概要
SAML(セキュリティアサーションマークアップ言語)は、SSO(シングルサインオン)のための規格です。ユーザーは、自身のメールアドレスとパスワードではなく、企業のSSO IDプロバイダー(IdP)を利用して、サービスプロバイダー(SP、この場合はPendo)にサインインできるようになります。
ユーザーは、IDプロバイダーを介してPendoにログインする(IdPを起点とするログイン)ことも、PendoログインページのSSOボタンでログインする(SPを起点とするログイン)こともできます。いずれの方法でも、IdPがユーザーの承認を行うことでPendoにアクセスします。
Pendo SAML設定の追加構成オプションで、ユーザーがサブスクリプションやPendo全体にどのようにアクセスするかを詳細に制御できます。Pendoは、IdPまたはSPを起点とするログイン、サブスクリプションごとのSAML使用の義務化、ドメインでのSAML使用の義務化をサポートしています。
最新のSAML証明書は、「Pendo SAML署名証明書の更新 - 2027年4月19日」で公開しています。
要件
-
現在のPendo契約にSAML SSOへのアクセスが含まれている
-
サブスクリプションへのアクセスを許可するユーザーIDメールドメインの一覧
-
IdPメタデータの管理と、サブスクリプションのアクセスに関する決定権のあるSAML管理者
SAML SSOの設定
SAML SSOは、お客様の技術専門チームとPendoサポートチームでメタデータを共有し、アクセス管理を設定した後にサブスクリプションで有効化されます。プラットフォームの設定方法、メタデータの抽出、アップロード方法は、IDプロバイダーによって異なります。具体的な方法については、IDプロバイダーにお問い合わせください。ここでは、PendoでSSOを有効にするために必要な手順を中心に説明します。設定プロセスは簡単で、IDプロバイダーのプラットフォームに精通した技術専門チームであれば時間はかかりません。
1. サブスクリプションにSAML SSOへのアクセスがあることを確認します。契約内容にSAMLが含まれていることを確認する場合は、Pendo担当者にお問い合わせください。
2. IDプロバイダーにログインして、SAML IdPのメタデータ(XMLファイル)をダウンロードします。
3. メタデータのXMLファイルと、サブスクリプションでSSOを使用するすべてのユーザーIDメールのドメインをPendo担当者に送信します。
4. Pend担当者がSAML用のサブスクリプションを用意して、ACS URL、発行者URL、ログインURLを含むPendo SPメタデータをメールで送信します。
5. ACS URLと発行者URLをIDプロバイダーに追加します。
6. ACS URLと発行者URLが更新されたら、Pendo担当者に通知します。Pendo担当者が設定を完了し、SSOを有効化します。
SAML SSOによるユーザーのPendoへの招待
IDプロバイダーを使用して認証するには、Pendoサブスクリプションにユーザーを手動で追加する必要があります。Pendo管理者は、[設定(Settings)]の[チーム(Team)]タブからユーザーを追加できます。このメールアドレスは、IDプロバイダーで使用されるメールアドレスと完全に一致する必要があります。大文字と小文字は区別されます。
サブスクリプションでSAMLが必要な場合には、[ユーザーを招待(Invite User)]をクリックしてフォームを提出することで、ユーザープロファイルをPendoユーザーのリストに追加できます。このユーザーは自動的にIDプロバイダーで認証されます。アクセスを許可するための招待メールを受け入れる必要はありません。
シングルサインオンでのログイン
SAML SSOを使用するPendoユーザーは、いくつかの方法でPendoにログインできます。ユーザーは、IDプロバイダーからPendoにログインすることも、SAML設定時に提供されるログインURLでログインすることもできます。シングルサインオンが利用可能な場合、ユーザーがメールアドレスを入力するとPendoのログインページに[シングルサインオン(Single Sign-On)]ボタンが表示されます。このSSOボタンはIDプロバイダーにリダイレクトするもので、必要に応じて認証を行います。SAMLが不要な場合は、メールアドレスとパスワードでログインすることもできます。
よくある質問
SAML 2.0に対応していますか?
