Precisa desconectar automaticamente o usuário se a sessão ficar inativa por um determinado período.
Olá
Dê uma olhada na configuração maximum session age
Enquanto estiver aí, você também pode verificar essas configurações:
log out strict
persistent sessions