IDプロバイダーのシングルログアウトを有効化する

早期アクセスリリース

シングルログアウト(SLO)を使用すると、ユーザーは1回の操作でOktaセッションとIDプロバイダー(IdP)の両方からサインアウトできます。SLOが有効になっている場合、ログアウト開始アプリまたはOktaからサインアウトするユーザーは自動的にIdPからサインアウトされます。

SAML 2.0とOIDC IdPの両方でSLOを有効にできます。

Okta orgをIdPとして使用する場合は、「Okta IdPのSLOを有効にする」を参照してください。

SAML 2.0 IdPのSLOを有効にする

  1. Admin Consoleで、[Security(セキュリティ)][Identity Providers(IDプロバイダー)]に移動します。

  2. SLOを有効にするIdPを見つけて、[Actions(アクション)] > [Configure Identity Provider(IDプロバイダーを構成)]をクリックします。

  3. [General(一般設定)]セクションの[Edit(編集)]をクリックします。

  4. [Logout(ログアウト)]セクションで、[User logs out of other logout-initiating apps or Okta(ユーザーが別のログアウト開始アプリまたはOktaからログアウトする)]を選択します。

  5. [Logout endpoint URL(ログアウトエンドポイントURL)]フィールドに、Oktaがアプリ開始のログアウトリクエストを送信するIdPエンドポイントを入力します。

  6. [Logout request binding(リクエストのバインディングからログアウト)]セクションで、[HTTP POST]または[HTTP REDIRECT]を選択します。

  7. [Update Identity Provider(IDプロバイダーを更新)]をクリックします。

OIDC IdPのSLOを有効にする

  1. Admin Consoleで、[Security(セキュリティ)][Identity Providers(IDプロバイダー)]に移動します。

  2. SLOを有効にするIdPを見つけて、[Actions(アクション)] > [Configure Identity Provider(IDプロバイダーを構成)]をクリックします。

  3. [General(一般設定)]セクションの[Edit(編集)]をクリックします。

  4. [Logout(ログアウト)]セクションで、[User logs out of other logout-initiating apps or Okta(ユーザーが別のログアウト開始アプリまたはOktaからログアウトする)]を選択します。

  5. [Logout endpoint URL(ログアウトエンドポイントURL)]フィールドに、Oktaがアプリ開始のログアウトリクエストを送信するIdPエンドポイントを入力します。

  6. [Update Identity Provider(IDプロバイダーを更新)]をクリックします。

Okta IdPのSLOを有効にする

Okta orgをIdPとして使用する場合は、このセクションで説明する手順に従ってシングルログアウト(SLO)を構成します。

開始する前に

次の2つのOkta orgが必要です。

  • Okta Identity Provider org(Okta IDプロバイダーorg):フェデレーションフローでIdPとして機能します。
  • Okta service provider org(Oktaサービスプロバイダーorg):フェデレーションフローでサービスプロバイダー(SP)として機能します。

どちらのorgでも、[Settings(設定)] > [Features(機能)]でIdPのフロントチャネルシングルログアウトとフロントチャネルSLOを有効にする必要があります。

SAML Okta IdPのSLOを有効にする

  1. Okta IdP orgにサインインします。

    1. Admin Consoleを開き、[Applications(アプリケーション)] > [Applications(アプリケーション)]に移動します。

    2. [Create App Integration(アプリ統合の作成)]をクリックし、[SAML 2.0]を選択します。

    3. SAMLアプリ統合を作成するの手順に従って、[Attributes Statements(属性ステートメント)](「属性ステートメントを定義する」を参照)セクションに次の値があることを確認します。

      • Name(名前):'email'

      • Name format(名前の形式):指定なし

      • Value(値):user.email

    4. アプリを作成したら、[Sign On(サインオン)]タブに移動し、[Single Logout URL(シングルログアウトURL)]の値(app/{app}/{key}/slo/saml)をコピーします。

  2. Okta SP orgにサインインします。

    1. [セキュリティー] > [IDプロバイダー]に移動します。

    2. SAML Okta IdPをクリックします。

    3. [Logout(ログアウト)]セクションで、[User logs out of other logout-initiating apps or Okta(ユーザーが別のログアウト開始アプリまたはOktaからログアウトする)]を選択します。

    4. [Logout endpoint URL(LogoutエンドポイントURL)]フィールドに、Okta IdP orgのSAMLアプリから[Single Logout URL(シングルログアウトURL)]を入力します。

    5. [Logout request binding(リクエストのバインディングからログアウト)]セクションで、[HTTP POST]または[HTTP REDIRECT]を選択します。

    6. [Update Identity Provider(IDプロバイダーを更新)]をクリックします。

  3. Okta IdP orgに戻ります。

    1. Okta SAMLアプリで、[When app initiates logout(アプリによりログアウトが開始されるとき)]をクリックします。

    2. [Response URL(応答URL)]をOkta SP OrgのOrg URLに設定します。例:htttps://subdomain.okta.com。

    3. カスタムOkta SAMLアプリの[SAML Settings(SAML設定)]セクションで、[SP Issuer(SP発行者)][Audience URI(オーディエンスURI)]の値に設定します。

    4. [Directory(ディレクトリ)]>[Profile Editor(プロファイルエディタ)]の順に進みます。

    5. Oktaユーザーを選択します。

    6. [First Name(名)]を選択し、[Attribute Required(必須属性)]のチェックを外します。

    7. [Last Name(姓)]を選択し、[Attribute Required(必須属性)]のチェックを外します。

OIDC Okta IdPのSLOを有効にする

OIDC Okta IdPのSLOを有効にするには、以下を行います。

  1. ブラウザーで、[{okta-idp-org-url}/.well-known/openid-configuration]に移動します。

  2. end_session_endpointの値をコピーします。

  3. Okta SP orgで、[Security(セキュリティ)] > [Identity Providers(IDプロバイダー)]に移動します。

  4. SLOを有効にするOIDC Okta IdPを見つけて、[Actions(アクション)] > [Configure Identity Provider(IDプロバイダーを構成)]をクリックします。

  5. [General(一般設定)]セクションの[Edit(編集)]をクリックします。

  6. [Logout(ログアウト)]セクションで、[User logs out of other logout-initiating apps or Okta(ユーザーが別のログアウト開始アプリまたはOktaからログアウトする)]を選択します。

  7. [Logout endpoint URL(LogoutエンドポイントURL)]フィールドに、手順2の[end_session_endpoint]を入力します。

  8. [Update Identity Provider(IDプロバイダーを更新)]をクリックします。