ノート:

• このチュートリアルでは、Oracle Cloudへのアクセス権が必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
• Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントの値の例を使用します。演習を完了したら、これらの値をクラウド環境に固有の値に置き換えてください。

アプリケーション・ゲートウェイを使用したエンタープライズ・アプリケーションのログアウト・フローの更新

はじめに

組織がアイデンティティ・インフラストラクチャを最新化し、シングル・サインオン(SSO)を採用してクラウドおよびオンプレミス・アプリケーション間のアクセスを合理化すると、ログイン・エクスペリエンスに多くの注意が向けられます。しかし、セキュリティとユーザーの満足度の両方において重要な役割を果たす、見落としがちな別の側面があります。ログアウト・フローです。

アプリケーション・ゲートウェイによって保護されるアプリケーション、特にOracleのPeopleSoftアプリケーションや、ヘッダーベースの認証を使用するOracleのJD Edwards EnterpriseOneなどのエンタープライズ・アプリケーションの場合、ログアウト時のデフォルトの動作は直感的ではありません。ユーザーがサインアウトし、同じブラウザ・タブを使用して再度ログインしようとすると、アプリケーションに戻るのではなく、Oracle Cloud Infrastructure (OCI)コンソールにリダイレクトされます。この流れの崩壊は、混乱を引き起こし、ワークフローを混乱させ、システムの信頼性を低下させる可能性があります。

標準ドキュメントではSSO構成について説明していますが、ログアウト・フローなど、完全なユーザー・エクスペリエンスを考慮することも重要です。

完全に最適化されていないログアウト・エクスペリエンスでは、次のことが起こります。

• すべてのアクティブ・セッション(アイデンティティ・プロバイダとアプリケーション・レベルの両方)から完全にサインアウトされていないユーザー。

• レガシー・システムに残っているファントム・セッションが原因の混乱。

• 元のアプリケーションに戻るのではなく、OCIコンソールに送信されるなど、直感的なリダイレクト。

• カスタムブランドのシームレスなログアウト後のエクスペリエンスを提供する機会を逃しました。

• セッションからのセキュリティ・リスクが開放されたか、一貫性がなく終了しました。

特に、クラウドネイティブ・アプリケーションをレガシー・システムと組み合せるハイブリッド環境では、ログアウト動作を改善することは、洗練された一貫性のある安全なSSOジャーニーを実現するために不可欠です。

このチュートリアルでは、ログアウト・フローの改善に焦点を当てます。初期設定については、次を参照してください。

• OCI IAMアイデンティティ・ドメインを使用して、PeopleSoftアプリケーションのシームレス認証を構成します。

• Microsoft Entra IDを使用したIdentity and Access Managementを使用したJD Edwards EnterpriseOneシングル・サインオン

このチュートリアルでは、アプリケーション・ゲートウェイでSSOを使用する際のエンド・ユーザー・エクスペリエンスを大幅に改善できる、微妙で影響力のある構成を再検討します。また、標準のSSO設定を超えて、エンタープライズ・アプリケーション・ユーザー向けに、よりスムーズで一貫性のあるSSOエクスペリエンスを構築するための構成オプションも検討します。

アプリケーション・ゲートウェイ・ログアウトの仕組み

ユーザーは、2つの異なるメカニズム(アプリケーション・ゲートウェイのログアウトURLの使用とログアウト認証方式で保護されたリソースの使用)を使用して、アプリケーション・ゲートウェイで保護されたアプリケーションからログアウトすることができます。詳細は、アプリケーション・ゲートウェイのログアウトURL、またはログアウト認証メソッドで保護されているリソースのコールを参照してください。

• アプリケーション・ゲートウェイのログアウトURLの使用:

  このログアウト・エンドポイントでは、ユーザーのログアウト後のジャーニを調整するのに役立つ次のオプション・パラメータがサポートされます。

  • postlogouturl:このパラメータを使用して、ログアウト後にカスタム・ランディング・ページを定義します。URLはURLエンコードされている必要があります。指定しない場合、アプリケーション・ゲートウェイは、Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)セッション設定で構成されているデフォルトのログアウト・リダイレクトURLに戻ります。

  • state:コンテキスト情報を保持したり、ログアウト後の動作を管理するためにエンタープライズ・アプリケーションから渡すことができるオプションのパラメータ。これは、セッション遷移を追跡したり、ログアウト後にユーザーをインテリジェントにリダイレクトする必要がある場合に特に役立ちます。

• ログアウト認証方式で保護されたリソースの使用:

  専用リソースを作成し、「フォーム+ログアウト」認証方法で構成された認証ポリシーを適用することで、エンタープライズ・アプリケーションのログアウト・フローを強化できます。この特別に保護されたリソースにユーザーがアクセスすると、アプリケーション・ゲートウェイによってログアウト・プロセスが自動的にトリガーされ、OCI IAMアイデンティティ・ドメインによって管理されるSSOセッションからユーザーがログアウトされます。

