Passer au contenu principal
Les paramètres de sécurité des sessions sont disponibles avec les offres Enterprise.
Les administrateurs Enterprise peuvent exiger que les utilisateurs du Dashboard se réauthentifient selon un calendrier adapté aux politiques de sécurité de votre organisation. Deux paramètres indépendants déterminent la fin d’une session du Dashboard :
  • Durée d’inactivité de la session : le temps pendant lequel une session peut rester inactive avant que l’utilisateur ne soit déconnecté.
  • Durée de vie maximale de la session : la durée de vie absolue d’une session, indépendamment de l’activité. Une fois cette durée dépassée, l’utilisateur est déconnecté et doit se réauthentifier.
Si un paramètre n’est pas configuré, la valeur par défaut de Mintlify s’applique. Les deux paramètres acceptent des valeurs comprises entre 5 minutes et 14 jours (20 160 minutes).

Configurer la durée des sessions

Pour consulter ou modifier les paramètres de sécurité des sessions, accédez à la page Single Sign-On de votre Dashboard.

Durée d’inactivité de la session

La durée d’inactivité de la session contrôle le temps pendant lequel une session peut rester inactive avant d’expirer. Toute requête envoyée par l’utilisateur au Dashboard réinitialise le compteur d’inactivité. Utilisez une durée d’inactivité plus courte pour réduire le risque que des sessions laissées sans surveillance soient utilisées par une personne autre que l’utilisateur connecté, par exemple sur des appareils partagés ou déverrouillés.

Durée de vie maximale de la session

La durée de vie maximale de la session correspond à la limite absolue de la durée d’une connexion unique. Elle est mesurée à partir du moment où l’utilisateur s’est connecté et n’est pas prolongée par l’activité. Lorsque la durée de vie maximale est atteinte, l’utilisateur est déconnecté même s’il utilise activement le Dashboard. Utilisez une durée de vie maximale pour garantir que les utilisateurs se réauthentifient à un rythme régulier, ce qui peut vous aider à respecter les exigences de conformité ou à revalider les accès après des changements chez le fournisseur d’identité.

Interaction entre les paramètres

Les deux paramètres s’appliquent indépendamment. La session d’un utilisateur prend fin à la première des deux limites atteintes :
  • Si l’utilisateur reste inactif plus longtemps que la durée d’inactivité de la session, la session prend fin.
  • Si la durée de vie maximale de la session s’est écoulée depuis la connexion, la session prend fin même si l’utilisateur est actif.
Par exemple, si vous définissez la durée d’inactivité sur 1 heure et la durée de vie maximale sur 8 heures, un utilisateur qui travaille activement est déconnecté au bout de 8 heures, et un utilisateur inactif est déconnecté au bout d’1 heure.

Restreindre l’accès au Dashboard par IP

Utilisez la liste d’autorisation d’adresses IP pour restreindre l’accès au Dashboard à un ensemble de réseaux de confiance. Lorsque la liste contient une ou plusieurs entrées, seules les requêtes provenant de ces adresses IP ou plages peuvent se connecter au Dashboard ou l’utiliser. Lorsque la liste est vide, le Dashboard est accessible depuis n’importe quelle adresse IP.
Si votre adresse IP actuelle ne figure pas dans la liste d’autorisation, vous risquez de vous bloquer l’accès au Dashboard. Vérifiez que votre IP est incluse avant d’enregistrer.
Pour configurer la liste d’autorisation, accédez à la page Network access de votre Dashboard.
  • Ajouter une entrée : saisissez une adresse IPv4 ou IPv6, ou une plage CIDR (par exemple, 203.0.113.7 ou 10.0.0.0/8), puis sélectionnez Add. L’ajout de la première entrée active la liste d’autorisation.
  • Supprimer une entrée : sélectionnez le × sur n’importe quelle entrée. La suppression de la dernière entrée désactive la liste d’autorisation.
  • Vérifier votre IP : votre adresse IP actuelle est affichée sous la liste des entrées afin que vous puissiez confirmer qu’elle est couverte avant d’enregistrer les modifications.
Le badge d’état à côté de Allowed IP addresses affiche Active lorsqu’au moins une entrée est présente et Disabled lorsque la liste est vide.

Journalisation d’audit

Les modifications apportées aux paramètres de sécurité des sessions sont enregistrées dans les journaux d’audit de votre organisation, sous la catégorie org. Recherchez ces actions pour vérifier qui a mis à jour les paramètres et à quel moment :
  • org.session_security_session_duration_updated
  • org.session_security_session_duration_deleted
  • org.session_security_max_session_lifetime_updated
  • org.session_security_max_session_lifetime_deleted
  • org.session_security_ip_allowlist_updated