Dans un environnement JSF, en utilisant l'authentification JAAS, il suffit d'invalider la session pour effectuer une déconnections au niveau de l'application.

FacesContext facesContext = FacesContext.getCurrentInstance();
ExternalContext externalContext = facesContext.getExternalContext();
final HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();
request.getSession(false).invalidate();