SAML single logout

Security Assertion Markup Language (SAML) にはシングル ログアウト オプションがあり、ユーザーのすべての ID プロバイダー (IdP) セッションを確実に閉じることができます。

SAML single sign-on (SSO) を使用すると、1 回ログインするだけでよいので、それ以上ログイン プロンプトが表示されることなく複数の Web サイトにアクセスできます。これは便利ですが、危険を伴う可能性もあります。1 つ以上のセッションが確実に閉じられなかった場合、攻撃を受けやすくなります。SAML single logout を使用することでこの危険性を排除できます。

SAML single logout には次の 2 つの選択肢があります。

  • IdP によって開始されるログアウト
  • サービス プロバイダーによって開始されるログアウト
注: Qlik Sense では、サービス プロバイダーによって開始されるログアウトにのみ対応しています。

サービス プロバイダーによって開始されるシングル ログアウト

サービス プロバイダーによって開始されるシングル ログアウトの使用例は 2 つあります。セッションから自分でログアウトする場合と、セッションがタイム アウトになる場合です。

ユーザー ログアウト

ユーザー ログアウト ユース ケースで、[ログアウト] をクリックするなどして、頻繁にログアウトします。セッションは終了し、SAML single logout 要求が IdP に送信されます。 次に、IdP ではユーザーの IdP セッションを削除し、ログアウト応答をサービス プロバイダー (Qlik Sense) に送信します。Qlik Sense はその後ログアウト ページにリダイレクトします。

セッション タイムアウト

セッション タイムアウト ユース ケースでは、セッションがタイムアウトし、Web クライアントに通知され、SAML single logout リクエストが IdP に送信されます。 次に、IdP ではユーザーの IdP セッションを削除し、ログアウト応答をサービス プロバイダー (Qlik Sense) に送信します。Qlik Sense はその後ログアウト ページにリダイレクトします。

SAML single logout の有効化

Qlik SenseSAML single logout を有効化するには、ID プロバイダーがこれに対応しており、正しく構成されていることを確認します。例えば、一部の ID プロバイダーの場合には、証明書をアップロードする必要があります。証明書が必要な場合は、%ProgramData%\Qlik\Sense\Repository\Exported Certificates\.Local Certificates フォルダーにある server.pem 証明書を使用するか、サードパーティ証明書へのプロキシが構成されている場合にはそのような証明書を使用することをお勧めします。

アップグレード

Qlik Sense の以前のバージョンからアップグレードする場合、SAML single logout 用の IdP を設定する必要があります。

次の手順を実行します。

  1. 必ず SAML single logout に対応する IdP を設定してください。メタデータ ファイルには、Qlik Sense がログアウト要求を送信するログアウトの場所が含まれているはずです。

  2. 新しいメタデータを IdP からダウンロードします (通常は ID プロバイダーの Web ページから入手可能です)。

  3. 仮想プロキシの編集ページの [認証] セクションで、SAML IdP メタデータ ファイルに SAML single logout 用の設定を追加します。

  4. 同じページで [SAML single logout] を選択します。

  5. 新しいメタデータ ファイルをサービス プロバイダー (Qlik Sense) からダウンロードします。

  6. サービス プロバイダーのメタデータ ファイルを IdP にアップロードします。

  7. SSO の間に IdPNameID が送信されたことを確認します。例えば、Active Directory Federation Services (ADFS) では NameID を送信するための追加設定が必要です。

  8. IdP で証明書が必要な場合は、%ProgramData%\Qlik\Sense\Repository\Exported Certificates\.Local Certificates から入手可能な server.pem ファイルを使用します。例えば、OKTA でシングル ログアウトをアクティブにする場合は、サービス プロバイダーの証明書をアップロードする必要があります。

制限事項

  • プロキシ サーバーを再起動する場合、またはプロキシ設定を変更する場合は、Web クライアントでセッションが失われます。プロキシを再起動する場合、ログアウト要求を IdP に送信する方法はありません。その結果として、Web クライアントが自動的にログインします。これは、IdP セッションの有効期限が切れていない限り、まだ有効だからです。
  • プロキシから IdP に向けたログアウト要求は、SAML HTTP リダイレクト バインディングにのみ対応します。IdP から受信されるログアウト応答は、SAML HTTP リダイレクトおよび SAML HTTP POST バインディングの両方に対応します。