Nota
- Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriversi a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
- Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Quando completi il tuo laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.
Aggiornare il flusso di logout di un'applicazione enterprise utilizzando il gateway applicazioni
Introduzione
Man mano che le organizzazioni modernizzano la propria infrastruttura di identità e adottano Single Sign-On (SSO) per semplificare l'accesso tra applicazioni cloud e on-premise, molta attenzione viene rivolta all'esperienza di login. Ma c'è un altro aspetto, spesso trascurato, che svolge un ruolo fondamentale sia nella sicurezza che nella soddisfazione dell'utente: il flusso di logout.
Per le applicazioni protette da App Gateway, in particolare le applicazioni aziendali come le applicazioni PeopleSoft di Oracle e JD Edwards EnterpriseOne di Oracle che utilizzano l'autenticazione basata su intestazioni, il comportamento predefinito al momento del logout può sembrare intuitivo. Quando un utente si disconnette e tenta di eseguire di nuovo il login utilizzando la stessa scheda del browser, viene reindirizzato alla console di Oracle Cloud Infrastructure (OCI) anziché essere restituito all'applicazione. Questa interruzione del flusso può causare confusione, interrompere i flussi di lavoro e ridurre la fiducia nell'affidabilità del sistema.
La documentazione standard copre la configurazione SSO, ma è anche fondamentale considerare l'esperienza utente completa, incluso il flusso di logout.
Un'esperienza di logout non completamente ottimizzata può portare a:
-
Utenti che non hanno eseguito la disconnessione completa da tutte le sessioni attive (sia a livello di provider di identità che di applicazione).
-
Confusione causata da sessioni fantasma persistenti nei sistemi legacy.
-
Reindirizzi non intuitivi, ad esempio l'invio a OCI Console invece di tornare all'applicazione originale.
-
Opportunità perse per offrire un'esperienza post-logout personalizzata e senza interruzioni.
-
Rischi per la sicurezza derivanti da sessioni lasciate aperte o terminate in modo incoerente.
Affinare il comportamento di logout è essenziale per offrire un percorso SSO lucido, coerente e sicuro, soprattutto in ambienti ibridi che combinano applicazioni cloud native con sistemi legacy.
Questa esercitazione si concentra sul miglioramento del flusso di logout. Per l'impostazione iniziale, vedere:
In questo tutorial, rivisitiamo una configurazione sottile ma di impatto che può migliorare in modo significativo l'esperienza dell'utente finale quando si utilizza SSO con App Gateway. Inoltre, andremo oltre l'impostazione SSO standard ed esploreremo le opzioni di configurazione per creare un'esperienza SSO più fluida e coerente per gli utenti delle applicazioni aziendali.
Funzionamento del logout del gateway applicazioni
Gli utenti possono eseguire il logout dalle applicazioni protette da Gateway applicazioni utilizzando due meccanismi diversi: Utilizzo dell'URL di logout di Gateway applicazioni e Utilizzo delle risorse protette dal metodo di autenticazione di logout. Per ulteriori informazioni, vedere URL di logout del gateway applicazioni o chiamando una risorsa protetta da un metodo di autenticazione di logout.
-
Usa URL logout gateway applicazioni:
Questo endpoint di logout supporta i parametri facoltativi riportati di seguito, che consentono di personalizzare il percorso successivo al logout dell'utente.
-
postlogouturl
: utilizzare questo parametro per definire una pagina di arrivo personalizzata dopo il logout. L'URL deve essere codificato tramite URL. Se non viene fornito, il gateway applicazioni tornerà all'URL di reindirizzamento di logout predefinito configurato nelle impostazioni di sessione di Oracle Cloud Infrastructure Identity and Access Management (OCI IAM). -
state
: parametro facoltativo che può essere passato dall'applicazione enterprise per conservare le informazioni contestuali o gestire il comportamento successivo al logout. Ciò è particolarmente utile per le applicazioni che devono tenere traccia delle transizioni di sessione o reindirizzare gli utenti in modo intelligente dopo il logout.
-
-
Usa risorsa protetta dal metodo di autenticazione di logout:
È possibile migliorare il flusso di logout dell'applicazione enterprise creando una risorsa dedicata e applicando un criterio di autenticazione configurato con il metodo di autenticazione Form + Logout. Quando un utente accede a questa risorsa appositamente protetta, il gateway applicazioni attiva automaticamente il processo di logout, disconnettendo l'utente dalla sessione SSO gestita dal dominio di Identity IAM OCI.
