ユーザーをデバイスからサインアウトさせる

早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

デバイスログアウトを使用して、ユーザーをデバイスからサインアウトさせます。

デバイスログアウトは、ユーザー資格情報が侵害されたシナリオや、セッションハイジャックなどIDベースの脅威の証拠がある場合に役立ちます。この機能を利用して、休職やオフボーディングなど従業員のライフサイクルの変更に対応することもできます。ユーザーが非アクティブ化または一時停止されている場合、Oktaはすべてのデバイスからそのユーザーを自動的にサインアウトさせます。

開始する前に

  • デバイスアクセスSCEP証明書をエンドユーザーのデバイスにデプロイする。

  • エンドユーザーのデバイスがDesktop MFAで保護されている。

  • エンドユーザーのデバイスにmacOS用のOkta Verifyバージョン9.46.1以降がインストールされている。

  • orgでIdentity Threat Protection with Okta AIをアクティブ化し、 Universal Logoutによるアイデンティティ脅威保護 を使用する。

  • スーパー管理者ロール、または デバイスからユーザーをログアウト(Log a user out from devices)およびデバイスからユーザーをログアウト(Log users out from devices)権限を持つカスタムロールが必要です。

    これらのカスタムロール権限を使用するには、Okta デバイスアクセス権限に対してカスタム管理者ロールを有効にする(Enable custom admin roles for permissions)およびデバイス権限に対してカスタム管理者ロールを有効にする(Enable custom admin roles for device permissions)機能をオンにします。

    標準的な管理者ロールと権限」および「カスタム管理者ロール」を参照してください。

すべてのデバイスからユーザーをサインアウトさせる

すべての登録済みデバイスから1人のユーザーを手動でサインアウトさせるには、次の手順を行います。このアクションはユーザーのOkta Universal Directoryプロファイルから処理されます。

  1. Admin Consoleで、ディレクトリ(Directory) > ユーザー(People)に進みます。

  2. プロファイルを開くために、ユーザーの名前またはメールアドレスを検索して選択します。

  3. 任意。ステータス(Status)ドロップダウンメニューを使用して、ユーザーステータスで結果をフィルタリングします。

  4. ユーザーの名前をクリックしてプロファイルを開きます。

  5. プロファイルページでその他のアクション(More Actions)を選択し、 デバイスログアウト を選択します。

  6. 確認のプロンプトですべてのデバイスをログアウト(Log out all devices)をクリックします。

Universal Logoutを使用してユーザーをデバイスからサインアウトさせます。

Desktop MFAアプリ内のデバイス用にサインアウトアクションを構成します。

  1. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  2. Desktop MFA アプリを選択します。

  3. 認証(Authentication)タブを選択します。

  4. ログアウト(Logout)セクションで編集(Edit)をクリックします。

  5. Oktaシステムまたは管理者開始ログアウト([Okta system or admin initiates logout)]を選択します。

  6. 保存(Save)をクリックします。

Universal Logoutアイデンティティ脅威保護

アイデンティティ脅威保護(ITP)のUniversal Logout機能では、エンティティリスクポリシーが構成された条件をトリガーすると、ユーザーをすべてのデバイスから自動的にサインアウトします。エンティティリスクポリシーの検出設定を参照してください。

  1. orgでITPがアクティブ化済みであることを確認します。「Identity Threat Protection with Okta AI」を参照するか、またはOktaサポートまでお問い合わせください。

  2. エンティティリスクポリシーのルールに条件を構成する場合、ルールアクションとしてログアウトしてトークンを取り消す(Logout and revoke tokens)を選択します。

  3. 保存(Save)をクリックしてポリシールールを確定します。

ユーザーセッションの消去によるUniversal Logout

プロファイル(Profile)ページでユーザーのセッションを消去することで、ユーザーをすべてのデバイスからサインアウトさせることもできます。

  1. Admin Consoleで、ディレクトリ(Directory) > ユーザー(People)に進みます。

  2. ユーザーを検索し、ユーザーの名前をクリックしてユーザーのOkta Universal Directoryプロファイルを開きます。

  3. その他のアクション(More Actions)メニューで、ユーザーセッションを消去(Clear User Sessions)を選択します。

  4. セッションを消去してトークンを取り消す(Clear sessions and revoke tokens)ダイアログで、ログアウト対応アプリとOkta APIトークンも含める(Also include logout enabled apps and Okta API tokens)を選択します。

  5. 消去と取り消し(Clear and revoke)をクリックし、ユーザーのセッションを消去します。

デバイスログアウトシステムログイベントの表示

Admin Consoleでシステムログイベントを表示するには、レポート(Reports) > システムログ(System Log)に移動してイベント名を検索します。

システムログにはデバイスログアウト操作に関する次のイベントが記録されます。

  • device.desktop_mfa.device_logout.startedOktaまたは管理者がユーザーのデバイスログアウト操作を呼び出した際に追加されます。

  • device.desktop_mfa.device_logout.completed:デバイスがユーザーのサインアウト操作を完了し、結果をOktaに送信した際に追加されます。

  • device.desktop_mfa.configuration.update:管理者がDesktop MFAアプリインスタンスの Universal Logout構成を変更した際に追加されます。エントリには、Desktop MFAアプリインスタンスのクライアントID(Client ID)が含まれます。

OktaAPIのドキュメントで「イベントタイプ」を参照してください。

TraceID値を使用して、device.desktop_mfa.device_logout.startedイベントとdevice.desktop_mfa.device_logout.completedイベントを関連付けることができます。TraceIDは、イベントに関して記録されたシステム(System) > DebugContext > DebugDataにあります。

Universal Logoutがデバイスのサインアウト操作をトリガーした場合、そのイベントをTraceIDを使用してuser.authentication.universal_logoutイベントと関連付けることができます。

関連項目

Universal Logout

Universal Logoutの対応アプリ