対応しています。
ログインページの[シングルサインオン]ボタンが機能しません。
SPを起点とするログインが、サブスクリプションでまだ設定されていない可能性があります。SSOを使用するすべてのサブスクリプションでは、IdPを起点とするログインを使用できます。サブスクリプションでSPを起点とするログインができるようになるまで、IDプロバイダーを使用してログインしてください。
サブスクリプションでIdPおよびSPを起点とするログインが設定されている場合は、組織のSAML SSO管理者に連絡して、アクセス権が変更されていないことを確認してください。
サブスクリプションでIdPおよびSPを起点とするログインが設定されていて、自身のユーザープロファイルが有効な場合は、Pendoサポートにお問い合わせください。
PendoログインページにSSOボタンが表示されないのはなぜですか?
SPを起点とするログインはサブスクリプションで設定する必要があり、また、ユーザーIDとして使用するメールアドレスのドメインはPendoに伝える必要があります。SAML設定で許可されている場合は、ユーザーIDとパスワードでログインできます。
Pendoサポートに連絡して、サブスクリプションのSAML承認済みドメインにドメインを追加してください。
IdPを起点とするログインで「権限なし(unauthorized)」のエラーが表示されるのはなぜですか?
ユーザーIDとして使用するメールアドレスのドメインはPendoに伝える必要があります。Pendoは、SAMLレスポンスでユーザーを認証するだけでなく、ユーザーIDのドメインがそのサブスクリプションで許可されるドメインのリストにあることを確認しています。
組織のSAML SSO管理者に連絡して、アクセス権が変更されていないことを確認してください。
ジャストインタイム(JIT)やクロスドメインID管理システム(SCIM)によるユーザーの自動プロビジョニングはサポートされますか?
JITやSCIMによるユーザー管理には対応していません。Pendo管理者は、ユーザーをサブスクリプションに手動で追加する必要があります。
用語集
-
ACS URL - アサーション・コンシューマ・サービス(Assertion Consumer Service)URL、ACSエンドポイントのことです。単にSPログインURLと呼ばれることもあります。ACS URLはSPから提供されるエンドポイントで、SAMLレスポンスの送信先です。SPはこの情報をIdPに提供する必要があります。
-
SAML管理者(SAML Admin) - IdPのエンドユーザーのプロビジョニングとプロビジョニング解除、アプリの割り当て、パスワードのリセット、エンドユーザーのエクスペリエンス全般を担当します。必ずしもPendo管理者である必要はありません。
-
IdP - IDプロバイダーです。エンドユーザーのアカウントを管理するサービスで、LDAPやアクティブディレクトリ(Active Directory)などのユーザーディレクトリに似ています。SAMLレスポンスをSPに送信することでエンドユーザーを認証します。IDプロバイダーには、Google、Azure、Oktaなどがあります。
-
IdPを起点とするSSO(IdP-initiated SSO) - IDプロバイダーを起点とするシングルサインオンです。IDプロバイダーを起点としてSAML認証が開始されます。このフローでは、IDプロバイダーがSAMLレスポンスを開始し、これがサービスプロバイダーにリダイレクトされ、ユーザーのIDがアサートされます。
-
SAML - セキュリティアサーションマークアップ言語(Security Assertion Markup Language)です。SAMLはXMLベースの規格であり、IDプロバイダーとサービスプロバイダーとの間で認証や承認に関するデータを交換するために使用されます。SAML規格は、シングルサインオンソリューションに特有の問題を解決するものであり、3つの役割(エンドユーザー、IdP、SP)が定義されています。詳しくは、WikipediaのSAMLの記事をご覧ください。
-
SP - サービスプロバイダー、この場合はPendoです。通常、SPは一企業であり、通信、ストレージ、プロセシングなどのサービスを組織に提供しています。
-
SPを起点とするSSO(SP-initiated SSO) - サービスプロバイダーを起点とするシングルサインオンです。サービスプロバイダーを起点としてSAML認証が開始されます。これは、エンドユーザーがサービスプロバイダーのリソースにアクセスしようとする場合や、サービスプロバイダーに直接ログインしようとする場合にトリガーされるもので、通常は、ログインページのシングルサインオンボタンで実行されます。
-
SSO - シングルサインオンです。SSOシステムでは、ユーザーはIdPに一度ログインするだけで、都度サインインすることなく複数のシステムにアクセスできるようになります。ユーザーは一度のサインインで、ファイアウォールの内側とクラウドにあるすべてのウェブアプリケーションにアクセスできます。これにより、アクセス管理がSAML管理者に一元化されます。
-
Subject/Name - IdPで認証されるユーザーのIDです。Pendoの場合、これはユーザーアカウントの登録とログインで使用されるメールアドレスです。