  このアプローチにより、ログアウト機能をアプリケーションのナビゲーションまたはユーザー・インタフェースにシームレスに統合でき、外部リダイレクトURLや手動トークンの無効化に依存することなく、セッションからのスムーズで安全な移行が可能になります。

  様々なエンタープライズ・アプリケーションでこれらの設定がどのように機能するかを見て、エンド・ユーザーのSSOエクスペリエンス全体を強化しましょう。

目的

• アプリケーション・ゲートウェイのログアウト構成を最適化して、シームレスなSSOエクスペリエンスを実現します。

  • アプリケーション・ゲートウェイのログアウトの仕組みの理解

    • JD Edwards EnterpriseOneに最適なアプリケーション・ゲートウェイ・ログアウトURLを使用します。

    • PeopleSoftに最も適したログアウト認証方式で保護されたリソースを使用します。

    • アプリケーション・ゲートウェイによって保護されるアプリケーションのログアウト動作をカスタマイズします。

    • ログアウト後にユーザーをアプリケーションにリダイレクトします。

    • レガシー・システムと最新のアイデンティティ・プロバイダ間のセッション処理を改善します。

前提条件

• OCIテナンシへのアクセス。

• Oracle Apps Premiumタイプのアイデンティティ・ドメインとそのアカウントの管理。

• 有効なSSL証明書を持つPeopleSoftおよびJD Edwards EnterpriseOne SSO対応インスタンス。

• PeopleSoftおよびJD Edwards EnterpriseOneへのSSOアクセス権を持つユーザーおよび必要な権限。

タスク1: アプリケーション・ゲートウェイ保護アプリケーションからのログアウトの構成

オプション1: アプリケーション・ゲートウェイ・ログアウトURLを使用したJD Edwards EnterpriseOneのSSOエクスペリエンスの強化

このオプションでは、JD Edwards EnterpriseOneのアプリケーション・ゲートウェイのログアウト設定の更新に焦点を当てています。

1. JD Edwards EnterpriseOne Server Managerコンソールにログインします。

   

2. 「インスタンスの選択…」にナビゲートし、「EnterpriseOne HTMLサーバー」を選択します。

   

3. 「構成」にナビゲートし、「表示」として「詳細」を選択し、「セキュリティ」をクリックします。

   

4. 「Oracle Access Managerの有効化」を選択し、次の形式でOracle Access ManagerのサインオフURLを更新します。

   http(s)://<appgateway_host>:<appgateway_port>/cloudgate/logout.html?postlogouturl=<url_encoded>&state=<state_value>
   

   

5. 「適用」をクリックすると、構成が保存されます。

6. 「停止」および「JASサーバーの起動」をクリックして、JD Edwards EnterpriseOneサーバーを再起動します。

7. アプリケーション・ゲートウェイを再起動し、ログアウト・フローをテストします。

オプション2: ログアウト認証方式で保護されたリソースを使用して、PeopleSoftのSSOエクスペリエンスを強化する

このオプションでは、PeopleSoftのSSOエクスペリエンスを強化するために、ログアウト認証方法によって保護されるリソースに焦点を当てています。アプリケーション・ゲートウェイを使用してPeopleSoft SSOを構成する方法の詳細は、OCI IAMアイデンティティ・ドメインを使用したPeopleSoftアプリケーションのシームレス認証の構成を参照してください。

ノート:アプリケーション・ゲートウェイを使用して、SSO用にOCI IAMを使用してPeopleSoftを正常に構成したとします。このセクションは、ログアウト構成の追加専用です。

1. SSO設定時に構成されたPeopleSoftインスタンスのエンタープライズ・アプリケーションに移動します。

   「アイデンティティとセキュリティ」、「ドメイン」にナビゲートし、ドメインを選択し、「統合アプリケーション」をクリックして、PeopleSoftのエンタープライズ・アプリケーションを選択します。

   

   

   ノート: Enterprise Application for PeopleSoftの名前は異なる場合があります。これは、PeopleSoftのSSO設定時に作成した名前になります。

2. 「SSO構成」および「SSO構成を編集」をクリックします。

   

3. 「SSO構成の編集」で、「ログアウト」の「リソースの追加」をクリックし、次の情報を入力して「リソースの追加」をクリックします。

   • リソース名: logoutと入力します。
   • リソースURL:アプリケーションURLの形式でリソースURLを入力します。
   • URL問合せ文字列: cmd=logoutと入力します。
   • 「正規表現の使用」を選択します。

   

4. 同様に、PSC Logout URLのログアウト・リソースをもう1つ作成します。

   

