Configurer la déconnexion unique dans les intégrations d'app

La déconnexion unique (SLO) est une fonctionnalité de l'authentification fédérée qui permet aux utilisateurs finaux de se déconnecter à la fois de leur session Okta et d'une app configurée en une seule action.

Okta prend en charge ce processus de déconnexion seulement lorsqu'il est initié par un fournisseur de services (SP). Le SP envoie la demande de déconnexion unique à Okta pour mettre fin à la session.

  • Les apps SWA ne prennent pas en charge la déconnexion unique.
  • Toutes les apps ne prennent pas en charge la déconnexion unique. Si le SP prend en charge la déconnexion unique dans son app en aval, elle sera considérée comme une fonctionnalité prise en charge dans son guide de configuration. Contactez directement votre SP pour lui demander d'ajouter la prise en charge de la déconnexion unique.

Activer la déconnexion unique pour les intégrations SAML

Si vous avez activé la déconnexion unique front-channel en accès anticipé, cette configuration est différente. Accédez à Activer la déconnexion unique pour les intégrations SAML (avec option front-channel).

Pour les apps SAML, le SP doit être capable d'envoyer une demande de déconnexion unique à Okta et elle doit être signée.

Vous pouvez utiliser l'assistant d'intégration d'application SAML pour configurer la déconnexion unique :

  1. Dans l'Admin Console, accédez à ApplicationsApplications.

  2. Cliquez sur l'app SAML dans laquelle vous souhaitez ajouter la déconnexion unique.
  3. Dans l'onglet Général des paramètres, dans le volet Paramètres SAML, cliquez sur Modifier.
  4. Dans l'assistant de configuration SAML, cliquez sur Suivant.
  5. Sur la page Configurer SAML, cliquez sur Voir les paramètres avancés.
  6. Sélectionnez Autoriser l'application à initier la déconnexion unique.
  7. URL de déconnexion unique : l'URL de redirection pour la déconnexion unique. Il s'agit d'une URL sur le SP où Okta envoie sa réponse de déconnexion (en tant qu'opération POST). Si le SP n'a pas d'URL de déconnexion unique spécifique, l'URL principale du SP pourra être utilisée.
  8. Émetteur du SP : l'identifiant pour l'app. Il peut s'agir d'une ACS URL ou de l'identifiant d'entité du SP. Cette valeur est également incluse dans les métadonnées envoyées dans la demande de déconnexion unique depuis l'app SP.
  9. Certificat de signature : Okta exige une signature numérique pour la demande de déconnexion unique. Vous devez télécharger une copie du certificat de signature ou du certificat d'authentification (CA) que le SP utilise pour signer la demande de déconnexion unique.
  10. Cliquez sur Suivant.
  11. Cliquez sur Terminer.

Enfin, vous devez récupérer les informations de déconnexion unique requises par votre application SP :

  1. Dans l'onglet des paramètres Authentification, cliquez sur Voir les instructions de configuration SAML.
  2. La page qui apparaît affiche l'URL de déconnexion unique du fournisseur d'identité. Copiez cette URL et ajoutez-la dans les paramètres de configuration dans votre app SP.
  3. Pour tester votre flux de déconnexion unique, connectez-vous à votre app SP à l'aide de l'intégration Okta, puis utilisez la méthode de déconnexion appropriée dans l'app SP. Le navigateur devrait vous déconnecter à la fois de votre app SP et d'Okta.

Activer la déconnexion unique pour les intégrations SAML (avec option front-channel)

Version de l'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

La configuration de la déconnexion unique SAML offre deux options :

  • L'utilisateur est déconnecté des autres applications et d'Okta : cela permet à une app SP de se déconnecter d'Okta et de toute autre app ouverte qui prend en charge la déconnexion unique.

  • L'utilisateur se déconnecte d'autres applications déclenchant la déconnexion ou d'Okta : cela permet à l'app SP d'être automatiquement déconnectée lorsque d'autres apps ouvertes initient la déconnexion unique, en utilisant des requêtes HTTP front-channel.

    Un trop grand nombre d'apps impliquées dans une transaction de déconnexion unique front-channel peuvent dépasser les limites d'en-tête de réponse définies par un logiciel de serveur tel que NGINX. Dans ce cas, il est possible que vous deviez mettre à jour les limites par défaut du serveur ou réduire le nombre d'apps configurées pour la déconnexion unique front-channel. Consultez la Base de connaissances Okta.

    Pour plus d'informations, consultez Configurer la déconnexion unique.

Vous pouvez choisir l'une ou les deux options dans l'assistant d'intégration d'application SAML.

