C ログアウトの構成

フォーム・ベース認証を使用している場合は、セッションCookieを削除し、ユーザーをログアウト・ページにリダイレクトするログアウトURLを構成することによって、1つ以上のアプリケーションからユーザーを自動的にログアウトさせることができます。メタ・タグを追加し、数秒後に別のページにリダイレクトされるようにするなど、デフォルトのログアウト・ページをカスタマイズできます。

他の保護されたリソースだけでなく、IDシステムのアプリケーションとPolicy Managerに対してもログアウト・リンクおよびURLを構成する必要があります。詳細は、「IDシステム・リソースに対するログアウトの構成」を参照してください。

ログアウトの構成には、次の方法を使用できます。

• Oracle Access Managerに付属の1つのログアウト機能を使用: ユーザーのセッションCookieを削除するシングル・サインオン・ログアウトURLおよびログアウト・ページを構成できます。

  詳細は、「シングル・サインオン・ログアウトURLの構成」を参照してください。

• 複数のログアウト機能を使用: Oracle Access Managerのデフォルトに基づいて様々な用途に対応した各種のログアウトURLおよびログアウト・ページを構成できます。

• ユーザーのログアウト用サード・パーティ・プログラムを使用: 独自のログアウト機能を定義できます。

注意: マルチドメインのシングル・サインオンを構成している場合は、ログアウトURLでは1つのドメインのアプリケーションからのみユーザーをログアウトする点に留意してください。ドメイン全体でログアウトが行われるようにするには、絶対セッション・タイムアウト値の設定が必要な場合もあります。詳細は、「シングル・ドメインのシングル・サインオン・セッションからのログアウト」を参照してください。

C.1 ログアウトの機能

WebGateでは、logout.gifおよびlogout.jpgを除いて、「logout.」（ピリオド「.」を含む）が含まれたURL（logout.htmlやlogout.plなど）を受信するとユーザーをログアウトします。WebGateでこの文字列を含むURLを受信すると、ObSSOCookieの値はlogoutに設定されます。

アクセス・システムでは、WebGateで保護されたリソースにアクセスする各ユーザーまたは各アプリケーションに対してObSSOCookieを設定します。ObSSOCookieにより、同等かそれ以下の認証レベルを持つアクセス・システムで保護されたリソースへのアクセスが可能になります。ObSSOcookieを削除すると、WebGateによりユーザーがログアウトされ、このユーザーがアクセス・システムで保護されているリソースへのアクセスを次回リクエストするときに再認証が必要になります。

Oracleではlogout.htmlページが用意されています。このフォームは次の場所にあります。

PolicyManager_install_dir/access/oblix/lang/en-us/logout.html

logout.htmlフォームにも、IDシステム用に設定されたObTemC Cookieを削除するためのJavaScriptが含まれています。ただし、このページにはデフォルトでObSSOCookieを削除するコードが含まれていません。通常、シングル・サインオン・ログアウトURLを呼び出しても、必ずしもObSSOCookieが削除されるわけではないため、手動でlogout.htmlにこのコードを追加する必要があります。

logout.htmlフォームでも、サード・パーティ・アプリケーションによって設定されたCookieは削除されません。ユーザーの再認証が必要となるようにするには、シングル・サインオンのlogout.htmlファイルをカスタマイズしてこのCookieが削除されるようにする必要があります。

このページをカスタマイズすることも、1つ以上のカスタム・ログアウト・ページを作成することもできます。

C.2 ログアウトURLとログアウト・ページの構成およびカスタマイズ

すべてのユーザーとリソースに適用できる、1つのシングル・サインオン・ログアウトURLおよびページを構成できます。あるいは、異なるアプリケーションごとに別のログアウト機能を作成することもできます。

タスクの概要: ログアウトの構成とカスタマイズ

1. デフォルトのlogout.htmlを変更するか、新しいログアウト・ページを作成します。

   ファイル名には文字列「logout.」（「.」を含む）を含めます（logout.htmlやlogout.plなど）。ただし、logout.gifおよびlogout.jpgは除きます。

   このページは、セッションCookieとonLoadイベントを削除してボディ・タグでコードを実行するJavaScriptコードを含んでいる必要があります。次に例を示します。

   <body onLoad="delOblixCookie";>
   
   

2. 該当するすべてのWebサーバーで同じ相対パスにページを配置します。

   たとえば、SSOログアウトURLが/public/logout/logout.htmlである場合、このファイルはログアウト・リンクのあるすべてのページを含むWebサーバーに認識される必要があります。

3. 匿名認証スキームを使用するポリシーのあるログアウト・ページを保護して、誰でもアクセスできるようにします。

   これは、SSOログアウトURLおよびカスタムURLの場合に当てはまります。たとえば、SSOログアウトURLが/public/logout/logout.htmlである場合は、このリソースが/public、/public/logoutまたは/public/logout/logout.htmlで保護されるようにします。

4. 確実にOracle Access ManagerによってログアウトURLが認識されるようにします。

   複数のログアウト・ページを構成した場合は、WebGate用のログアウトURLパラメータに追加します。詳細は、「AccessGate構成パラメータ」を参照してください。

5. SSOログアウトURLを構成します。

   詳細は、「シングル・サインオン・ログアウトURLの構成」を参照してください。また、logoutURLsパラメータのURLのリストにSSOログアウトURLを追加する必要もあります。

6. そのURLを必要とするすべてのWebページで該当するログアウトURLのあるリンクを追加します。