5. ここで、「期限切れ」の「リソースの追加」をクリックし、次の情報を入力して「リソースの追加」をクリックします。

   • リソース名: PSP Expireと入力します。
   • リソースURL:アプリケーションURLの形式でリソースURLを入力します。
   • URL問合せ文字列: cmd=expireと入力します。
   • 「正規表現の使用」を選択します。

   

6. 同様に、PSC Expireに対してもう1つの「リソースの期限切れ」を作成します。

   

7. ここで、作成したリソースの認証ポリシーを追加し、「リソース」の下のログアウト・リソースを選択し、「認証方法」の下の「フォーム+ログアウト」を選択します。「サインアウト後のURL」で、PeopleSoftランディング・ページURLを追加します。

   

   ノート:次のリソースについてもステップ7に従います。

   • PeopleSoftコンポーネント(PSC)ログアウトリソース
   • PeopleSoft Portal (PSP)リソースの期限切れ
   • PSC生産資源の失効

8. 「認証ポリシー」リストで、これらの作成済リソースをすべて高い優先度に移動します。順序は、最後に「ログアウト」、「期限切れ」、pscおよび「デフォルト」リソースである必要があります。

   

9. 「停止」および「PeopleSoftサーバーの起動」をクリックして、PeopleSoftサーバーを再起動します。

10. アプリケーション・ゲートウェイを再起動し、ログアウト・フローをテストします。

タスク2: ログアウト用のOCI IAMセッション設定の構成

この設定は、前述の構成とは独立して機能し、特にOCI IAM内のサインアウト・エクスペリエンスを管理します。このオプションは、ユースケースに単一のエンタープライズ・アプリケーションが含まれている場合、またはすべてのユーザーがサインアウト時に、統一された会社のランディング・ページに一貫してリダイレクトされるようにする場合にのみ有効にすることをお薦めします。これにより、シームレスでブランド化された終了エクスペリエンスが保証されます。

1. OCIコンソールに移動し、「アイデンティティとセキュリティ」、「ドメイン」に移動して、ドメインを選択します。「設定」を選択し、「セッション設定」をクリックします。

   

2. サインアウトURLを、すべてのユーザーが正常にサインアウトした後にリダイレクトするランディング・ページに更新し、「変更の保存」をクリックします。

   

タスク3: カスタム・リダイレクトを使用したユーザー・オンボーディングの処理

多くの組織でよく見られるパターンは、特に新規ユーザーが初めてパスワードをリセットまたは設定するときに、ユーザー・オンボーディング・エクスペリエンスを合理化する必要があることです。デフォルトでは、ユーザーが同じブラウザ・タブでこれらのアクションを完了すると、OCI IAMに「サインインを続行」オプションが表示され、/myconsoleランディング・ページにリダイレクトされます。

ただし、多くのエンタープライズ環境では、エンド・ユーザーを/myconsoleインタフェースに公開する必要はありません。かわりに、これらの組織は、ユーザーがクリーン・セッションで開始し、サービス・プロバイダ(SP)が開始するSSOフローを使用して特定のエンタープライズ・アプリケーション・ランディング・ページに直接移動することを希望することがよくあります。

このプリファレンスをサポートするために、OCI IAMでは「サインインを続行」オプションを非表示にできるようになりました。この設定を有効にすると、パスワード設定やリセットなどのオンボーディング・ステップを完了しているユーザーには、「サインインを続行」オプションが表示されなくなります。これにより、これらのステップの完了後、ユーザーは/myconsoleにリダイレクトされませんが、かわりに組織のSSOエントリ・ポイントに合せた新しいセッションを開始できます。

この構成により、オンボーディング・エクスペリエンスが向上し、不要なリダイレクトを行わずに、ユーザーが意図したアプリケーションおよび環境に誘導されるようになります。

OCI IAMで「サインインを続行」オプションを無効にするステップに従います:

1. OCIコンソールに移動し、「アイデンティティとセキュリティ」、「ドメイン」に移動して、ドメインを選択し、「ブランディング」をクリックします。

   

2. 「カスタム・ブランディング」、「サインインを続行」ボタンの非表示」を選択し、OCI IAMランディング・ページで他の設定を更新してルック・アンド・フィールをカスタマイズし、「変更の保存」をクリックします。

   

関連リンク

• アプリケーション・ゲートウェイ・ログアウトの仕組み

• OCI IAMアイデンティティ・ドメインを使用して、PeopleSoftアプリケーションのシームレス認証を構成します。

• Microsoft Entra IDを使用したIdentity and Access Managementを使用したJD Edwards EnterpriseOneシングル・サインオン

確認

• 作成者 - Chetan Soni (シニア・クラウド・エンジニア)

その他の学習リソース

docs.oracle.com/learnで他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。

---

タイトルおよび著作権情報

Update the Logout Flow of the Enterprise Application using App Gateway

G36700-01

Copyright ©2025, Oracle and/or its affiliates.