IDプロバイダーのシングルログアウトを有効化する

早期アクセスリリース

シングルログアウト(SLO)を使用すると、ユーザーは1回の操作でOktaセッションとIDプロバイダー(IdP)の両方からサインアウトできます。SLOが有効になっている場合、ログアウト開始アプリまたはOktaからサインアウトするユーザーは自動的にIdPからサインアウトされます。

SAML 2.0とOIDC IdPの両方でSLOを有効にできます。

Okta orgをIdPとして使用する場合は、Okta IdPのSLOを有効にするを参照してください。

SAML 2.0 IdPのSLOを有効にする

  1. Admin Consoleで、セキュリティ(Security) > IDプロバイダー(Identity Providers)に移動します。

  2. SLOを有効にするIdPを見つけて、アクション(Actions) > IDプロバイダーを構成(Configure Identity Provider)をクリックします。

  3. 一般設定(General Settings)セクションの編集(Edit)をクリックします。

  4. ログアウト(Logout)セクションで、ユーザーが別のログアウト開始アプリまたはOktaからログアウトする(User logs out of other logout-initiating apps or Okta)を選択します。

  5. ログアウトエンドポイントURL(Logout endpoint URL)フィールドに、Oktaがアプリ開始のログアウトリクエストを送信するIdPエンドポイントを入力します。

  6. リクエストのバインディングからログアウト(Logout request binding)セクションで、HTTP POSTまたはHTTP REDIRECTを選択します。

  7. [Update (Update Identity Provider)IDプロバイダーを更新(Identity Provider)]をクリックします。

OIDC IdPのSLOを有効にする

  1. Admin Consoleで、セキュリティ(Security) > IDプロバイダー(Identity Providers)に移動します。

  2. SLOを有効にするIdPを見つけて、アクション(Actions) > IDプロバイダーを構成(Configure Identity Provider)をクリックします。

  3. 一般設定(General Settings)セクションの編集(Edit)をクリックします。

  4. ログアウト(Logout)セクションで、ユーザーが別のログアウト開始アプリまたはOktaからログアウトする(User logs out of other logout-initiating apps or Okta)を選択します。

  5. ログアウトエンドポイントURL(Logout endpoint URL)フィールドに、Oktaがアプリ開始のログアウトリクエストを送信するIdPエンドポイントを入力します。

  6. [Update (Update Identity Provider)IDプロバイダーを更新(Identity Provider)]をクリックします。

Okta IdPのSLOを有効にする

Okta orgをIdPとして使用する場合は、このセクションで説明する手順に従ってシングルログアウト(SLO)を構成します。

開始する前に

次の2つのOkta orgが必要です。

  • Okta IDプロバイダーorg(Okta Identity Provider org):フェデレーションフローでIdPとして機能します。
  • Oktaサービスプロバイダーorg(Okta service provider org):フェデレーションフローでサービスプロバイダー(SP)として機能します。

どちらのorgでも、設定(Settings) > 機能(Features)でIdPのフロントチャネルシングルログアウトとフロントチャネルSLOを有効にする必要があります。

SAML Okta IdPのSLOを有効にする

  1. Okta IdPのorgにサインインします。

    1. Admin Consoleを開き、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

    2. アプリ統合の作成(Create App Integration)をクリックし、SAML 2.0を選択します。

    3. SAMLアプリ統合を作成するの手順に従って、属性ステートメント(Attributes Statements)属性ステートメントを定義するを参照)セクションに次の値があることを確認します。

      • 名前(Name):'email'

      • 名前の形式(Name format):指定なし

      • 値(Value):user.email

    4. アプリを作成したら、サインオン(Sign On)タブに移動し、シングルログアウトURL(Single Logout URL)の値(app/{app}/{key}/slo/saml)をコピーします。

  2. Okta SPのorgにサインインします。

    1. セキュリティ(Security) > IDプロバイダー(Identity Providers)に移動します。

    2. SAML Okta IdPをクリックします。

    3. ログアウト(Logout)セクションで、ユーザーが別のログアウト開始アプリまたはOktaからログアウトする(User logs out of other logout-initiating apps or Okta)を選択します。

    4. LogoutエンドポイントURL(Logout endpoint URL)フィールドに、Okta IdP orgのSAMLアプリからシングルログアウトURL(Single Logout URL)を入力します。

    5. リクエストのバインディングからログアウト(Logout request binding)セクションで、HTTP POSTまたはHTTP REDIRECTを選択します。

    6. [Update (Update Identity Provider)IDプロバイダーを更新(Identity Provider)]をクリックします。

  3. Okta IdP orgに戻ります。

    1. Okta SAMLアプリで、アプリによりログアウトが開始されるとき(When app initiates logout)をクリックします。

    2. 応答URL(Response URL)をOkta SP OrgのOrg URLに設定します。例:htttps://subdomain.asqula.com。

    3. SP発行者(SP Issuer)を、カスタムOkta SAMLアプリのSAML設定(SAML Settings)セクションにあるオーディエンスURI(Audience URI)の値に設定します。

    4. ディレクトリ(Directory) > プロファイルエディター に移動します。

    5. Oktaユーザーを選択します。

    6. 名(First Name)を選択し、必須属性(Attribute Required)のチェックを外します。

    7. 姓(Last Name)を選択し、必須属性(Attribute Required)のチェックを外します。

OIDC Okta IdPのSLOを有効にする

OIDC Okta IdPのSLOを有効にするには、以下を行います。

  1. ブラウザーで、{okta-idp-org-url}/.well-known/openid-configurationに移動します。

  2. end_session_endpointの値をコピーします。

  3. Okta SPのorgでセキュリティ(Security) > IDプロバイダー(Identity Providers)に移動します。

  4. SLOを有効にするOIDC Okta IdPを見つけて、アクション(Actions) > IDプロバイダーを構成(Configure Identity Provider)をクリックします。

  5. 一般設定(General Settings)セクションの編集(Edit)をクリックします。

  6. ログアウト(Logout)セクションで、ユーザーが別のログアウト開始アプリまたはOktaからログアウトする(User logs out of other logout-initiating apps or Okta)を選択します。

  7. LogoutエンドポイントURL(Logout endpoint URL)フィールドに、手順2のend_session_endpointを入力します。

  8. IDプロバイダーを更新(Update Identity Provider)をクリックします。