Activer la déconnexion unique pour un fournisseur d'identité

Version en accès anticipé

La déconnexion unique (SLO) permet aux utilisateurs de se déconnecter à la fois de leur session Okta et de leur fournisseur d'identité (IdP) en une seule action. Lorsque la déconnexion unique est activée, les utilisateurs qui se déconnectent d'une application initiant la déconnexion ou d'Okta sont automatiquement déconnectés de leur IdP.

Vous pouvez activer la déconnexion unique pour les IdP SAML 2.0 et OIDC.

Si vous utilisez une org Okta en tant qu'IdP, consultez Activer la déconnexion unique pour un IdP Okta.

Activer la déconnexion unique pour un IdP SAML 2.0

  1. Dans l'Admin Console, accédez à SécuritéFournisseurs d'identité.

  2. Recherchez l'IdP pour lequel vous souhaitez activer la déconnexion unique, puis cliquez sur ActionsConfigurer le Fournisseur d'identité.

  3. Dans la section Paramètres généraux, cliquez sur Modifier.

  4. Dans la section Déconnexion, sélectionnez L'utilisateur se déconnecte d'autres applications déclenchant la déconnexion ou d'Okta.

  5. Dans le champ URL du point de terminaison pour la déconnexion, saisissez le point de terminaison de l'IdP auquel Okta enverra les demandes de déconnexion initiées par l'application.

  6. Dans la section Liaison de la demande de déconnexion, sélectionnez HTTP POST ou HTTP REDIRECT.

  7. Cliquez sur Mettre à jour le Fournisseur d'identité.

Activer la déconnexion unique pour un IdP OIDC

  1. Dans l'Admin Console, accédez à SécuritéFournisseurs d'identité.

  2. Recherchez l'IdP pour lequel vous souhaitez activer la déconnexion unique, puis cliquez sur ActionsConfigurer le Fournisseur d'identité.

  3. Dans la section Paramètres généraux, cliquez sur Modifier.

  4. Dans la section Déconnexion, sélectionnez L'utilisateur se déconnecte d'autres applications déclenchant la déconnexion ou d'Okta.

  5. Dans le champ URL du point de terminaison pour la déconnexion, saisissez le point de terminaison de l'IdP auquel Okta enverra les demandes de déconnexion initiées par l'application.

  6. Cliquez sur Mettre à jour le Fournisseur d'identité.

Activer la déconnexion unique pour un IdP Okta

Si vous utilisez une org Okta en tant qu'IdP, suivez les étapes de cette section pour configurer la déconnexion unique (SLO).

Avant de commencer

Vous devez avoir deux org Okta :

  • Org fournisseur d'identité d'Okta : agit en tant qu'IdP dans le flux de fédération.
  • Org fournisseur de service d'Okta : agit en tant que fournisseur de services (SP) dans le flux de fédération.

Dans les deux org, vous devez activer la déconnexion unique Front-channel et la déconnexion unique Front-channel pour les IdP dans ParamètresFonctionnalités.

Activer la déconnexion unique pour un IdP Okta SAML

  1. Connectez-vous à votre org IdP Okta.

    1. Ouvrez l'Admin Console, accédez à ApplicationsApplications.

    2. Cliquez sur Créer une intégration d'application et sélectionnez SAML 2.0.

    3. Suivez les étapes de la section Créer des intégrations d'application SAML et assurez-vous que la section Instructions d'attributs (consultez Définir les déclarations d'attributs) contient les valeurs suivantes :

      • Nom : 'email'

      • Format de nom : non spécifié

      • Valeur: user.email

    4. Une fois l'application créée, accédez à l'onglet Authentification et copiez la valeur de l'URL de déconnexion unique (app/{app}/{key}/slo/saml).

  2. Connectez-vous à votre org SP Okta.

    1. Accédez à SécuritéFournisseurs d'identité.

    2. Cliquez sur l'IdP Okta SAML.

    3. Dans la section Déconnexion, sélectionnez L'utilisateur se déconnecte d'autres applications déclenchant la déconnexion ou d'Okta.

    4. Dans le champ URL du point de terminaison pour la déconnexion, saisissez l'URL de déconnexion unique de votre application SAML dans votre org IdP Okta.

    5. Dans la section Liaison de la demande de déconnexion, sélectionnez HTTP POST ou HTTP REDIRECT.

    6. Cliquez sur Mettre à jour le Fournisseur d'identité.

  3. Retournez dans votre org IdP Okta.

    1. Dans l'application SAML Okta, cliquez sur Lorsque l'application initie la déconnexion.

    2. Définissez URL de réponse sur l'URL de l'org pour l'org SP Okta. Par exemple : https://subdomain.okta.com.

    3. Définissez Émetteur du SP sur la valeur URI d'audience de la section Paramètres SAMLde votre application SAML Okta personnalisée.

    4. Accédez à DirectoryProfile Editor.

    5. Sélectionnez l'utilisateur Okta.

    6. Sélectionnez Prénom, puis désactivez Attribut obligatoire.

    7. Sélectionnez Nom, puis désactivez Attribut obligatoire.

Activer la déconnexion unique pour un IdP Okta OIDC

Pour activer la déconnexion unique pour un IdP Okta OIDC :

  1. Dans votre navigateur, accédez à {okta-idp-org-url}/.well-known/openid-configuration.

  2. Copiez la valeur du paramètre end_session_endpoint.

  3. Dans votre org SP Okta, accédez à SécuritéFournisseurs d'identité.

  4. Recherchez l'IdP Okta OIDC pour lequel vous souhaitez activer la déconnexion unique, puis cliquez sur ActionsConfigurer le Fournisseur d'identité.

  5. Dans la section Paramètres généraux, cliquez sur Modifier.

  6. Dans la section Déconnexion, sélectionnez L'utilisateur se déconnecte d'autres applications déclenchant la déconnexion ou d'Okta.

  7. Dans le champ URL du point de terminaison pour la déconnexion, saisissez la valeur du paramètre end_session_endpoint de l'étape 2.

  8. Cliquez sur Mettre à jour le Fournisseur d'identité.