メイン コンテンツをスキップする 補完的コンテンツへスキップ

SAML シングル ログアウト

Security Assertion Markup Language (SAML)  にはシングル ログアウト オプションがあり、ユーザーのすべての ID プロバイダー (IdP) セッションを確実に閉じることができます。

SAML シングル サインオン (SSO) を使用すると、1 回ログインするだけでよいので、それ以上ログイン プロンプトが表示されることなく複数の Web サイトにアクセスできます。これは便利ですが、危険を伴う可能性もあります。1 つ以上のセッションが確実に閉じられなかった場合、攻撃を受けやすくなります。SAML シングル ログアウト を使用することでこの危険性を排除できます。

SAML シングル ログアウト には次の 2 つの選択肢があります。

  • IdP によって開始されるログアウト
  • サービス プロバイダーによって開始されるログアウト
情報メモQlik Sense では、 サービス プロバイダーによって開始されるログアウトにのみ対応しています。

サービス プロバイダーによって開始されるシングル ログアウト

サービス プロバイダーによって開始されるシングル ログアウトの使用例は 2 つあります。セッションから自分でログアウトする場合と、セッションがタイム アウトになる場合です。

ユーザー ログアウト

ユーザー ログアウト ユース ケースで、[ログアウト] をクリックするなどして、頻繁にログアウトします。 セッションは終了し、SAML シングル ログアウト 要求が IdP に送信されます。 次に、IdP ではユーザーの IdP セッションを削除し、ログアウト応答をサービス プロバイダー (Qlik Sense) に送信します。Qlik Sense はその後ログアウト ページにリダイレクトします。

セッション タイムアウト

セッション タイムアウト ユース ケースでは、セッションがタイムアウトし、Web クライアントに通知され、SAML シングル ログアウト リクエストが IdP に送信されます。 次に、IdP ではユーザーの IdP セッションを削除し、ログアウト応答をサービス プロバイダー (Qlik Sense) に送信します。Qlik Sense はその後ログアウト ページにリダイレクトします。

SAML シングル ログアウト の有効化

Qlik SenseSAML シングル ログアウト を有効化するには、ID プロバイダーがこれに対応しており、正しく構成されていることを確認します。例えば、一部の ID プロバイダーの場合には、証明書をアップロードする必要があります。証明書が必要な場合は、%ProgramData%\Qlik\Sense\Repository\Exported Certificates\.Local Certificates フォルダーにある server.pem 証明書を使用するか、サードパーティ証明書へのプロキシが構成されている場合にはそのような証明書を使用することをお勧めします。

アップグレード

Qlik Sense の以前のバージョンからアップグレードする場合、SAML シングル ログアウト 用の IdP を設定する必要があります。

  1. 必ず SAML シングル ログアウト に対応する IdP を設定してください。メタデータ ファイルには、Qlik Sense がログアウト要求を送信するログアウトの場所が含まれているはずです。

  2. 新しいメタデータを IdP からダウンロードします (通常は ID プロバイダーの Web ページから入手可能です)。

  3. 仮想プロキシの編集ページの [認証] セクションで、SAML IdP メタデータ ファイルに SAML シングル ログアウト 用の設定を追加します。

  4. 同じページで [SAML シングル ログアウト] を選択します。

  5. 新しいメタデータ ファイルをサービス プロバイダー (Qlik Sense) からダウンロードします。

  6. サービス プロバイダーのメタデータ ファイルを IdP にアップロードします。

  7. SSO の間に IdPNameID が送信されたことを確認します。例えば、Active Directory Federation Services (ADFS) では NameID を送信するための追加設定が必要です。

  8. QMC > [仮想プロキシ] からダウンロードしたサービス プロバイダーのメタデータ ファイルから証明書を抽出します。関連する仮想プロキシの [SP メタデータのダウンロード] をクリックします。

  9. ファイル内のタグ <X509Certificate></ X509Certificate> の間にある証明書をコピーします。

  10. 新しいファイルで、ファイルの最初に -----BEGIN CERTIFICATE----- を追加し、ファイルの最後に -----END CERTIFICATE----- を追加します。

  11. 拡張子が .pem または .crt のファイルを保存します。

制限事項

  • プロキシ サーバーを再起動する場合、またはプロキシ設定を変更する場合は、Web クライアントでセッションが失われます。プロキシを再起動する場合、ログアウト要求を IdP に送信する方法はありません。その結果として、Web クライアントが自動的にログインします。これは、IdP セッションの有効期限が切れていない限り、まだ有効だからです。
  • プロキシから IdP に向けたログアウト要求は、SAML HTTP リダイレクト バインディングにのみ対応します。IdP から受信されるログアウト応答は、SAML HTTP リダイレクトおよび SAML HTTP POST バインディングの両方に対応します。

このページは役に立ちましたか?

このページまたはコンテンツに、タイポ、ステップの省略、技術的エラーなどの問題が見つかった場合は、お知らせください。改善に役立たせていただきます。