Questo approccio consente di integrare perfettamente la funzionalità di logout nella navigazione o nell'interfaccia utente dell'applicazione, garantendo una transizione fluida e sicura fuori dalla sessione, senza fare affidamento su URL di reindirizzamento esterni o invalidazione manuale del token.
Vediamo ora come funzionano queste impostazioni per diverse applicazioni aziendali per migliorare l'esperienza SSO complessiva per gli utenti finali.
Obiettivi
-
Ottimizza le configurazioni di logout del gateway applicazioni per un'esperienza SSO trasparente.
-
Comprendere il funzionamento del logout del gateway applicazioni.
-
Utilizza l'URL di logout del gateway applicazioni più adatto per JD Edwards EnterpriseOne.
-
Utilizzare la risorsa protetta dal metodo di autenticazione di logout più adatta per PeopleSoft.
-
Personalizza il comportamento di logout per le applicazioni protette da Gateway applicazioni.
-
Reindirizzare gli utenti all'applicazione dopo il logout.
-
Migliora la gestione delle sessioni tra sistemi legacy e provider di identità moderni.
-
-
Prerequisiti
-
Accesso a una tenancy OCI.
-
Dominio di identità di tipo Oracle Apps Premium e relativo account di amministrazione.
-
Istanza SSO PeopleSoft e JD Edwards EnterpriseOne abilitata con un certificato SSL valido.
-
Un utente con accesso SSO a PeopleSoft e JD Edwards EnterpriseOne e ai privilegi richiesti.
Task 1: Configurare il logout dall'applicazione protetta del gateway applicazioni
Opzione 1: utilizzare l'URL di logout di Gateway applicazioni per migliorare l'esperienza SSO per JD Edwards EnterpriseOne
In questa opzione, ci stiamo concentrando sull'aggiornamento dell'impostazione di logout del gateway applicazioni in JD Edwards EnterpriseOne.
-
Eseguire il login a JD Edwards EnterpriseOne Server Manager Console.
-
Passare a Seleziona istanza... e selezionare EnterpriseOne HTML Server.
-
Passare a Configurazione, selezionare Avanzate come Visualizza e fare clic su Sicurezza.
-
Selezionare Abilita Oracle Access Manager e aggiornare URL di approvazione di Oracle Access Manager nel seguente formato:
http(s)://<appgateway_host>:<appgateway_port>/cloudgate/logout.html?postlogouturl=<url_encoded>&state=<state_value>
-
Fare clic su Applica per salvare la configurazione.
-
Fare clic su Arresta e Avviare il server JAS per riavviare il server JD Edwards EnterpriseOne.
-
Riavviare il gateway applicazioni ed eseguire il test del flusso di logout.
Opzione 2: utilizzare la risorsa protetta dal metodo di autenticazione di logout per migliorare l'esperienza SSO per PeopleSoft
In questa opzione, ci stiamo concentrando sulla risorsa protetta dal metodo di autenticazione di logout per migliorare l'esperienza SSO per PeopleSoft. Per ulteriori informazioni su come configurare SSO PeopleSoft utilizzando il gateway applicazioni, vedere Configurare l'autenticazione trasparente per le applicazioni PeopleSoft utilizzando i domini di Identity OCI IAM.
Nota: si presuppone che la configurazione di PeopleSoft con OCI IAM per SSO sia riuscita mediante il gateway applicazioni. Questa sezione è dedicata all'aggiunta di configurazioni di logout.
-
Andare all'istanza di Enterprise Application for PeopleSoft configurata durante l'impostazione SSO.
Andare a Identità e sicurezza, Domini, selezionare il dominio, fare clic su Applicazioni integrate e selezionare l'applicazione enterprise per PeopleSoft.
Nota: il nome dell'applicazione enterprise per PeopleSoft può variare, sarà il nome con cui è stata creata durante l'impostazione SSO per PeopleSoft.
-
Fare clic su Configurazione SSO e su Modifica configurazione SSO.
-
In Modifica configurazione SSO fare clic su Aggiungi risorsa per Logout, immettere le informazioni riportate di seguito e fare clic su Aggiungi risorsa.
- Nome risorsa: immettere
logout
. - URL risorsa: immettere l'URL della risorsa nel formato dell'URL dell'applicazione.
- Stringa query URL: immettere
cmd=logout
. - Selezionare Usa espressioni regex.
- Nome risorsa: immettere
-
Creare in modo simile un'altra risorsa di logout per l'URL
PSC Logout
. -
A questo punto, fare clic su Aggiungi risorsa per Scadenza, immettere le seguenti informazioni e fare clic su Aggiungi risorsa.
