対応アプリにUniversal Logoutを構成する

Universal Logoutは、ユーザーのセッションを終了して、セッションの対応Okta Integration Network（OIN）、汎用のSecurity Assertion Markup Language（SAML）やOpenID Connect（OIDC）アプリのトークンを無効化できるようにします。

まず、OIN、SAML、OIDCのアプリをUniversal Logoutで動作するように構成します。その後、Identity Threat Protection（ITP）がリスク条件の変化を検出したときにUniversal Logoutがトリガーされるようにポリシーを構成できます。ユーザーリスクプロファイルからユーザーセッションを手動で終了することもできます。

「Universal Logoutの対応アプリ」を参照してください。

OINアプリにUniversal Logoutを構成する

すでに統合済みのアプリ内で以下を行います。アプリの統合について既存のアプリ統合を追加するを参照した上で、この手順に戻ります。

始める前に、以下の要件が満たされていることを確認してください。

• アプリを管理しAPIトークンを消去する権限が管理者ロールにあることを確認します。標準的な管理者ロールと権限（Application management）のアプリケーション管理セクションおよびITPの管理者ロールを参照してください。
• 構成するアプリがUniversal Logoutに対応していることを確認します。
• 構成するアプリのセキュリティプロバイダーにサービスアカウントがあることを確認します。
• Oktaをアプリに接続するために必要な資格情報を入手します。

この手順を開始する

1. Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。

2. Universal Logoutがサポートされるアプリを選択します。「Universal Logout」を参照してください。
3. アプリのページで認証（Authentication）またはサインオン（Sign On）タブを選択します。
4. ログアウト（Logout）セクションで編集（Edit）をクリックします。
5. Oktaシステムまたは管理者開始ログアウト（system or admin initiates logout）を選択します。
6. ログアウトのためのAPI構成（API configuration for logout）セクションにアプリの管理者資格情報を入力します。これらのフィールドの名称はベンダーごとに異なります。
7. アカウントを接続（Connect account）をクリックし、表示されるポップアップウィンドウでアプリの構成を完了します。
8. 保存（Save）をクリックします。

汎用のSAML/OIDCアプリにUniversal Logoutを構成する

Universal Logoutを構成すると、汎用のSAMLやOIDCアプリのユーザーセッションを終了させることができます。

使用しているSAMLアプリやOIDCアプリは、Global Token Revocationの仕様と署名付きJWT（JSON Web Token）の使用に対応していなければなりません。アプリが署名付きJWTに対応していない場合には、API認証やUniversal Logoutが失敗します。「グローバルトークンの取り消し」と「エンドポイント認証」を参照してください。

Federation Broker Modeを有効にした場合には、Universal LogoutはカスタムのSAMLやOIDCアプリでは動作しません。代わりに、ユーザーを明示的に割り当てる必要があります。

この手順を開始する

Universal Logout設定は、アプリを構成すると、表示されるようになります。SAMLアプリとOIDCアプリの両方について、以下の手順に従います。

1. Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。

2. Universal Logoutがサポートされるアプリを選択します。「Universal Logout」を参照してください。
3. アプリのページで認証（Authentication）またはサインオン（Sign On）タブを選択します。
4. ログアウト（Logout）セクションで編集（Edit）をクリックします。
5. Global Token RevocationでOktaシステムまたは管理者がログアウトを開始する（Okta system or admin initiates logout）を選択します。
6. ログアウトエンドポイントURL（Logout endpoint URL）セクションで、アプリのログアウトAPIエンドポイントを入力します。このエンドポイントは、Global Token Revocationの仕様に対応していなければなりません。
   注:

   Org2Org Universal Logoutを構成するには、次のログアウトエンドポイントURLを使用します：https://{yourOktaDomain}/oauth2/v1/global-token-revocation

7. エンドポイント認証タイプ（Endpoint authentication type）はデフォルトで署名付きJWT（Signed JWT）に設定されています。
8. 発行先（Subject）の形式タイプとして、発行者と発行先の識別子（Issuer and Subject Identifier）またはメール識別子（Email Identifier）を選択します。
   注:

   Org2Org Universal Logoutを構成するには、発行者と発行先の識別子（Issuer and Subject Identifier）を選択します。Okta Global Token Revocationエンドポイントはメール識別子（Email Identifier）をサポートしません。

9. 保存（Save）をクリックします。

ITPでUniversal Logoutを構成する

アプリで動作するようにUniversal Logoutを構成します。その後で、セッション保護やエンティティリスクポリシーを構成して、ITPがリスクの変化を検出したときにUniversal Logoutをトリガーすることができます。以下のトピックを参照してください。

• セッション保護
• エンティティリスクポリシー

ユーザーリスクプロファイルからユーザーセッションを終了する

ユーザーリスクプロファイルからユーザーセッションを手動で終了することができます。ユーザーセッションを終了するを参照してください。

関連項目

Universal Logout

Universal Logoutの取り消し

エンティティリスクレベルを引き上げるまたは引き下げる