IDプロバイダーのシングルログアウトを有効化する
早期アクセスリリース
シングルログアウト(SLO)を使用すると、ユーザーは1回の操作でOktaセッションとIDプロバイダー(IdP)の両方からサインアウトできます。SLOが有効になっている場合、ログアウト開始アプリまたはOktaからサインアウトするユーザーは自動的にIdPからサインアウトされます。
SAML 2.0とOIDC IdPの両方でSLOを有効にできます。
Okta orgをIdPとして使用する場合は、「Okta IdPのSLOを有効にする」を参照してください。
SAML 2.0 IdPのSLOを有効にする
-
Admin Consoleで、 に移動します。
-
SLOを有効にするIdPを見つけて、[Actions(アクション)] > [Configure Identity Provider(IDプロバイダーを構成)]をクリックします。
-
[General(一般設定)]セクションの[Edit(編集)]をクリックします。
-
[Logout(ログアウト)]セクションで、[User logs out of other logout-initiating apps or Okta(ユーザーが別のログアウト開始アプリまたはOktaからログアウトする)]を選択します。
-
[Logout endpoint URL(ログアウトエンドポイントURL)]フィールドに、Oktaがアプリ開始のログアウトリクエストを送信するIdPエンドポイントを入力します。
-
[Logout request binding(リクエストのバインディングからログアウト)]セクションで、[HTTP POST]または[HTTP REDIRECT]を選択します。
-
[Update Identity Provider(IDプロバイダーを更新)]をクリックします。
OIDC IdPのSLOを有効にする
-
Admin Consoleで、 に移動します。
-
SLOを有効にするIdPを見つけて、[Actions(アクション)] > [Configure Identity Provider(IDプロバイダーを構成)]をクリックします。
-
[General(一般設定)]セクションの[Edit(編集)]をクリックします。
-
[Logout(ログアウト)]セクションで、[User logs out of other logout-initiating apps or Okta(ユーザーが別のログアウト開始アプリまたはOktaからログアウトする)]を選択します。
-
[Logout endpoint URL(ログアウトエンドポイントURL)]フィールドに、Oktaがアプリ開始のログアウトリクエストを送信するIdPエンドポイントを入力します。
-
[Update Identity Provider(IDプロバイダーを更新)]をクリックします。
Okta IdPのSLOを有効にする
Okta orgをIdPとして使用する場合は、このセクションで説明する手順に従ってシングルログアウト(SLO)を構成します。
開始する前に
次の2つのOkta orgが必要です。
- Okta Identity Provider org(Okta IDプロバイダーorg):フェデレーションフローでIdPとして機能します。
- Okta service provider org(Oktaサービスプロバイダーorg):フェデレーションフローでサービスプロバイダー(SP)として機能します。
どちらのorgでも、[Settings(設定)] > [Features(機能)]でIdPのフロントチャネルシングルログアウトとフロントチャネルSLOを有効にする必要があります。
SAML Okta IdPのSLOを有効にする
-
Okta IdP orgにサインインします。
-
Admin Consoleを開き、[Applications(アプリケーション)] > [Applications(アプリケーション)]に移動します。
-
[Create App Integration(アプリ統合の作成)]をクリックし、[SAML 2.0]を選択します。
-
SAMLアプリ統合を作成するの手順に従って、[Attributes Statements(属性ステートメント)](「属性ステートメントを定義する」を参照)セクションに次の値があることを確認します。
-
Name(名前):'email'
-
Name format(名前の形式):指定なし
-
Value(値):user.email
-
-
アプリを作成したら、[Sign On(サインオン)]タブに移動し、[Single Logout URL(シングルログアウトURL)]の値(app/{app}/{key}/slo/saml)をコピーします。
-
-
Okta SP orgにサインインします。
-
[セキュリティー] > [IDプロバイダー]に移動します。
-
SAML Okta IdPをクリックします。
-
[Logout(ログアウト)]セクションで、[User logs out of other logout-initiating apps or Okta(ユーザーが別のログアウト開始アプリまたはOktaからログアウトする)]を選択します。
-
[Logout endpoint URL(LogoutエンドポイントURL)]フィールドに、Okta IdP orgのSAMLアプリから[Single Logout URL(シングルログアウトURL)]を入力します。
-
[Logout request binding(リクエストのバインディングからログアウト)]セクションで、[HTTP POST]または[HTTP REDIRECT]を選択します。
-
[Update Identity Provider(IDプロバイダーを更新)]をクリックします。
-
-
Okta IdP orgに戻ります。
-
Okta SAMLアプリで、[When app initiates logout(アプリによりログアウトが開始されるとき)]をクリックします。
-
[Response URL(応答URL)]をOkta SP OrgのOrg URLに設定します。例:htttps://subdomain.okta.com。
-
カスタムOkta SAMLアプリの[SAML Settings(SAML設定)]セクションで、[SP Issuer(SP発行者)]を[Audience URI(オーディエンスURI)]の値に設定します。
-
[Directory(ディレクトリ)]>[Profile Editor(プロファイルエディタ)]の順に進みます。
-
Oktaユーザーを選択します。
-
[First Name(名)]を選択し、[Attribute Required(必須属性)]のチェックを外します。
-
[Last Name(姓)]を選択し、[Attribute Required(必須属性)]のチェックを外します。
-
OIDC Okta IdPのSLOを有効にする
OIDC Okta IdPのSLOを有効にするには、以下を行います。
-
ブラウザーで、[{okta-idp-org-url}/.well-known/openid-configuration]に移動します。
-
end_session_endpointの値をコピーします。
-
Okta SP orgで、[Security(セキュリティ)] > [Identity Providers(IDプロバイダー)]に移動します。
-
SLOを有効にするOIDC Okta IdPを見つけて、[Actions(アクション)] > [Configure Identity Provider(IDプロバイダーを構成)]をクリックします。
-
[General(一般設定)]セクションの[Edit(編集)]をクリックします。
-
[Logout(ログアウト)]セクションで、[User logs out of other logout-initiating apps or Okta(ユーザーが別のログアウト開始アプリまたはOktaからログアウトする)]を選択します。
-
[Logout endpoint URL(LogoutエンドポイントURL)]フィールドに、手順2の[end_session_endpoint]を入力します。
-
[Update Identity Provider(IDプロバイダーを更新)]をクリックします。