対応アプリにUniversal Logoutを構成する

Universal Logoutは、ユーザーのセッションを終了して、セッションの対応Okta Integration Network(OIN)、汎用のSecurity Assertion Markup Language(SAML)やOpenID Connect(OIDC)アプリのトークンを無効化できるようにします。

まず、OIN、SAML、OIDCのアプリをUniversal Logoutで動作するように構成します。そして、Identity Threat Protectionがリスク状態の変化を検出したときにUniversal Logoutがトリガーするようにポリシーを構成します。ユーザーリスクプロファイルからユーザーセッションを手動で終了することもできます。

Universal Logoutの対応アプリ」を参照してください。

OINアプリにUniversal Logoutを構成する

すでに統合済みのアプリ内で以下を行います。アプリの統合について「既存のアプリ統合を追加する」を参照した上で、この手順に戻ります。

始める前に、以下の要件が満たされていることを確認してください。

  • アプリを管理する権限が管理者ロールにあることを確認します。「標準的な管理者ロールと権限」の「アプリケーション管理」セクションを参照してください。
  • 構成するアプリがUniversal Logoutに対応していることを確認します。
  • 構成するアプリのセキュリティプロバイダーにサービスアカウントがあることを確認します。
  • Oktaをアプリに接続するために必要な資格情報を入手します。

この手順を開始する

  1. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. Universal Logoutがサポートされるアプリを選択します。「Universal Logout」を参照してください。
  3. アプリのページで[Authentication(認証)]タブを選択します。
  4. [ログアウト]セクションで[Edit(編集)]をクリックします。
  5. [Okta system or admin initiates logout(Oktaシステムまたは管理者開始ログアウト)]を選択します。
  6. [ログアウトのためのAPI構成]セクションにアプリの管理者資格情報を入力します。これらのフィールドの名称はベンダーごとに異なります。
  7. [Connect account(アカウントを接続)]をクリックし、表示されるポップアップウィンドウでアプリの構成を完了します。
  8. [Save(保存)]をクリックします。

汎用のSAML/OIDCアプリにUniversal Logoutを構成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Universal Logoutを構成すると、汎用のSAMLやOIDCアプリのユーザーセッションを終了させることができます。

使用しているSAMLアプリやOIDCアプリは、Global Token Revocationの仕様と署名付きJWT(JSON Web Token)の使用に対応していなければなりません。アプリが署名付きJWTに対応していない場合には、API認証やUniversal Logoutが失敗します。「Global Token Revocation」と「エンドポイント認証」を参照してください。

Federation Broker Modeを有効にした場合には、Universal LogoutはカスタムのSAMLやOIDCアプリでは動作しません。代わりに、ユーザーを明示的に割り当てる必要があります。

この手順を開始する

Universal Logout設定は、アプリを構成すると、表示されるようになります。SAMLアプリとOIDCアプリの両方について、以下の手順に従います。

  1. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. Universal Logoutがサポートされるアプリを選択します。「Universal Logout」を参照してください。
  3. アプリのページで[Authentication(認証)]タブを選択します。
  4. ログアウトセクションで[Edit(編集)]をクリックします。
  5. Global Token Revocation[Okta system or admin initiates logout(Oktaシステムまたは管理者がログアウトを開始する)]を選択します。
  6. ログアウトエンドポイントURLセクションで、アプリのログアウトAPIエンドポイントを入力します。このエンドポイントは、Global Token Revocationの仕様に対応していなければなりません。
  7. エンドポイント認証タイプはデフォルトで[Signed JWT(署名付きJWT)]に設定されています。
  8. 発行先の形式タイプとして、[Issuer and Subject Identifier(発行者と発行先の識別子)]または[Email Identifier(メール識別子)]を選択します。
  9. [Save(保存)]をクリックします。

Identity Threat ProtectionでUniversal Logoutを構成する

アプリで動作するようにUniversal Logoutを構成します。その後で、認証後セッションやエンティティリスクポリシーを構成して、Identity Threat Protectionがリスクの変化を検出したときにUniversal Logoutをトリガーすることができます。以下のトピックを参照してください:

ユーザーリスクプロファイルからユーザーセッションを終了する

ユーザーリスクプロファイルからユーザーセッションを手動で終了することができます。「ユーザーセッションを終了する]を参照してください。

関連項目

Universal Logout

Universal Logoutの取り消し

Identity Threat Protectionの手動修復アクション