この記事では、SAML SSOの概要を説明します。SAML SSOは、サブスクリプションで有効にする必要がある追加の有料サービスです。SAML SSOの設定手順と使用方法については、「SAML シングルサインオン(SSO)を設定する」をご参照ください。
PendoのSAML SSO
SAMLはセキュリティアサーションマークアップ言語(Security Assertion Markup Language)の略で、シングルサインオン(SSO)の標準です。ユーザーは、自身のメールアドレスとパスワードではなく、企業のSSO IDプロバイダー(IdP)を利用して、サービスプロバイダー(SP、例えばPendo)にサインインできるようになります。
Pendoは、IdP起点とSP起点の両方のサインインフローでSAML 2.0をサポートしています。IdP起点のサインオンでは、ユーザーはIdPからPendoにアクセスします。SP起点のサインオンでは、PendoユーザーがSSOボタンを使用してPendoログインページからサインインすると、PendoがユーザーをIdPにリダイレクトして認証します。いずれの場合も、ユーザーに対してPendoへのアクセスを許可するのはIdPです。
各IdPでは、プラットフォームの設定方法、メタデータの抽出、アップロード方法が異なります。具体的な手順については、IdPにお問い合わせください。
PendoユーザーのSSO体験
SAML SSOを使用するPendoユーザーがPendoにサインインするにはいくつか方法があります。ユーザーは次のいずれかからPendoにアクセスできます。
- SAMLの設定時に提供されるログインURL。
- IdP(IdP起点)。
- Pendoログインページ(SP起点)。
Pendoのパスワードページには[SSOを使用(Use SSO)]ボタンがあります。これは、SAMLが利用可能ではあるものの、まだ必須ではないメールアドレスをユーザーが入力した場合に表示されます。このSSOボタンはIdPにリダイレクトするもので、必要に応じて認証を行います。SAMLが必須でない場合、ユーザーはメールアドレスとパスワードでサインインすることもできます。
サインインに問題がある場合は、「サインインに関する問題のトラブルシューティング」を参照してください。
ドメインとIdPの管理
PendoではドメインとIdPを1対1で対応させることが必須です。1つのドメインに対して複数のアクティブなIdPを使用することはできません。
複数のドメインがある場合、それぞれのドメインを異なるIdPで管理することができます。また、複数の認証済みドメインを同じIdPで管理することも可能です。
追加の構成オプション
Pendoでは、SAML設定における追加の構成オプションを提供しており、ユーザーがサブスクリプションやPendo全体にどのようにアクセスするかを詳細に制御できます。
- IdPを起点とするサインオン、またはSPを起点とするサインオン。両方のオプションがサポートされており、必要に応じてどちらかを必須にすることができます。
- サブスクリプションまたはドメイン(全体)での強制的なSAMLの使用。ドメインまたはサブスクリプションに対してSAMLを強制的に使用させることができます。ドメインでSSOを必須にすると、ユーザーは所属するサブスクリプションに関係なく、SAMLでサインインする必要があります。同様に、サブスクリプション内のすべてのメールドメインにもSAMLが設定されている必要があります。
ユーザーのプロビジョニング
ジャストインタイム(JIT)による自動のユーザープロビジョニングはサポートしていませんが、Oktaなど特定のIdPに対してSCIMユーザー管理をサポートしています。これらのIdP以外では、Pendo管理者はユーザーを手動でサブスクリプションに追加する必要があります。詳細については、「PendoでSCIMを設定する」を参照してください。
用語集
用語 | 説明 |
Assertion Consumer Service (ACS) URLまたはエンドポイント | サービスプロバイダー(SP)ログインURLと呼ばれることもあり、SAMLレスポンスがポストされるSPが提供するエンドポイントです。IdPは、サインイン後に認証されたユーザーをこの場所にリダイレクトします。SPはこの情報をIdPに提供する必要があります。 |
エンティティID | サービスプロバイダー(SP)の固有識別子。 |
IDプロバイダー(IdP) | エンドユーザーのアカウントを管理するサービスで、LDAPやActive Directoryなどのユーザーディレクトリに似ています。SAMLレスポンスをSPに送信することでエンドユーザーを認証します。対応するサービスプロバイダーには、Google、Azure、Oktaなどがあります。 |
IdPを基点とするSSO |
IDプロバイダー(IdP)のボタンを使用してユーザーがサインインするサインインフロー。これによりSAML認証が開始されます。ユーザーは、ユーザーを識別するためのアサーションを含むSAMLメッセージとともに、サービスプロバイダー(SP)に転送されます。 |
セキュリティアサーションマークアップ言語(SAML) | XMLベースの規格であり、IDプロバイダー(IdP)とサービスプロバイダー(SP)との間で認証や承認に関するデータを交換するために使用されます。SAML規格は、SSOソリューションに固有の問題を解決します。詳しくは、WikipediaのSAMLの記事をご覧ください。 |
SAML管理者 | IdPのエンドユーザーのプロビジョニングとプロビジョニング解除、アプリの割り当て、パスワードのリセット、エンドユーザーのエクスペリエンス全般を担当します。SAML管理者はPendo管理者である必要はありません。 |
シングルサインオン(SSO) | ユーザーはIdPに一度サインインするだけで、都度サインインすることなく複数のシステムにアクセスできるようになるシステム。ユーザーは一度のサインインで、ファイアウォールの内側とクラウドにあるすべてのウェブアプリケーションにアクセスできます。これにより、アクセス管理がSAML管理者に一元化されます。 |
サービスプロバイダー(SP) | 通常、Pendoなどの一企業であり、通信、ストレージ、プロセシング、その他のサービスを組織に提供します。 |
SPを基点とするSSO |
SAML認証がサービスプロバイダー(SP)(この場合はPendo)から開始されるサインインフロー。これは、エンドユーザーがSP内のリソースにアクセスしようとしたとき、またはSPに直接サインインしようとしたとき(通常はログインページのSSOボタンを使用)にトリガーされます。 |
Subject/Name |
IDプロバイダー(IdP)で認証されるユーザーのID。Pendoの場合、これはユーザーアカウントの登録とログインで使用されるメールアドレスです。 |