シングル ログアウトの有効化
目次
casso127jpjp
目次
2
シングル ログアウト(SLO)プロファイルを使用することにより、特定のセッション 機関によって提供され、特定のユーザと関連付けられているすべてのセッションのほぼ同時のログアウトが可能になります。ユーザは、ログアウトを直接開始します。セッション機関は、最初にユーザを認証した認証エンティティです。ほとんどの場合、セッション機関はアイデンティティ プロバイダです。
シングル ログアウトは、セッションを確実に閉じるために役立ち、サービス プロバイダで不正なユーザがリソースのアクセスを獲得するのを防止できます。
ユーザは、サービス プロバイダまたはアイデンティティ プロバイダでリンクをクリックすることにより、ブラウザからシングル ログアウト サービスを開始できます。ユーザは、SLO サーブレットを指すログアウト リンクをクリックします。このサーブレットは、フェデレーション Web サービスのコンポーネントであり、サービス プロバイダやアイデンティティ プロバイダから送信されたログアウト リクエストおよびレスポンスを処理します。サーブレットでは、リクエストやレスポンスの発信元が既知である必要はありません。このサーブレットは、
Single Sign-On
セッション Cookie を使用して、ログアウトするセッションを判別します。シングル ログアウトのバインディング
シングル ログアウト機能は、HTTP リダイレクト バインディングを使用して、メッセージをトランスポートします。このバインディングは、HTTP リダイレクト メッセージ(302 のステータス コード レスポンス)を使用して、SAML プロトコル メッセージがどのように転送されるか決定します。
シングル ログアウトの設定
サービス プロバイダでシングル ログアウトを有効にする場合は、サービス プロバイダで保護されたリソースが含まれるレルムに対する永続セッションを設定します。管理 UI で永続セッションを設定します。
シングル ログアウトを設定する方法
- SAML 2.0 認証方式に移動します。
- [SAML 2.0 設定]-[SLO]を選択します。
- ページの[SLO]セクションで、[HTTP リダイレクト]チェック ボックスをオンにします。他のシングル ログアウト設定がアクティブになります。
- 以下の情報に注意して、残りのフィールドに値を入力します。
- 有効期間シングル ログアウト リクエストが有効な秒数を指定します。有効期間が期限切れになると、シングル ログアウト レスポンスが生成されます。レスポンスは、ログアウトを開始したエンティティに送信されます。また、有効期間は、シングル ログアウト メッセージ期間の計算でスキュー時間にも依存します。
- SLO ロケーション URL、SLO レスポンス ロケーション URL、SLO 確認 URLこれらのフィールドのエントリは https:// または http:// で始まる必要があります。
注:それぞれの要件および制限など、設定とコントロールの説明を参照するには、[ヘルプ]をクリックします。
シングル ログアウトが開始された後、アイデンティティ プロバイダおよびすべてのサービス プロバイダ サイトでのユーザ セッションが削除されます。その後、フェデレーション Web サービスによってユーザがログアウト確認ページにリダイレクトされます。