コンテンツまでスキップ

【Okta】Adaptive MFA で管理者による Universal Logout 機能が利用可能になりました

Picture of yuki

はじめに

ネクストモードのゆきなわです。

Okta (Okta Workforce Identity) を利用する上で、ユーザーセッションの管理はセキュリティ上非常に重要です。特に、不審なアクティビティが検知された場合や、端末の紛失時などに、迅速にすべてのセッションを強制的に終了させたいというニーズは少なくありません。

これまで Okta の Universal Logout(ユニバーサル・ログアウト)機能は、Identity Threat Protection など一部の SKU でのみ利用可能でしたが、この度、ついに Adaptive MFA のライセンスでも管理者コンソール (Okta Admin Console) 上から実行できるようになりました。

 

 

本記事では Universal Logout に対応したアプリケーションである Google Workspace を使い、早速 Universal Logout を試してみました。

Adaptive MFA の Universal Logout 機能

Universal Logout は、管理者または Okta システムが、ユーザーの Okta セッションに加え、連携しているアプリケーション (SAML や OIDC) のセッションや発行済みのトークンまで無効化できる強力な機能です。

これまでの Adaptive MFA では、管理コンソールから Okta のセッションをクリアすることはできましたが、連携先のアプリケーションセッションまでは終了させることができず、セキュリティ上の懸念が残っていました。

今回  Adaptive MFA で Universal Logout が利用可能になったことで、管理者は疑わしいユーザーのセッションを検知した際に、Okta および連携する全てのアプリケーションから即座にユーザーをログアウトさせ、不正アクセスのリスクを低減できるようになります。

対応アプリケーション

Universal Logout に対応するアプリケーションについては、以下の Okta 公式ドキュメントをご参照ください。


制約

本機能にはレート制限が設けられており、1分間に3ユーザーまでの実行が可能です。多数のユーザーに対して一度に実行する必要がある場合はご注意ください。また、脅威検知時の自動ログアウトなど、より高度かつプロアクティブなセキュリティ機能が必要な方は、Okta Identity Threat Protection の導入をご検討ください。

設定手順

管理者起点の Universal Logout を利用するには、対象のアプリケーションで設定を有効にする必要があります。今回は Google Workspace を例に、以下の手順に従って設定を行います。

  1. Okta 管理コンソールにログインし、左メニューより [アプリケーション] > [アプリケーション]  を開きます。

  2. 作成済みの Google Workspace アプリを開きます。SAML による SSO 連携は設定済みとします。

  3. [サインオン] タブを開きます。

  4. [ログアウト] セクションの [編集] をクリックします。

  5. [Oktaシステムまたは管理者がログアウトを開始する] にチェックを入れ、[アカウントを接続] をクリックします。

    settings-okta-universal-logout-amfa1

  6. [接続] をクリックし、Google Workspace の管理者アカウントで認証を行います。

    settings-okta-universal-logout-amfa2

  7. アカウントが接続されます。[保存] をクリックして設定は完了です。

    settings-okta-universal-logout-amfa3

動作確認

それでは Universal Logout 機能を試してみます。

  1. 【ユーザー画面】一般ユーザーで Google Workspace にログインします。アプリ画面が表示されます。

    testing-okta-universal-logout-amfa1

  2. 【管理者画面】[ディレクトリ] > [ユーザー] から、対象となるユーザーを検索し、プロファイルページを開きます。

  3. 【管理者画面】[その他のアクション] ドロップダウンメニューをクリックします。

  4. 【管理者画面】[ユーザーセッションを消去] を選択します。

    testing-okta-universal-logout-amfa2

  5. 【管理者画面】[ログアウトが有効なアプリとOkta APIトークンも含める] にチェックを入れ、[クリアと失効] をクリックします。

    testing-okta-universal-logout-amfa3

    この操作により、対象ユーザーの Okta セッションがクリアされ、Universal Logout が設定されたアプリケーションのセッションも同時に終了されます。

  6. 【ユーザー画面】この時点でアプリ画面をリロードすると、Google Workspace の本人確認が求められる状態に遷移します。[次へ] をクリックします。

    testing-okta-universal-logout-amfa4

    Okta の画面に遷移し、セッションが取り消されたことが確認できます。[再度サインインする] をクリックすると、Okta のサインイン画面に遷移します。

    testing-okta-universal-logout-amfa5

以上で管理者の操作を起点とした Universal Logout の動作が確認できました。

操作が成功したかどうかは、[レポート] > [System Log] から確認できます。 user.authentication.universal_logout.scheduled イベントに続き、 user.session.universal_logout イベントが出力されていれば、正常に実行されています。

testing-okta-universal-logout-amfa6

まとめ

管理者による Universal Logout 機能が Adaptive MFA で利用可能になったことは、多くの Okta 管理者にとって朗報ではないでしょうか。

この機能により、インシデント発生時の対応がより迅速かつ確実になり、組織全体のセキュリティレベルを向上させることができます。設定も簡単なので、Adaptive MFA をご利用のお客様は、ぜひ Universal Logout の導入をご検討ください。

Okta についてのお問い合わせ

Okta Workforce Identity の導入、実践的な活用方法、ライセンス体系や価格についてさらに詳しく知りたい方は、ぜひ弊社窓口までお気軽にお問い合わせください。

2025_SaaSLP_バナー

,