Configurer la déconnexion unique dans les intégrations d'app

La déconnexion unique (SLO) est une fonctionnalité de l'authentification fédérée qui permet aux utilisateurs finaux de se déconnecter à la fois de leur session Okta et d'une app configurée en une seule action.

Okta prend en charge ce processus de déconnexion seulement lorsqu'il est initié par un fournisseur de services (SP). Le SP envoie la demande de déconnexion unique à Okta pour mettre fin à la session.

  • Les apps SWA ne prennent pas en charge la déconnexion unique.
  • Toutes les apps ne prennent pas en charge la déconnexion unique. Si le SP prend en charge la déconnexion unique dans son app en aval, elle sera considérée comme une fonctionnalité prise en charge dans son guide de configuration. Contactez directement votre SP pour lui demander d'ajouter la prise en charge de la déconnexion unique.

Activer la déconnexion unique pour les intégrations SAML

Pour les apps SAML, le SP doit être capable d'envoyer une demande de déconnexion unique à Okta et elle doit être signée.

Vous pouvez utiliser l'assistant d'intégration d'application SAML pour configurer la déconnexion unique :

  1. Dans Admin Console, accédez à ApplicationsApplications.

  2. Cliquez sur l'app SAML dans laquelle vous souhaitez ajouter la déconnexion unique.
  3. Dans l'onglet Général des paramètres, dans le volet Paramètres SAML, cliquez sur Modifier.
  4. Dans l'assistant de configuration SAML, cliquez sur Suivant.
  5. Sur la page Configurer SAML, cliquez sur Voir les paramètres avancés.
  6. Sélectionnez Autoriser l'application à initier la déconnexion unique.
  7. URL de déconnexion unique : l'URL de redirection pour la déconnexion unique. Il s'agit d'une URL sur le SP où Okta envoie sa réponse de déconnexion (en tant qu'opération POST). Si le SP n'a pas d'URL de déconnexion unique spécifique, l'URL principale du SP pourra être utilisée.
  8. Émetteur du SP : l'identifiant pour l'app. Il peut s'agir d'une ACS URL ou de l'identifiant d'entité du SP. Cette valeur est également incluse dans les métadonnées envoyées dans la demande de déconnexion unique depuis l'app SP.
  9. Certificat de signature : Okta exige une signature numérique pour la demande de déconnexion unique. Vous devez télécharger une copie du certificat de signature ou du certificat d'authentification (CA) que le SP utilise pour signer la demande de déconnexion unique.
  10. Cliquez sur Suivant.
  11. Cliquez sur Terminer.

Enfin, vous devez récupérer les informations de déconnexion unique requises par votre application SP :

  1. Dans l'onglet des paramètres Authentification, cliquez sur Voir les instructions de configuration SAML.
  2. La page qui apparaît affiche l'URL de déconnexion unique du fournisseur d'identité. Copiez cette URL et ajoutez-la dans les paramètres de configuration dans votre app SP.
  3. Pour tester votre flux de déconnexion unique, connectez-vous à votre app SP à l'aide de l'intégration Okta, puis utilisez la méthode de déconnexion appropriée dans l'app SP. Le navigateur devrait vous déconnecter à la fois de votre app SP et d'Okta.

Activer la déconnexion unique pour les intégrations OIDC

Pour les intégrations OpenID Connect (OIDC), l'app SP doit être configurée pour envoyer une demande de déconnexion unique à Okta en tant que demande GET. L'app doit rediriger vers ce point de terminaison Okta :

GET https://{baseUrl}/logout?id_token_hint=${id_token}&post_logout_redirect_uri=${post_logout_redirect_uri}&state=${state}

Où :

  • baseURL est l'URL de votre org Okta.
  • id_token est le jeton OIDC émis par Okta lors de la connexion.
  • Facultatif. Post_logout_redirect_uri est l'URI de redirection de déconnexion où Okta redirige l'utilisateur après la déconnexion unique. Cet URI doit être répertorié dans la configuration URI de redirection de déconnexion dans les Paramètres généraux de votre intégration Okta.
  • Facultatif. State représente n'importe quelle chaîne à ajouter en tant que paramètre lors de la redirection vers l'URI de déconnexion unique.

Après le traitement de la demande, id_token est invalidé, et l'utilisateur est déconnecté d'Okta.

Pour plus d'informations sur la demande GET envoyée à l'API, consultez la référence API OpenID Connect & OAuth 2.0.

Pour les développeurs d'apps, des instructions par langue sont également disponibles dans notre guide du développeur Déconnecter les utilisateurs.

Enfin, vous devez ajouter les URI de redirection de déconnexion à votre intégration Okta :

  1. Dans Admin Console, accédez à ApplicationsApplications.

  2. Cliquez sur l'app OIDC dans laquelle vous souhaitez ajouter la déconnexion unique.
  3. Dans l'onglet Général des paramètres, cliquez sur Modifier.
  4. À côté d'URI de redirection de déconnexion, cliquez sur + Ajouter l'URI et saisissez l'URI post_logout_redirect_uri.
  5. Cliquez sur Enregistrer.
  6. Pour tester votre flux de déconnexion unique, connectez-vous à votre app SP à l'aide de l'intégration Okta, puis utilisez la méthode de déconnexion appropriée dans l'app SP. Le navigateur devrait vous déconnecter à la fois de votre app SP et d'Okta.