1. Pendoヘルプセンター
  2. セキュリティとプライバシー
  3. アクセス方法

SAMLシングルサインオン(SSO)を設定する

最終更新日:

警告:以下の手順に従うことで、Pendoサポートを利用せずに最初のSAML SSO設定を行うことができます。追加または編集する既存のSAML SSO設定が1つ以上ある場合は、Pendoサポートにお問い合わせください

この記事では、PendoにサインインするためのSAML(セキュリティアサーションマークアップ言語)シングルサインオン(SSO)の設定と使用方法について説明します。

SAMLは、広く採用されているSSOを有効にするための標準です。Pendoでは、ユーザーはSAMLを使用して従来のメールアドレスとパスワードの代わりに、組織のIDプロバイダー(IdP)を介して認証できます。

用語集を含めて、SAML SSOの概要については、「SAMLシングルサインオン(SSO)の概要」を参照してください。

前提条件

SAML認証には、次の要件があります。

  • 現在のPendo契約にはSAML SSOへのアクセスが含まれています。契約内容にSAML SSOが含まれているか確認する場合、または契約内容にSAML SSOを追加する場合は、Pendo担当者にお問い合わせください。
  • SAML IDプロバイダー(例:Okta)。
  • サブスクリプションへのアクセスを許可するユーザーIDメールドメインの一覧
  • IdPメタデータの管理と、SAMLメタデータの提供サブスクリプションのアクセスに関する決定権のあるSAML管理者であること。

ステップ1. Pendoでドメインを確認する

PendoにSSO設定を追加する前に、ドメインの認証を行い、所有権を証明する必要があります。SAML設定は認証済みのドメインにのみ割り当て可能です。そのため、使用する1つ以上のドメインの認証が完了するまで、SAML SSO設定は完了できません。手順については、「ドメインを認証する」をご参照ください。

ステップ2. IdPでSAMLアプリケーションを作成する

IdPにサインインして、Pendo用のSAMLアプリケーションを作成します。これを行うと、Pendoが認証のためにIdPに接続できるインテグレーションが作成されます。

SAMLアプリケーションを作成するプロセスは、IdPによって異なることがあります。IdPマーケットプレイスで、Pendo用の設定済みSAMLアプリケーションを確認してください。これが利用できない場合は、代わりに汎用のSAML 2.0アプリケーションを作成してください。

セットアップの際に、サービスプロバイダー(Pendo)のメタデータを提供する必要があります。これには、ACS URLとエンティティIDが含まれます。この構成情報の詳細は、「SAMLシングルサインオン(SSO)の概要」の概要の「用語集」を参照してください。

PendoのSAML SPメタデータファイルはPendo SAMLメタデータと証明書で入手できます。PendoのメタデータをIdPに入力する手順については、IdPのドキュメントを参照してください。

SPエンティティは、IdP内で全体を通して一意である必要があります。別のベンダーがすでにPendoと同じエンティティIDを使用するように設定されている場合、エンティティIDがすでに使用されているというメッセージが表示されることがあります。別のエンティティIDを取得するには、Pendoサポートにお問い合わせください。

ステップ3. XMLメタデータを取得する

IdPは、設定プロセス(ステップ4)においてPendoと共有できるプレーンテキストのXMLファイルを提供します。OktaやAzureなどの一部のプロバイダーは、メタデータを指す公開URLを提供します。ファイルをダウンロードする代わりに、公開URLを共有できます。XMLメタデータをPendoと共有する方法に応じて、次のいずれかを選択します。

  • プロバイダーが公開URLを持っている場合は、公開URLをコピーします(推奨)。
  • SAML IdPのメタデータXMLファイルをダウンロードします。

ステップ4. PendoでSAML SSOを設定する

ドメインが検証され、組織の設定の[ドメイン検証(Domain Verification)]テーブルでステータスが[有効(Active)]と表示されたら、SSO設定をPendoに追加します。

  1. Pendoで[設定]>[組織設定]に移動します。
  2. [SSO]タブを開きます。
  3. [+ 新しい設定を追加(+ Add new configuration)]を選択します。
  4. [ドメイン(Domain)]のドロップダウンメニューを使用して、ステップ1で検証したドメインを選択します。
  5. IdPを選択します。
  6. メタデータXMLをPendoと共有する方法を次のいずれかから選択します。
    • IdPから提供されるURL(推奨)。
    • メタデータ(XML)は、IdPからダウンロードするXMLファイルです。
  7. 必要に応じて、ビジネスニーズとポリシーに従って[AuthNRequestに署名(Sign AuthNRequest)]を選択します。
  8. [技術担当者の連絡先(Technical contact)]を入力します。これは、組織のIdPを管理する担当者またはチームのメールアドレスにします。
  9. [設定を保存(Save configuration)]を選択します。設定は、[SSO]タブの[SAML設定(SAML Configurations)]テーブルに追加されます。
  10. 別のブラウザでサインインできるかを試して、構成が正しく設定されていることを確認します。サインインできない場合は、設定を変更し、手順の4から10までの処理を繰り返し、IdPから最新のメタデータXMLファイルを取得していることを確認します。

自分や他のユーザーがサインインできない場合、または構成を正しく設定できない場合は、Pendoサポートにお問い合わせください

以下の追加オプションのいずれかを有効にする必要がある場合は、Pendoサポートにお問い合わせください。これらのオプションについての情報は、「SAMLシングルサインオン(SSO)の概要」を参照してください。

  • サブスクリプションにSAMLを強制適用して、ユーザーのメールアドレスとパスワードによるログインを無効にする。ユーザーはサインインにSAMLのみ使用できます。
  • お客様のドメインのユーザーに対して、メールアドレスとパスワードによるサブスクリプションへのログインを無効にする。ドメイン内のユーザーはSAMLを使用してサインインし、ドメイン外のユーザーはメールアドレスとパスワードでサインインできます。
  • SAMLをサブスクリプションにドメイン全体で適用することでセキュリティを強化します。

ステップ5:SAML SSOを使用してユーザーをPendoに招待する

IdPを使用して認証するには、Pendoサブスクリプションにユーザーを手動で追加する必要があります。Pendo管理者は、[設定(Settings)]>[ユーザー(Users)]に移動し、[+ 新規ユーザーを追加(+ New User)]を選択して、ユーザーを追加できます。Pendoのユーザー名は、IdPのユーザー名と完全に一致する必要があります。大文字と小文字は区別されます。

サブスクリプションでSAMLが必要な場合には、[ユーザーを追加(Add User)]を選択してフォームを提出することで、ユーザープロファイルをPendoユーザーのリストに追加できます。このユーザーは自動的にIdPで認証されます。アクセスを許可するための招待メールを受け入れる必要はありません。

設定してもまだSAMLを必須にしていない(SAML SSOでユーザーにサインインを強制していない)場合、ユーザーは、設定を完了するためにパスワードを入力する必要があります。アカウントが正常に追加されると、パスワードページからSAMLでサインインするオプションが表示されます。

この記事は役に立ちましたか?
1人中0人がこの記事が役に立ったと言っています

このセクションの記事