  1. Dans l'Admin Console, accédez à ApplicationsApplications.

  2. Cliquez sur l'app SAML dans laquelle vous souhaitez ajouter la déconnexion unique.
  3. Dans l'onglet Général des paramètres, dans le volet Paramètres SAML, cliquez sur Modifier.
  4. Dans l'assistant de configuration SAML, cliquez sur Suivant.
  5. Si un certificat de signature n'est pas déjà présent, cliquez sur Parcourir les fichiers pour charger un certificat.
  6. Dans la section Déconnexion, sélectionnez l'une ou les deux options :
    • L'utilisateur est déconnecté des autres applications et d'Okta : déconnectez l'utilisateur de toutes les apps à déconnexion unique et d'Okta lorsqu'une app initie l'action de déconnexion.
      • URL de réponse : saisissez l'URL qui recevra la réponse de déconnexion unique d'Okta.
      • Émetteur du SP : saisissez l'identifiant du SP pour l'app. Il peut s'agir d'une ACS URL ou de l'identifiant d'entité du SP. Cette valeur est également incluse dans les métadonnées envoyées dans la demande de déconnexion unique depuis l'app SP.
    • L'utilisateur se déconnecte d'autres applications déclenchant la déconnexion ou d'Okta : déconnectez l'utilisateur de toutes les apps à déconnexion unique et d'Okta lorsque l'utilisateur se déconnecte d'une app à déconnexion unique ou d'Okta.
      • URL de la requête de déconnexion : saisissez l'URL à laquelle Okta envoie la demande de déconnexion.
      • Liaison de la demande : sélectionnez le type de liaison pour l'URL de requête de déconnexion.
      • Détails de la session utilisateur : sélectionnez Inclure les détails de la session utilisateur pour mettre fin à une session utilisateur spécifique au lieu de toutes les sessions utilisateur actives.
  7. Cliquez sur Suivant.
  8. Cliquez sur Terminer.

Enfin, vous devez récupérer les informations de déconnexion unique de l'IdP requises par votre app SP. Dans l'onglet des paramètres Authentification, cliquez sur Voir les instructions de configuration SAML.

  • Si vous avez configuré L'utilisateur est déconnecté des autres applications et d'Okta, copiez le URL de déconnexion unique du fournisseur d'identité.
  • Si vous avez configuré L'utilisateur se déconnecte d'autres applications déclenchant la déconnexion ou d'Okta, copiez la Callback URL unique du fournisseur d'identité.

Vous pouvez vérifier les URL de la configuration de votre app dans l'onglet Authentification sous Plus d'informations dans la section SAML 2.0.

Activer la déconnexion unique pour les intégrations OIDC

Pour les intégrations OpenID Connect (OIDC), l'app SP doit être configurée pour envoyer une demande de déconnexion unique à Okta en tant que demande GET. L'app doit rediriger vers ce point de terminaison Okta :

GET https://{baseUrl}/logout?id_token_hint=${id_token}&post_logout_redirect_uri=${post_logout_redirect_uri}&state=${state}

Où :

  • baseURL est l'URL de votre org Okta.
  • id_token est le jeton OIDC émis par Okta lors de la connexion.
  • Facultatif. Post_logout_redirect_uri est l'URI de redirection de déconnexion où Okta redirige l'utilisateur après la déconnexion unique. Cet URI doit être répertorié dans la configuration URI de redirection de déconnexion dans les Paramètres généraux de votre intégration Okta.
  • Facultatif. State représente n'importe quelle chaîne à ajouter en tant que paramètre lors de la redirection vers l'URI de déconnexion unique.

Après le traitement de la demande, id_token est invalidé, et l'utilisateur est déconnecté d'Okta.

Pour plus d'informations sur la demande GET envoyée à l'API, consultez la référence API OpenID Connect & OAuth 2.0.

Pour les développeurs d'apps, des instructions par langue sont également disponibles dans notre guide du développeur Déconnecter les utilisateurs.

Enfin, vous devez ajouter les URI de redirection de déconnexion à votre intégration Okta :

  1. Dans l'Admin Console, accédez à ApplicationsApplications.

  2. Cliquez sur l'app OIDC dans laquelle vous souhaitez ajouter la déconnexion unique.
  3. Dans l'onglet Général des paramètres, cliquez sur Modifier.
  4. Facultatif. Dans la section Déconnexion, configurez l'une des options suivantes :

    Version de l'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

    Cette fonctionnalité n'est pas prise en charge pour les apps natives. Pour plus d'informations, consultez Configurer la déconnexion unique.

    Un trop grand nombre d'apps impliquées dans une transaction de déconnexion unique front-channel peuvent dépasser les limites d'en-tête de réponse définies par un logiciel de serveur tel que NGINX. Dans ce cas, il est possible que vous deviez mettre à jour les limites par défaut du serveur ou réduire le nombre d'apps configurées pour la déconnexion unique front-channel. Consultez la Base de connaissances Okta.

    • URI de redirection de déconnexion : saisissez les URI que l'app peut envoyer dans la demande de déconnexion à Okta. Cliquez sur Ajouter l'URI pour ajouter un autre URI.
    • L'utilisateur se déconnecte d'autres applications déclenchant la déconnexion ou d'Okta : déconnectez l'utilisateur de toutes les apps à déconnexion unique et d'Okta lorsque l'utilisateur se déconnecte d'une app à déconnexion unique ou d'Okta.
      • URL de la requête de déconnexion : saisissez l'URL à laquelle Okta envoie la demande de déconnexion.
      • Liaison de la demande : sélectionnez le type de liaison pour l'URL de requête de déconnexion.
      • Détails de la session utilisateur : sélectionnez Inclure les détails de la session utilisateur pour mettre fin à une session utilisateur spécifique au lieu de toutes les sessions utilisateur actives.
  5. Cliquez sur Enregistrer.
  6. Pour tester votre flux de déconnexion unique, connectez-vous à votre app SP à l'aide de l'intégration Okta, puis utilisez la méthode de déconnexion appropriée dans l'app SP. Le navigateur devrait vous déconnecter à la fois de votre app SP et d'Okta.