Configurer la Universal Logout pour les applications prises en charge
La Universal Logout vous permet de terminer les sessions des utilisateurs et leurs jetons pour les applications Okta Integration Network (OIN), génériques Security Assertion Markup Language (SAML) et OpenID Connect (OIDC) prises en charge.
Tout d'abord, configurez vos applications OIN, SAML ou OIDC pour qu'elles fonctionnent avec la Universal Logout. Vous pouvez ensuite configurer des politiques dans Identity Threat Protection (ITP) pour déclencher la Universal Logout lorsqu'elle identifie un changement dans les conditions de risque. Vous pouvez également mettre fin à une session utilisateur manuellement à partir du profil de risque de utilisateur .
Consultez Applications et appareils pris en charge par la Universal Logout.
Configurer la Universal Logout pour les applications OIN
Effectuez cette procédure dans une app que vous avez déjà intégrée. Pour intégrer une app, consultez Ajouter les intégrations app existantes, puis revenez à cette procédure.
Avant de commencer, vérifiez que vous remplissez les conditions suivantes :
- Assurez-vous que votre rôle administrateur dispose des autorisations nécessaires pour gérer les applications et effacer les jetons API. Consultez la section Gestion des applications dans Rôles et autorisations standard des administrateurs et Rôles d'administrateur pour ITP.
- Assurez-vous que l'app que vous souhaitez configurer prend en charge la Universal Logout.
- Vérifiez que vous disposez d'un compte de service auprès du fournisseur de sécurité pour l'app que vous souhaitez configurer.
- Obtenez les informations d'identification dont vous avez besoin pour connecter Okta à l'app.
Lancer la procédure
-
Dans l'Admin Console, accédez à .
- Sélectionnez une app qui prend en charge la Universal Logout. Consultez Universal Logout .
- Sur la page de l'application, sélectionnez l'onglet Authentification.
- Dans la section Déconnexion, cliquez sur Modifier.
- Sélectionnez Un système Okta ou un administrateur initie la déconnexion.
- Dans la section Configuration d'API pour la déconnexion, saisissez vos informations d'identification administrateur pour l'app. Les noms de ces champs sont différents pour chaque fournisseur.
- Cliquez sur Connecter un compte, puis terminez la configuration de app dans la fenêtre contextuelle qui s'affiche.
- Cliquez sur Enregistrer.
Configurer la Universal Logout pour les applications SAML et OIDC génériques
Vous pouvez configurer la Universal Logout pour terminer les sessions utilisateur dans les applications SAML et OIDC génériques.
Votre app SAML ou OIDC doit prendre en charge la spécification Révocation globale du jeton et la méthode JWT ( jeton Web JSON signé). Si l'app ne prend pas en charge le JWT signé, l'authentification API et la Universal Logout échouent. Consultez Révocation globale du jeton et Authentification au point terminal.
La Universal Logout ne fonctionne pas avec les applications SAML et OIDC personnalisées si vous avez activé le mode Courtier de fédération. Utilisez plutôt des affectations utilisateur explicites.
Lancer la procédure
Les paramètres de Universal Logout apparaissent après la configuration de l'app. Suivez ces étapes pour les applications SAML et OIDC :
-
Dans l'Admin Console, accédez à .
- Sélectionnez une app qui prend en charge la Universal Logout. Consultez Universal Logout .
- Sur la page de l'application, sélectionnez l'onglet Authentification.
- Dans la section Déconnexion, cliquez sur Modifier.
- Sous Révocation de jeton globale, sélectionnez Un système Okta ou un administrateur initie la déconnexion.
- Dans la section URL du point terminal de déconnexion, saisissez le point de terminaison de API de déconnexion de l'application. Ce point de terminaison doit prendre en charge la spécification Révocation globale du jeton.
- Par défaut, Type d'authentification du point de terminaison est défini sur JWT signé.
- Pour le type de format Sujet, sélectionnez soit Identificateur d'Émetteur et d'Objet ou Identifiant e-mail.
- Cliquez sur Enregistrer.
Configurer Universal Logout dans ITP.
Configurez la Universal Logout pour qu'elle fonctionne avec votre app. Vous pouvez ensuite configurer les politiques de protection de session et Risques pour l'entité pour déclencher la Universal Logout lorsque ITP identifie un changement de risque. Consultez les rubriques suivantes :
Mettre fin à une session utilisateur depuis le profil de risque de utilisateur
Vous pouvez mettre fin manuellement à une session utilisateur à partir du profil de risque de utilisateur . Consultez Mettre fin à une session utilisateur.