Edge UI からのシングル サインアウトを構成する

Edge for Private Cloud v4.19.01

デフォルトでは、ユーザーが Edge UI からログオフすると、そのユーザーのセッションの Cookie がすべてクリアされます。Cookie がクリアされると、次に Edge UI にアクセスするときに再度ログインが必要になります。シングル サインオンが実装されている環境では、シングル サインオンの認証情報により、他のサービスに引き続きアクセスできます。

ただし、ユーザーが 1 つのサービスからログアウトしたときに、他のすべてのサービスからもログアウトするようにしたい場合もあります。この場合、シングル サインオンをサポートするにように IDP を構成します。

IDP を構成するには、Edge UI に関する次の情報が必要です。

  • Edge UI のシングル ログアウトの URL: この URL の形式は次のとおりです。
    http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

    apigee-sso で TLS が有効になっている場合は、次の形式になります。

    https://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk
  • サービス プロバイダの発行元: Edge UI の値は apigee-saml-login-opdk です。
  • SAML IDP 証明書: Edge SSO のインストールと構成で、selfsigned.crt という名前の SAML IDP 証明書を作成し、/opt/apigee/customer/application/apigee-sso/saml/ に保存しました。IDP によっては、同じ証明書でシングル ログアウトを構成する必要があります。

たとえば、サービス プロバイダとして OKTA を使用している場合は、アプリケーションの SAML 設定で次の操作を行います。

  1. OKTA アプリケーションで [Show Advanced Settings] を選択します。
  2. [Allow application to initiate Single Logout] を選択します。
  3. 上記のように、Edge UI のシングル ログアウトの URL を入力します。
  4. SP の発行元(サービス プロバイダの発行元)を入力します。
  5. [Signature Certificate] で、/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt TLS 証明書をアップロードします。OKTA のこの情報は次の図のようになります。

  6. 設定を保存します。

次回ユーザーが Edge UI からログアウトすると、そのユーザーはすべてのサービスからログアウトされます。