utilisateur invité, quelle que soit l’activité de l’utilisateur. Ce paramètre permet de sécuriser une instance à l’aide d’applications qui impliquent des sessions d’utilisateurs invités, telles que Messagerie instantanée d'agent.
    3. Dans le champ Valeur , saisissez le nombre de minutes avant l’expiration de la session, quelle que soit l’activité de l’utilisateur.
      La valeur doit être supérieure à la valeur des propriétés correspondantes pour un délai de session inactif : glide.ui.session_timeout pour les utilisateurs authentifiés ou glide.guest.session_timeout pour les utilisateurs invités. Par défaut, le délai d’expiration de session inactive pour les utilisateurs authentifiés et invités est de 30 minutes.
    4. Sélectionnez Mettre à jour.

    Modifier le délai d’expiration de session utilisateur après l’inactivité

    Spécifiez quand expirer les sessions utilisateur après une période d’inactivité.

    Avant de commencer

    Rôle requis : administrateur

    Pourquoi et quand exécuter cette tâche

    Par défaut, après 30 minutes d’inactivité dans l’application, la plateforme déconnecte automatiquement l’utilisateur, sauf si la case à cocher Se souvenir de moi dans l’écran de connexion est cochée. L’allongement de l’intervalle peut entraîner le maintien inutile de sessions inactives en mémoire. Ajustez ce paramètre de délai d’expiration sur quelques heures maximum, bien qu’il soit possible de travailler jusqu’à 24 heures.

    Remarque :
    • Les appels Ajax vers le serveur maintiennent la session en vie (tels que les étiquettes et l’actualisation des tableaux de bord).
    • L’interrogation maintient la session active lorsque le bureau de messagerie instantanée est ouvert (nécessite le module d’extension Chat).

    Procédure

    1. Décochez la case Se souvenir de moi sur l’écran de connexion.
    2. Dans le filtre de navigation, saisissez sys_properties.list.
    3. Dans la liste Propriétés système [sys_properties], recherchez glide.ui.session_timeout.
    4. Si glide.ui.session_timeout elle n’existe pas, sélectionnez Nouveau pour ajouter une nouvelle propriété à l’aide des valeurs suivantes :
      • Nom : glide.ui.session_timeout
      • Description : saisissez une description brève. Dans ce cas, saisissez quelque chose comme Remplacer le délai d’expiration de session par défaut (30). Cette valeur est en minutes.
      • Type : sélectionnez le type de données approprié. Dans ce cas, sélectionnez Entier.
      • Valeur : modifiez la valeur par défaut de 30 minutes par une valeur de votre choix.
      Remarque :
      Le délai d’expiration de la session peut également être défini via des personnalisations de sortie d’installation.

    Que faire ensuite

    Les administrateurs peuvent également ajouter les propriétés suivantes à la table Propriétés système.

    • glide.security.csrf.handle.ajax.timeout: gère les erreurs pour les requêtes Ajax expirées lorsqu’elles sont définies sur vrai.
    • glide.security.auto.resubmit.ajax: soumet automatiquement à nouveau les requêtes Ajax expirées lorsque la valeur est définie sur vrai et que la case Se connecter à une instance est cochée ou Modifier la valeur par défaut de la case à cocher Se souvenir de moi. Une fenêtre contextuelle s’affiche pour demander aux utilisateurs de continuer.
    • glide.ui.auto_req.extend.session: lorsqu’il est défini sur vrai, le système étend automatiquement la session d’un utilisateur de la valeur qu’il sélectionne pour le temps d’actualisation de la page d’accueil. S’il n’y a pas d’heure d’actualisation de la page d’accueil, la valeur standard du délai d’expiration s’applique. Les tablettes et les équipements mobiles ne prennent pas en charge cette propriété. Lorsqu’elle est définie sur faux, les sessions utilisateur expirent lorsque la case à cocher Se souvenir de moi n’est pas cochée. Le délai d’expiration varie selon qu’il y a ou non un temps d’actualisation de la page d’accueil. Lorsqu’il n’y a pas d’heure d’actualisation de la page d’accueil, la valeur standard du délai d’expiration s’applique. Lorsqu’il y a une heure d’actualisation de la page d’accueil, la session utilisateur expire après la valeur de délai plus un intervalle du temps d’actualisation de la page d’accueil. Par exemple, si un utilisateur sélectionne un intervalle d’actualisation de cinq minutes, cette session expire après la valeur du délai d’expiration plus cinq minutes.
      Remarque :
      Les utilisateurs qui cochent la case Se souvenir de moi ne sont pas affectés par les propriétés de délai d’expiration de session.

