シングル・ログアウト

IDプロバイダでサポートされている場合、SAMLシングル・ログアウト(SLO)を設定できます。シングル・ログアウトはSAML 2.0でのみサポートされています。

ユーザーがログアウトを開始すると、IDプロバイダにより、現在のIDプロバイダ・ログイン・セッション内のすべてのアプリケーションからユーザーがログアウトされます。ログアウトは、サービス・プロバイダが開始することも、IDプロバイダが開始することもできますが、ご使用のIDプロバイダでこれら両方の方法がサポートされていない場合があります。Oracle Eloquaでは、サービス・プロバイダにより開始されるログアウトとIDプロバイダにより開始されるログアウトがサポートされます。

注意: Oracle Eloquaでは、Oracle Eloqua Identity Cloud Service for Salesforce.comによるシングル・ログアウトはサポートしていません。

SLOの要件

シングル・ログアウトを有効にする場合、次の要件があります。

  • シングル・サインオンを有効にし、IDプロバイダを設定している必要があります。すべてのユーザーに対してシングル・サインオンを有効にする前に、シングル・ログアウトを構成することをお薦めします。SAML準拠のIDプロバイダを使用したSSOの詳細を参照してください。
  • IDプロバイダでシングル・ログアウトがサポートされている必要があります。すべてのIDプロバイダでシングル・ログアウトがサポートされているわけではありません。シングル・ログアウトはSAML 2.0でのみサポートされています。Oracle Eloquaでは、Oracle Eloqua Identity Cloud Service for Salesforce.comによるシングル・ログアウトはサポートしていません。
  • IDプロバイダのSAMLメタデータのLocation属性およびResponseLocation属性で、同じログアウトURLが使用されている必要があります。SAML仕様ではこれらの属性に異なる値を指定できますが、Oracle Eloquaではこれはサポートされません。 
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" 
     Location="http://example.example.com:8080/openam/IDPSloRedirect/metaAlias/idp" 
     ResponseLocation="http://example.example.com:8080/openam/IDPSloRedirect/metaAlias/idp" />
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" 
     Location="http://example.example.com:8080/openam/IDPSloPOST/metaAlias/idp"
     ResponseLocation="http://example.example.com:8080/openam/IDPSloPOST/metaAlias/idp" />
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" 
     Location="http://example.example.com:8080/openam/IDPSloSoap/metaAlias/idp" />
  • 件名の名前識別子でユーザーを識別するようにIDプロバイダが構成されている必要があります。Oracle Eloquaは、この場所のユーザーIDのみを受け入れます。IDプロバイダが属性値でユーザーを識別している場合、シングル・ログアウトは機能しません。詳細は、IDプロバイダの設定を参照してください。
    <saml:Subject>
	<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:persistent">
	_ce3d2948b4cf20146dee0a0b3dd6f69b6cf86f62d7
	</saml:NameID>
	...
</saml:Subject>

SLOによるユーザー・ログアウト

シングル・ログアウトが有効な場合、IDプロバイダまたはサービス・プロバイダがログアウトを開始できます。

Oracle Eloquaがログアウトを開始する場合の処理を次に示します。

  1. Oracle Eloquaから、ユーザーが「ログアウト」をクリックします。
  2. Oracle Eloquaのシングル・サインオン・セッションからユーザーがログアウトされます。
  3. Oracle Eloquaにより、ログアウト要求SAMLメッセージが生成されます。
  4. ブラウザが、要求に含まれるIDプロバイダのログアウトURLにリダイレクトします。
  5. IDプロバイダにより、このセッションでユーザーが現在ログインしている他のサービス・プロバイダがないかが判別されます。
  6. サービス・プロバイダごとに、IDプロバイダによりログアウト要求が生成され、ブラウザがサービス・プロバイダのログアウトURLにリダイレクトします。
  7. IDプロバイダからのログアウト要求を検証すると、各サービス・プロバイダは独自のログイン・セッションを終了します。
  8. 次にIDプロバイダが独自のログイン・セッションを終了し、ログアウト・レスポンス・メッセージをOracle Eloquaに送信します。

開始

シングル・ログアウトの有効化

シングル・ログアウト構成のテスト

関連項目

Oracle EloquaでのIDプロバイダの作成

SAML準拠のIDプロバイダを使用したSSO

SSOユーザーのログアウト時のカスタムURLへのリダイレクト