ご質問
Microsoft 365 や Google Workspace など、Access Control と連携しているサービスプロバイダー(以下SP)にアクセスした際、ログイン画面(認証画面)が表示されずにそのままサインインできることがあります。
どのような条件のときに認証がスキップされるのか、その仕組みを教えてください。
また、再び認証を要求させる(セッションを強制的に切断する)方法を教えてください。
回答
ユーザーが SP にアクセスした際に認証画面が表示されない場合、SP 側の認証セッションが保持されている可能性があります。
ご利用のブラウザやアプリが、SP 側の認証セッションを保持している場合、IdP への認証要求は行われません。
そのため、ユーザーは下図のように Access Control の認証処理やログイン条件の判定を経由せず、そのままサービスへアクセスできます。
SP 側のセッションがどの程度の期間保持されるかについてはサービスごとに異なります。
例えば、Microsoft / Google 社からは、次のような記事が公開されています。
SP 側のセッション保持時間は、SPによっては Access Control のサービスプロバイダー設定にある「セッション有効時間」で設定できます。
※ Access Control で設定した「セッション有効時間」を参照せず、SP 側で設定されたセッションの有効期限が優先して適用されるSPもございます。ご留意ください。
各サービスのセッションを強制的に切断する方法
Microsoft 365 の場合
- ユーザーパスワードを変更する
管理画面からパスワードのリセットを行う、PowerShell を使用して変更する、Azure AD Connect を使用し AD からパスワード変更を行う作業のいずれかを実施する必要があります。 - PowerShell を用いてセッションを強制切断する
詳細は以下の記事をご参照ください。ユーザー単位または全体での操作が可能です。
Azure AD モダン認証の切断 - Microsoft 365 管理センターから強制サインアウトする
詳細は以下の記事をご参照ください。ユーザー単位での操作が可能です。
パスワードをリセットし、すべてのセッションからサインアウトする(外部サイト)
Google Workspace の場合
- ユーザーパスワードを変更する
詳細は以下の記事をご参照ください。ユーザー単位または一括での操作が可能です。
Google Workspace 認証の切断 - ユーザーのログイン Cookie をリセットする
こちらはユーザー単位のみリセットが可能です。詳細は次の Google 社の記事を確認してください。
紛失した端末からの Google サービスへのアクセスをブロックする(外部リンク)
以上の動作は SP 側の仕様変更により、今後変わる可能性があります。
参考
[Access Control] セッション有効期間と認証クッキーの関係を知りたい
[Access Control] 連携サービスで何度も繰り返しログインを求められます(頻繁に認証が要求される)