    Les administrateurs peuvent également ajouter les propriétés suivantes pour configurer des paramètres de délai d’expiration supplémentaires pour les sessions utilisateur. Ces paramètres supplémentaires permettent d’économiser les ressources système :

    • glide.session.unauthorized.timeout.enabled: active un délai d’expiration de session alternatif pour les sessions invitées non authentifiées. Les sessions invitées sont créées pour les requêtes HTTP adressées à l’instance qui ne contient pas d’informations d’authentification. Par défaut, cette propriété est définie sur true.
    • glide.unauthorized.session_timeout: spécifie le temps, en minutes, après qu’un utilisateur authentifié se soit déconnecté d’une instance avant la fin de la session. Définissez la propriété sur une valeur supérieure à 0 et inférieure à la valeur de la glide.ui.session_timeout propriété.

    Inviter les utilisateurs à étendre une session

    Configurez le temps dont disposent les utilisateurs pour prolonger une session avant qu’elle n’expire en raison de l’inactivité.

    Avant de commencer

    Rôle requis : administrateur

    Pourquoi et quand exécuter cette tâche

    Par défaut, les utilisateurs sont invités à prolonger leur session deux minutes avant son expiration avec une boîte de dialogue « Prolonger votre session ». Cette procédure explique comment ajuster le moment où cette invite est présentée aux utilisateurs.

    Procédure

    1. Accédez à Tout, puis saisissez sys_properties.list dans le filtre de navigation.
    2. Ouvrez la propriété glide.ui.session_timeleft.
    3. Dans le champ Valeur , saisissez le nombre de minutes avant l’expiration de la session pour demander aux utilisateurs d’étendre leur session.
      Définir la valeur sur zéro désactive l’incitation des utilisateurs à étendre leurs sessions.
    4. Sélectionnez Mettre à jour.

    Verrouiller un utilisateur

    Verrouillez un utilisateur si vous ne souhaitez pas qu’il ait accès à son instance.

    Avant de commencer

    Rôle requis : user_admin ou admin

    Procédure

    1. Accédez à la Tout > Administration utilisateurs > Utilisateurs et sélectionnez l’utilisateur dans la liste.
    2. Cochez la case Verrouillé et mettez à jour l’enregistrement.

    Marquer un utilisateur inactif

    Vous pouvez marquer un utilisateur inactif afin qu’il n’apparaisse pas dans les champs qui font référence aux utilisateurs actifs de la table Utilisateur .

    Avant de commencer

    Rôle requis : administrateur

    Pourquoi et quand exécuter cette tâche

    Remarque :
    Par défaut, lorsque vous marquez un utilisateur comme inactif, vous le verrouillez. La règle métier Verrouiller les utilisateurs inactifs régit ce comportement.

    Si vous décochez la case Actif , l’utilisateur est verrouillé et ne peut pas accéder à l’instance. Cette fonctionnalité est contrôlée par une propriété glide.authenticate.only.allow.active.user.login Glide qui permet uniquement aux utilisateurs actifs d’accéder à l’instance.

    Procédure

    1. Accédez à la Tout > Administration utilisateurs > Utilisateurs et sélectionnez l’utilisateur dans la liste.
    2. Décochez la case Actif et mettez à jour l’enregistrement.

    Mettre fin à la session d’un utilisateur

    Vous pouvez mettre fin à une session utilisateur, par exemple, si vous allez effectuer une maintenance du système et que les utilisateurs sont toujours connectés.

    Avant de commencer

    Rôle requis : administrateur

    Procédure

    1. Accédez à la Tout > Administration utilisateurs > Utilisateurs connectés.
      Vous ne pouvez voir que les utilisateurs qui sont connectés au même nœud d’application que vous. Si le champ Actif d’un enregistrement utilisateur est défini sur faux, l’utilisateur est connecté mais n’exécute pas de transaction en cours. La plupart des utilisateurs apparaissent comme inactifs à un moment donné.
    2. Sélectionnez la session que vous souhaitez terminer.
    3. Sélectionnez Verrouiller la session.
      La session est interrompue et l’utilisateur est redirigé vers la page de connexion lors de la prochaine tentative de transaction. L’utilisateur n’est pas verrouillé. Plusieurs sessions utilisateur peuvent être associées à un utilisateur. Mettre fin à une session utilisateur n’affecte que la session spécifique.
      Remarque :
      Il est impossible d’interrompre les sessions d’utilisateurs mobiles à l’aide de ce processus.