ネクストモードのゆきなわです。
Okta (Okta Workforce Identity) を利用する上で、ユーザーセッションの管理はセキュリティ上非常に重要です。特に、不審なアクティビティが検知された場合や、端末の紛失時などに、迅速にすべてのセッションを強制的に終了させたいというニーズは少なくありません。
これまで Okta の Universal Logout(ユニバーサル・ログアウト)機能は、Identity Threat Protection など一部の SKU でのみ利用可能でしたが、この度、ついに Adaptive MFA のライセンスでも管理者コンソール (Okta Admin Console) 上から実行できるようになりました。
本記事では Universal Logout に対応したアプリケーションである Google Workspace を使い、早速 Universal Logout を試してみました。
Universal Logout は、管理者または Okta システムが、ユーザーの Okta セッションに加え、連携しているアプリケーション (SAML や OIDC) のセッションや発行済みのトークンまで無効化できる強力な機能です。
これまでの Adaptive MFA では、管理コンソールから Okta のセッションをクリアすることはできましたが、連携先のアプリケーションセッションまでは終了させることができず、セキュリティ上の懸念が残っていました。
今回 Adaptive MFA で Universal Logout が利用可能になったことで、管理者は疑わしいユーザーのセッションを検知した際に、Okta および連携する全てのアプリケーションから即座にユーザーをログアウトさせ、不正アクセスのリスクを低減できるようになります。
Universal Logout に対応するアプリケーションについては、以下の Okta 公式ドキュメントをご参照ください。
本機能にはレート制限が設けられており、1分間に3ユーザーまでの実行が可能です。多数のユーザーに対して一度に実行する必要がある場合はご注意ください。また、脅威検知時の自動ログアウトなど、より高度かつプロアクティブなセキュリティ機能が必要な方は、Okta Identity Threat Protection の導入をご検討ください。
管理者起点の Universal Logout を利用するには、対象のアプリケーションで設定を有効にする必要があります。今回は Google Workspace を例に、以下の手順に従って設定を行います。
Okta 管理コンソールにログインし、左メニューより [アプリケーション] > [アプリケーション] を開きます。
作成済みの Google Workspace アプリを開きます。SAML による SSO 連携は設定済みとします。
[サインオン] タブを開きます。
[ログアウト] セクションの [編集] をクリックします。
[Oktaシステムまたは管理者がログアウトを開始する] にチェックを入れ、[アカウントを接続] をクリックします。
[接続] をクリックし、Google Workspace の管理者アカウントで認証を行います。
アカウントが接続されます。[保存] をクリックして設定は完了です。
それでは Universal Logout 機能を試してみます。
【ユーザー画面】一般ユーザーで Google Workspace にログインします。アプリ画面が表示されます。
【管理者画面】[ディレクトリ] > [ユーザー] から、対象となるユーザーを検索し、プロファイルページを開きます。
【管理者画面】[その他のアクション] ドロップダウンメニューをクリックします。
【管理者画面】[ユーザーセッションを消去] を選択します。
【管理者画面】[ログアウトが有効なアプリとOkta APIトークンも含める] にチェックを入れ、[クリアと失効] をクリックします。
この操作により、対象ユーザーの Okta セッションがクリアされ、Universal Logout が設定されたアプリケーションのセッションも同時に終了されます。
【ユーザー画面】この時点でアプリ画面をリロードすると、Google Workspace の本人確認が求められる状態に遷移します。[次へ] をクリックします。
Okta の画面に遷移し、セッションが取り消されたことが確認できます。[再度サインインする] をクリックすると、Okta のサインイン画面に遷移します。
以上で管理者の操作を起点とした Universal Logout の動作が確認できました。
操作が成功したかどうかは、[レポート] > [System Log] から確認できます。 user.authentication.universal_logout.scheduled イベントに続き、 user.session.universal_logout イベントが出力されていれば、正常に実行されています。
管理者による Universal Logout 機能が Adaptive MFA で利用可能になったことは、多くの Okta 管理者にとって朗報ではないでしょうか。
この機能により、インシデント発生時の対応がより迅速かつ確実になり、組織全体のセキュリティレベルを向上させることができます。設定も簡単なので、Adaptive MFA をご利用のお客様は、ぜひ Universal Logout の導入をご検討ください。
Okta Workforce Identity の導入、実践的な活用方法、ライセンス体系や価格についてさらに詳しく知りたい方は、ぜひ弊社窓口までお気軽にお問い合わせください。