この記事では、公開SAML証明書とPendoメタデータファイルの詳細、およびSAML認証用にIDプロバイダー(IdP)を設定するためのサービスプロバイダー(SP)構成の詳細について説明します。
公開証明書とPendoメタデータファイル
SAML署名と暗号化では、IDプロバイダー(IdP)やサービスプロバイダー(SP)としてのPendoの間で送信されるデータを公開鍵(証明書)を使用して検証します。アプリケーションのSAML証明書を取得し、有効期限が切れる前に更新する必要があります。
PendoのSAML署名証明書は、2022年4月28日に有効期限が切れました。2027年4月19日が有効期限となる新しい証明書が利用できます。 SAMLをシングルサインオン(SSO)方法として使用しているお客様およびユーザーが確実にPendoにサインインできるように、Pendoはプラットフォーム上の証明書を事前に更新しています。ただし設定によっては、設定で証明書を手動で更新するように促すアラートや通知がIdPから送信される場合があります。
次のリンクをクリックして、公開証明書とPendoメタデータファイルにアクセスしてください。
- Pendoメタデータ。これは、SAML対応IdPとのやり取りに必要な情報を含むPendo SAMLメタデータファイルです。このドキュメントには、エンドポイントのURL、サポートしているバインディングに関する情報、識別子、および公開鍵が含まれています。
-
署名証明書。これは、SPがIdPに送信する認証要求(
AuthnRequests
)に署名するためのデジタル証明書です。署名証明書が必要となるのは、AuthnRequest
が真正性を保証するために署名され、かつ信頼できるソースからのものであることを必須とするようにIdPが設定されている場合のみです。 - 暗号化証明書。これは、SAMLレスポンスのアサーションを暗号化するために使用されるデジタル証明書です。暗号化証明書は、IdPがアサーションを暗号化するように設定されている場合にのみ必要です。これにより、メッセージが傍受されても、適切な復号キーがない限り内容を読み取れないため、保護レイヤーを追加する役割を果たします。SAMLはHTTPS上で送信されるため、通常ではこれは必要ありません。
サポートが必要な場合は、SAML Cert Updateという件名で、Pendoサポートまでお問い合わせください。
サービスプロバイダーの構成詳細
次の設定を使用して、SAML認証のためにIdPを構成してください。これらの設定は、IdPとSP間の接続を確立するために使用されます。
サービスプロバイダー識別子(エンティティID)
お客様のSPも含めて、すべてのSAMLシステムエンティティは、エンティティIDと呼ばれるグローバルに一意の識別子を持っています。IdPはSAML構成を完了するためにその識別子の提供を求めることがあります。Pendoのデフォルト識別子はPingConnect
ですが、これがすでにIdPで使用されている場合は、地域に応じて以下のいずれかを使用してください。
-
米国:
PendoConnectUS
-
US1 (制限付きアクセス):
PendoConnectUS1
-
EU:
PendoConnectEU
-
JP:
PendoConnectJP
Assertion Consumer Service(ACS)URL
ACS URLは、SPのシステム上のエンドポイントで、認証されたユーザーがサインイン後にどこに送信されるべきかをIdPに対して指示します。IdPはSAML構成を完了するためにACS URLの提供を求めることがあります。PendoのデフォルトのACS URLはhttps://sso.connect.pingidentity.com/sso/sp/ACS.saml2
です。
一部のIdPは、URLを完成させるために、?saasid=<saasid>
のような追加パラメータを必要とします。saasid
の値は、サブスクリプション地域によって異なります。
-
US:
c1dc3d4d-f04b-4c71-902f-af4895a57c21
-
US1(アクセス制限付き):
d65656ad-caef-4a4d-99d7-e998b6f0d97f
-
EU:
2e51bcef-d8c5-4e12-b145-9d94e09d7bb5
-
JP:
5d4212e1-4feb-4d30-b933-6bfda633d532
例えば、米国でサブスクリプションしている場合は、次のACS URLを使用します。https://sso.connect.pingidentity.com/sso/sp/ACS.saml2?saasid=c1dc3d4d-f04b-4c71-902f-af4895a57c21
。
デフォルトのリレー状態
デフォルトのリレー状態は、認証が成功した後にユーザーがリダイレクトされるデフォルトの場所を指定するために使用されます。これは通常は任意ですが、SPを起点とするサインインには必須です。リレー状態の値は、サブスクリプション地域によって異なります。
-
US:
https://pingone.com/1.0/c1dc3d4d-f04b-4c71-902f-af4895a57c21
-
US1(アクセス制限付き):
https://pingone.com/1.0/d65656ad-caef-4a4d-99d7-e998b6f0d97f
-
EU:
https://pingone.com/1.0/2e51bcef-d8c5-4e12-b145-9d94e09d7bb5
-
JP:
https://pingone.com/1.0/5d4212e1-4feb-4d30-b933-6bfda633d532
サービスプロバイダーの属性
Pendo SAMLでは、アサーションの件名として送信された名前が、Pendoアカウントに登録されているメールアドレスと一致する必要があります。Azureなどの一部のIdPは、名前としてuserPrincipalName
(UPN)を送信することがあります。UPNは、Pendoのユーザー名と完全に一致する場合に使用できます。UPNがPendoのユーザー名と一致しない場合、メールアドレスフィールド(user.email
など)を名前属性にマッピングするようにIdPを構成する必要があります。