ユーザーをデバイスからサインアウトさせる

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

デバイスログアウト機能を利用して、ユーザーをデバイスからサインアウトさせます。

この機能は、ユーザー資格情報が侵害されたシナリオや、セッションハイジャックなどIDベースの脅威の証拠がある場合に役立ちます。この機能を利用して、休職やオフボーディングなど従業員のライフサイクルの変更に対応することもできます。ユーザーが非アクティブ化または一時停止されている場合、Oktaはすべてのデバイスからそのユーザーを自動的にサインアウトさせます。

デバイスは15分毎にベストエフォート型のポーリングを実行し、Oktaからサインアウトコマンドを受信します。このアクションには、デバイスとOkta orgとの間にアクティブな接続が必要です。

前提条件

  • デバイスアクセスSCEP証明書をエンドユーザーのデバイスにデプロイする。

  • エンドユーザーのデバイスがDesktop MFAで保護されている。

    デバイスログアウトmacOSデバイスでのみサポートされます。

  • エンドユーザーのデバイスにmacOS用のOkta Verifyバージョン9.46.1以降がインストールされている。

  • orgでIdentity Threat Protection with Okta AIをアクティブ化し、Identity Threat ProtectionによるUniversal Logoutを使用する。

  • 標準管理者ロールでは、スーパー管理者のみがユーザーをデバイスからサインアウトできる。

  • カスタム管理者ロールでは、管理者ロールのデバイスログアウト権限を有効にする必要がある。

    1. Admin Console[Settings(設定)] [Features(機能)]に移動します。

    2. 以下の機能をアクティブ化します。

      • [Enable custom admin roles for Okta Device Access permissions(Okta Device Access権限のカスタム管理者ロールを有効化)]

      • [Enable custom admin roles for device permissions(デバイス権限のカスタム管理者ロールを有効化)]

    3. ロールを作成する際に次の権限を両方とも付与します。

      • [User(ユーザー)]権限グループの[Log a user out from devices(ユーザーをデバイスからログアウト)]

      • [Device(デバイス)]権限グループの[Log users out from devices(ユーザーをデバイスからログアウト)]

すべてのデバイスからユーザーをサインアウトさせる

すべての登録済みデバイスから1人のユーザーを手動でサインアウトさせるには、次の手順を行います。このアクションはユーザーのUniversal Directoryプロファイルから処理されます。

  1. Admin Consoleで、[Directory(ディレクトリ)][People(ユーザー)]に移動します。

  2. プロファイルを開くために、ユーザーの名前またはメールアドレスを検索して選択します。

  3. 任意。[Status(ステータス)]ドロップダウンメニューを使用して、ユーザーステータスで結果をフィルタリングします。

  4. ユーザーの名前をクリックしてプロファイルを開きます。

  5. プロファイルページで[More Actions(その他のアクション)]を選択し、[Device Logout(デバイスログアウト)]を選択します。

  6. 確認のプロンプトで[Log out all devices(すべてのデバイスをログアウト)]をクリックします。

Universal Logoutを使用してユーザーをデバイスからサインアウトさせます。

Desktop MFAアプリ内のデバイス用にサインアウトアクションを構成します。

  1. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. [Desktop MFA]アプリを選択します。

  3. [Authentication(認証)]タブを選択します。

  4. ログアウトセクションで[Edit(編集)]をクリックします。

  5. [Okta system or admin initiates logout(Oktaシステムまたは管理者開始ログアウト)]を選択します。

  6. [Save(保存)]をクリックします。

Identity Threat ProtectionによるUniversal Logout

Identity Threat Protection with Okta AI(ITP)のUniversal Logout機能では、エンティティリスクポリシーが構成された条件をトリガーすると、ユーザーをすべてのデバイスから自動的にサインアウトします。「エンティティリスクポリシーの検出設定」を参照してください。

  1. orgでITPがアクティブ化済みであることを確認します。「Identity Threat Protection with Okta AI」を参照するか、またはOktaサポートまでお問い合わせください。

  2. エンティティリスクポリシーのルールに条件を構成する場合、ルールアクションとして[Logout and revoke tokens(ログアウトしてトークンを取り消す)]を選択します。

  3. [Save(保存)]をクリックしてポリシールールを確定します。

ユーザーセッションの消去によるUniversal Logout

[Profile(プロファイル)]ページでユーザーのセッションを消去することで、ユーザーをすべてのデバイスからサインアウトさせることもできます。

  1. Admin Consoleで、[Directory(ディレクトリ)][People(ユーザー)]に移動します。

  2. ユーザーを検索し、ユーザーの名前をクリックしてユーザーのUniversal Directoryプロファイルを開きます。

  3. [More Actions(その他のアクション)]メニューで、[Clear User Sessions(ユーザーセッションを消去)]を選択します。

  4. [Clear sessions and revoke tokens(セッションを消去してトークンを取り消す)]ダイアログで、[Also include logout enabled apps and Okta API tokens(ログアウト対応アプリとOkta APIトークンも含める)]を選択します。

  5. [Clear and revoke(消去と取り消し)]をクリックし、ユーザーのセッションを消去します。

デバイスログアウトシステムログイベントの表示

Admin Consoleでシステムログイベントを表示するには、[Reports(レポート)][System Log(システムログ)]に移動してイベント名を検索します。

システムログにはシステムログ操作に関する次のイベントが記録されます。

  • device.desktop_mfa.device_logout.startedOktaまたは管理者がユーザーのデバイスログアウト操作を呼び出した際に追加されます。

  • device.desktop_mfa.device_logout.completed:デバイスがユーザーのサインアウト操作を完了し、結果をOktaに送信した際に追加されます。

  • device.desktop_mfa.configuration.update:管理者がDesktop MFAアプリインスタンスの Universal Logout構成を変更した際に追加されます。エントリにはDesktop MFAアプリインスタンスの[Client ID(クライアントID)]が含まれます。

Okta APIのドキュメントで「イベントタイプ」を参照してください。

device.desktop_mfa.device_logout.startedイベントは、[TraceID]値を使用してdevice.desktop_mfa.device_logout.completedイベントと関連付けることができます。[TraceID]は、イベントに関して記録された[System] [DebugContext] [DebugData]にあります。

Universal Logoutがデバイスのサインアウト操作をトリガーした場合、そのイベントを[TraceID]を使用してuser.authentication.universal_logoutイベントと関連付けることができます。

関連項目

Universal Logout

Universal Logoutの対応アプリ