- Nome risorsa: immettere
PSP Expire
. - URL risorsa: immettere l'URL della risorsa nel formato dell'URL dell'applicazione.
- Stringa query URL: immettere
cmd=expire
. - Selezionare Usa espressioni regex.
- Nome risorsa: immettere
-
Creare in modo analogo un'altra Risorsa scadenza per
PSC Expire
. -
Aggiungere ora il criterio di autenticazione per la risorsa creata, selezionare la risorsa di logout in Risorse e Form + Logout in Metodo di autenticazione. In URL dopo la disconnessione aggiungere l'URL della pagina di arrivo PeopleSoft.
Nota: seguire il passo 7 anche per le risorse riportate di seguito.
- Risorsa di logout del componente PeopleSoft (PSC)
- Risorsa scadenza PeopleSoft Portal (PSP)
- Risorsa scadenza PSC
-
Spostare tutte queste risorse create a una priorità più alta nella lista Criteri di autenticazione. L'ordine deve essere costituito da risorse Logout e Scadenza, quindi da risorse
psc
e Predefinite. -
Fare clic su Arresta e su Avvia server PeopleSoft per riavviare il server PeopleSoft.
-
Riavviare il gateway applicazioni ed eseguire il test del flusso di logout.
Task 2: Configurare le impostazioni della sessione IAM OCI per il logout
Questa impostazione funziona in modo indipendente dalle configurazioni menzionate in precedenza e gestisce in modo specifico l'esperienza di scollegamento all'interno di OCI IAM. Si consiglia di abilitare questa opzione solo quando il caso d'uso coinvolge una singola applicazione aziendale o quando si desidera che tutti gli utenti, al momento della disconnessione, siano costantemente reindirizzati a una pagina di destinazione aziendale unificata, garantendo un'esperienza di uscita senza interruzioni e con brand.
-
Andare alla console OCI, andare a Identità e sicurezza, Domini e selezionare il dominio. Selezionare impostazioni e fare clic su Impostazioni sessione.
-
Aggiornare l'URL di disconnessione in una pagina di arrivo in cui si desidera che tutti gli utenti vengano reindirizzati dopo aver eseguito correttamente la disconnessione e fare clic su Salva modifiche.
Task 3: Gestisci inserimento utente con reindirizzamenti personalizzati
Un modello comune che abbiamo osservato in molte organizzazioni è la necessità di semplificare l'esperienza di onboarding degli utenti, in particolare quando i nuovi utenti reimpostano o impostano le loro password per la prima volta. Per impostazione predefinita, quando gli utenti completano queste azioni nella stessa scheda del browser, OCI IAM presenta un'opzione Continua accesso, reindirizzandole alla pagina di arrivo /myconsole
.
Tuttavia, per molti ambienti aziendali, l'esposizione degli utenti finali all'interfaccia /myconsole
non è né necessaria né ideale. Queste organizzazioni preferiscono invece che gli utenti inizino in una sessione pulita e vengano indirizzati direttamente a una pagina di destinazione dell'applicazione enterprise specifica utilizzando un flusso SSO avviato da un provider di servizi (SP).
Per supportare questa preferenza, OCI IAM ora offre la possibilità di nascondere l'opzione Continua accesso. Quando questa impostazione è abilitata, gli utenti che completano i passi di formazione iniziale, ad esempio l'impostazione o la reimpostazione della password, non vedranno più l'opzione Continua accesso. Ciò garantisce che, dopo aver completato questi passi, gli utenti non vengano reindirizzati a /myconsole
, ma possano invece avviare una nuova sessione allineata al punto di accesso SSO dell'organizzazione.
Questa configurazione migliora l'esperienza di onboarding e garantisce che gli utenti vengano indirizzati alle applicazioni e agli ambienti previsti senza reindirizzamenti non necessari.
Attenersi alla procedura per disabilitare l'opzione Continua accesso in IAM OCI:
-
Andare alla console OCI, andare a Identità e sicurezza, Domini, selezionare il dominio e fare clic su Branding.
-
Selezionare Branding personalizzato, Nascondi pulsante Continua accesso, è possibile aggiornare le altre impostazioni e personalizzare l'aspetto nella pagina di arrivo OCI IAM, quindi fare clic su Salva modifiche.
Collegamenti correlati
Conferme
- Autore - Chetan Soni (ingegnere senior cloud)
Altre risorse di apprendimento
Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.
Per la documentazione del prodotto, visitare Oracle Help Center.
Update the Logout Flow of the Enterprise Application using App Gateway
G36699-01
Copyright ©2025, Oracle and/or its affiliates.