アプリ統合でシングルログアウトを構成する

シングルログアウト(SLO)とは、エンドユーザーが1回の操作でOktaセッションと構成済みアプリの両方からサインアウトできるようにするフェデレーション認証の機能です。

Oktaでは、サービスプロバイダー(SP)がこのサインアウトプロセスを開始した場合にのみ、シングルサインアウトがサポートされます。SPがOktaにSLOリクエストを送信すると、Oktaセッションが終了します。

  • SWAアプリケーションはSLOをサポートしません。
  • すべてのアプリの統合がSLOをサポートしているわけではありません。SPがダウンストリームアプリでSLOをサポートしている場合、アプリの構成ガイドにサポート対象の機能として記載されます。SLOに対応するようリクエストを出す場合は、直接SPにお問い合わせください。

SAML統合でSLOを有効化する

SAMLアプリケーションでは、SPがSLOリクエストをPOSTリクエストとしてOktaに送信できる必要があり、リクエストが署名されている必要があります。

SLOの構成には、SAMLアプリケーション統合ウィザードを利用できます。

  1. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. SLOを追加するSAMLアプリケーションをクリックします。
  3. [General(一般)]設定タブの[SAML Settings(SAML設定)]パネルで、[Edit(編集)]をクリックします。
  4. SAML構成ウィザードで、[Next(次へ)]をクリックします。
  5. [Configure SAML(SAMLを構成)]ページで、[Show Advanced Settings(詳細設定を表示)]をクリックします。
  6. [Allow application to initiate Single Logout(アプリケーションによるシングルログアウトの開始を許可)]を選択します。
  7. [Single Logout URL(シングルログアウトURL)]:SLOが返すURLです。これは(POST操作で)Oktaからのサインアウト応答の送信先となるサービスプロバイダーのURLです。SP側でSLO用のURLを指定していない場合は、SPのメインURLを使用できます。
  8. [SP Issuer(SP発行者)]:アプリケーションの識別子です。ACS URLかSPエンティティIDで表されます。SPアプリケーションからSLOリクエストで送信されるメタデータの中にもこの値が含まれます。
  9. [Signature Certificate(署名証明書)]:OktaではSLOリクエストにデジタル署名が必要です。署名証明書のコピーまたはSPがSLOリクエストへの署名に使用しているCAのどちらかをアップロードする必要があります。
  10. [Next(次へ)]をクリックします。
  11. [Finish(終了)]をクリックします。

最後に、SPアプリケーションで必要になるSLOの情報を取得する必要があります。

  1. [Sign On(サインオン)]設定タブの[View SAML setup instructions(SAMLの設定手順を表示)]をクリックします。
  2. ここで表示されるページから、[Identity Provider Single Logout URL(IDプロバイダーのシングルログアウトURL)]を確認できます。このURLをコピーし、SPアプリケーションに戻って構成設定に追加します。
  3. SLOのフローをテストするには、Okta統合を利用してSPアプリケーションにサインインし、SPアプリケーション内で該当のサインアウト方法を実行します。これで、ブラウザー上でSPアプリケーションとOktaの両方からサインアウトが行われます。

OIDC統合でSLOを有効にする

OpenID Connect(OIDC)統合の場合は、SLOリクエストをGETリクエストとしてOktaに送信するようにSPアプリケーションを構成する必要があります。この設定により、アプリケーションはOktaエンドポイントにリダイレクトされます。

GET https://{baseUrl}/logout?id_token_hint=${id_token}&post_logout_redirect_uri=${post_logout_redirect_uri}&state=${state}

ここで

  • baseURLはOkta orgのURLです。
  • id_tokenはサインオン時にOktaによって発行されるOIDCトークンです。
  • 任意。post_logout_redirect_uriログアウトリダイレクトURIです。SLO操作後にOktaによってユーザーがリダイレクトされるURIを示します。このURIは、Okta統合の[General Settings(一般設定)]内にある、[Logout redirect URIs(ログアウトリダイレクトURI)]構成のリストに記載されている必要があります。
  • 任意。stateはSLO URIへのリダイレクト時にパラメーターとして追加する任意の文字列です。

このリクエストが処理されると、id_tokenが無効になり、ユーザーはOktaからサインアウトします。

APIにGETリクエストを送信する方法の詳細については、「OpenID ConnectおよびOAuth 2.0 API」リファレンスを参照してください。

アプリケーション開発者向けの情報として、開発者ガイドの「ユーザーのサインアウト」の項目で言語固有の手順も提供しています。

最後に、ログアウト・リダイレクトURIをOkta統合に追加する必要があります。

  1. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. SLOを追加するOIDCアプリケーションをクリックします。
  3. [General(一般)]設定タブで、[Edit(編集)]をクリックします。
  4. [Logout redirect URIs(ログアウトリダイレクトURI)]の横の[+Add URI(URIを追加)]をクリックし、「post_logout_redirect_uri」を入力します。
  5. [Save(保存)]をクリックします。
  6. SLOのフローをテストするには、Okta統合を利用してSPアプリケーションにサインインし、SPアプリケーション内で該当のサインアウト方法を実行します。これで、ブラウザー上でSPアプリケーションとOktaの両方からサインアウトが行われます。