シングル ログアウトの追加
目次
casso127jpjp
目次
2
シングル ログアウト プロトコル(SLO)により、ログアウトを開始したブラウザのすべてのユーザ セッションが同時に終了します。シングル ログアウトの設定によって、権限のないユーザがサービス プロバイダのリソースにアクセスできる開いたままのセッションを確実になくすことができます。
重要
: SLO 設定を表示するには、ポリシー サーバ管理コンソールを使用してセッション ストアを有効にします。IdP でのシングル ログアウトの設定
Idp1 でシングル ログアウトを設定します。
以下の手順に従います。
- [フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]を選択します。[パートナーシップ]ウィンドウが表示されます。
- TestPartnership エントリの横の[アクション]-[非アクティブ化]を選択します。編集する前にパートナーシップを非アクティブ化します。
- TestPartnership エントリの横の[アクション]-[変更]をクリックします。パートナーシップ ウィザードが開きます。
- [SSO と SLO]手順を選択します。
- [SLO]セクションで、以下のフィールドを設定します。
- SLO バインディングHTTP リダイレクト
- SLO 確認 URLhttp://idp1.example.com:9090/idpsample/SLOConfirm.htmlこのリンクは、シングル ログアウトを開始したサイト(この場合は IdP1)の確認ページです。シングル ログアウトが正常に完了すると、ユーザはこのページにリダイレクトされます。
- [SLO サービス URL]テーブルの[行の追加]をクリックし、以下のフィールドに入力します。
- SLO ロケーション URLhttp://sp1.demo.com:9091/affwebservices/public/saml2sloこのリンクは、シングル ログアウト リクエストがリモート SP に送信されることを示します。
- [選択]列で設定した行を選択します。
- ウィザードの[確認]手順をクリックして、設定を確認します。
- [完了]をクリックします。[パートナーシップ]ウィンドウに戻ります。
- TestPartnership の横の[アクション]-[アクティブ化]を選択することによって、パートナーシップを再度アクティブ化します。
シングル ログアウトが IdP1 の設定に追加されました。
SP でのシングル ログアウトの設定
SP1 でシングル ログアウトを設定します。
SP でシングル ログアウトを設定する方法
- [フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]を選択します。[パートナーシップ]ウィンドウが表示されます。
- Demo Partnership のエントリの横の[アクション]-[非アクティブ化]を選択します。編集する前にパートナーシップを非アクティブ化します。
- DemoPartnership のエントリの横の[アクション]-[変更]をクリックします。パートナーシップ ウィザードの最初の手順のダイアログ ボックスが開きます。
- [SSO と SLO]手順をクリックします。
- [SLO]セクションで、以下のフィールドを設定します。
- SLO バインディングHTTP リダイレクト
- SLO 確認 URLhttp://sp1.demo.com:9091/spsample/SLOConfirm.htmlこの URL は、ログアウトを開始したサイトのシングル ログアウト確認ページです。
- [SLO サービス URL]テーブルの[行の追加]をクリックし、以下のフィールドに入力します。
- SLO ロケーション URLhttp://idp1.example.com:9090/affwebservices/public/saml2sloこの URL はシングル ログアウト リクエストが送信される場所です。
- [選択]列で設定した行を選択します。
- ウィザードの[確認]手順をクリックして、設定を確認します。
- [完了]をクリックします。[パートナーシップ]ウィンドウに戻ります。
- [フェデレーション パートナーシップ リスト]で、DemoPartnership エントリの横の[アクション]-[アクティブ化]を選択することによって、パートナーシップを再度アクティブ化します。
シングル ログアウトが SP で設定されました。
シングル ログアウトのテスト
シングル ログアウトの設定後に、それをテストします。このテストの場合、シングル ログアウトは SP1 で開始されます。
SP からシングル ログアウトを開始するには、シングル ログアウトの開始および確認のために 2 つの Web ページが必要です。
- welcome.html を使用し、IdP1 のシングル ログアウト サービスにブラウザを送るリンクをこのページに追加します。このリンクには以下の構文が含まれます。<a href="http://idp1.example.com:9090/affwebservices/public/saml2slo>Log Me Out</a>
- 以下のようなログアウト確認メッセージを含む SLOConfirm.html という名前の確認ページを作成します。<p> 正常にログアウトしました </p>
Web サーバ ルート ディレクトリのサブフォルダ /spsample 以下に両方のページをコピーします。
注
: SLO をテストできるように、SSO トランザクションを完了します。以下の手順に従います。
- パートナーシップの両側が管理 UI でアクティブ化されていることを確認します。
- これまでに説明した手順に従ってシングル サインオンを設定およびテストします。シングル サインオンに成功すると、ウェルカム ページがブラウザに表示されます。
- ブラウザを開いたままにして、ウェルカム ページでログアウトするリンクをクリックします。成功すると、以下のメッセージを表示する確認ページにリダイレクトされます正常にログアウトしました。