アプリ統合でシングルログアウトを構成する

シングルログアウト(SLO)とは、エンドユーザーが1回の操作でOktaセッションと構成済みアプリケーションの両方からサインアウトできるフェデレーション認証の機能です。

Oktaでは、サービスプロバイダー(SP)がこのサインアウトプロセスを開始した場合にのみ、シングルサインアウトがサポートされます。SPがOktaにSLOリクエストを送信すると、Oktaセッションが終了します。

  • SWAアプリケーションはSLO操作をサポートしていません。
  • エンドユーザーが他の統合を開いていても、SLOを実行したことでその統合からサインアウトさせられることはありません。
  • OktaはWebアプリケーションからはサインアウトしません。
  • すべてのアプリの統合がSLOをサポートしているわけではありません。SPがダウンストリームアプリケーションでSLOをサポートしている場合は、アプリの構成ガイドにサポート対象の機能として記載されています。SLOに対応するようリクエストを出す場合は、直接SPにお問い合わせください。

SAML統合でSLOを有効化する

SAMLアプリケーションの場合、SPはSLOリクエストをPOSTリクエストとしてOktaに送信できること、およびリクエストに署名されていることが必要です。

シングルサインオン(SSO)にOktaを使用していて、Oktaセッションを閉じることでサインアウトしたい場合は、SAMLアプリケーション統合ウィザードでSLOを構成します。

  1. 管理コンソールで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. SLOを追加するSAMLアプリケーションをクリックします。
  3. [General(一般)]設定タブの[SAML Settings(SAML設定)]パネルで、[Edit(編集)]をクリックします。
  4. SAML構成ウィザードで、[Next(次へ)]をクリックします。
  5. [Configure SAML(SAMLを構成)]ページで、[Show Advanced Settings(詳細設定を表示)]をクリックします。
  6. [Allow application to initiate Single Logout(アプリケーションによるシングルログアウトの開始を許可)]を選択します。
  7. [Single Logout URL(シングルログアウトURL)]:SLOが返すURLです。これは(POST操作で)Oktaからのサインアウト応答の送信先となるサービスプロバイダーのURLです。SP側でSLO用のURLを指定していない場合は、SPのメインURLを使用できます。
  8. [SP Issuer(SP発行者)]:アプリケーションの識別子です。ACS URLかSPエンティティIDで表されます。SPアプリケーションからSLOリクエストで送信されるメタデータの中にもこの値が含まれます。
  9. [Signature Certificate(署名証明書)]:OktaではSLOリクエストにデジタル署名が必要です。署名証明書のコピーまたはSPがSLOリクエストへの署名に使用しているCAのどちらかをアップロードする必要があります。
  10. [Next(次へ)]をクリックします。
  11. [Finish(終了)]をクリックします。

最後に、SPアプリケーションで必要になるSLOの情報を取得する必要があります。

  1. [Sign On(サインオン)]設定タブの[Settings(設定)]パネルで、[View Setup Instructions(設定手順を表示)]をクリックします。
  2. ここで表示されるページから、[Identity Provider Single Logout URL(IDプロバイダーのシングルログアウトURL)]を確認できます。このURLをコピーし、SPアプリケーションに戻って構成設定に追加します。
  3. SLOのフローをテストするには、Okta統合を利用してSPアプリケーションにサインインし、SPアプリケーション内で該当のサインアウト方法を実行します。これで、ブラウザー上でSPアプリケーションとOktaの両方からサインアウトが行われます。

OIDC統合でSLOを有効にする

OpenID Connect(OIDC)統合の場合は、SLOリクエストをGETリクエストとしてOktaに送信するようにSPアプリケーションを構成する必要があります。この設定により、アプリケーションはOktaエンドポイントにリダイレクトされます。

GET https://{baseUrl}/logout?id_token_hint=${id_token}&post_logout_redirect_uri=${post_logout_redirect_uri}&state=${state}

ここで

  • baseURLはOkta orgのURLです。
  • id_tokenはサインオン時にOktaによって発行されるOIDCトークンです。
  • 任意。post_logout_redirect_uriログアウトリダイレクトURIです。SLO操作後にOktaによってユーザーがリダイレクトされるURIを示します。このURIは、Okta統合の[General Settings(一般設定)]内にある、[Logout redirect URIs(ログアウトリダイレクトURI)]構成のリストに記載されている必要があります。
  • 任意。stateはSLO URIへのリダイレクト時にパラメーターとして追加する任意の文字列です。

このリクエストが処理されると、id_tokenが無効になり、ユーザーはOktaからサインアウトします。

APIにGETリクエストを送信する方法の詳細については、「OpenID ConnectおよびOAuth 2.0 API」リファレンスを参照してください。

アプリケーション開発者向けの情報として、開発者ガイドの「ユーザーのサインアウト」の項目で言語固有の手順も提供しています。

最後に、ログアウトリダイレクトURIをOkta統合に追加する必要があります。

  1. 管理コンソールで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. SLOを追加するOIDCアプリケーションをクリックします。
  3. [General(一般)]設定タブで、[Edit(編集)]をクリックします。
  4. [Logout redirect URIs(ログアウトリダイレクトURI)]の横の[+Add URI(URIを追加)]をクリックします。
  5. 証明書利用者起点のSLOリクエストをOktaから受け取るURIを入力します。
  6. [Save(保存)]をクリックします。
  7. SLOのフローをテストするには、Okta統合を利用してSPアプリケーションにサインインし、SPアプリケーション内で該当のサインアウト方法を実行します。これで、ブラウザー上でSPアプリケーションとOktaの両方からサインアウトが行われます。