SAML認証を利用して限定公開する
お客様の社内認証基盤(IDプロバイダー)と連携して、シングルサインオン(SSO)でのログインを有効にできます。Google Workspace、Microsoft Entra ID、Oktaなどの主要なIDプロバイダーに対応しており、開発対応なしで導入できます。
どんなことができる?
SAML認証を使うと、お客様のIDプロバイダーにログインするだけで、ヘルプドッグの限定公開コンテンツや管理画面にそのままアクセスできるようになります。
SAML認証には、以下の2つの利用シーンがあります。
限定公開コンテンツへの読者ログイン
FAQサイト・問い合わせフォーム・AIチャットボットなどの限定公開コンテンツに、お客様のIDプロバイダーを使ってログインできます。
社内の従業員だけが閲覧できる社内FAQサイト
IDプロバイダーで管理されたユーザーだけがアクセスできるヘルプページ
社内向けの問い合わせフォームへのアクセス制限
社内ユーザー限定のAIチャットボットの提供
管理画面へのユーザーログイン
ヘルプドッグの管理画面に、お客様のIDプロバイダーを使ってログインできます。
管理画面ログイン時のセキュリティ強化
パスワードログインを禁止して、SAML認証のみに制限
メリット
パスワード管理の統一: お客様のIDプロバイダーにログインするだけで、FAQサイトや管理画面にもそのままアクセスできます。パスワードの二重管理が不要になります
読者アカウントの自動作成: 初回ログイン時に読者アカウントが自動作成されます(JITプロビジョニング)。事前の登録作業は不要です
主要IDプロバイダーとの簡単連携: Google Workspace、Microsoft Entra ID、Oktaなどに対応しており、開発対応なしで導入できます
管理画面のセキュリティ強化: パスワードログインを禁止し、SAML認証のみに制限することで、管理画面へのアクセスをより安全に管理できます
IPアドレス制限との併用: 管理画面へのSAMLログインでは、IPアドレス制限と組み合わせてさらにセキュリティを強化できます
ご利用条件
項目 | 内容 |
|---|---|
対象プラン | エンタープライズ プロフェッショナル |
必要な権限 | チームオーナー |
前提条件
SAML認証をご利用いただくには、お客様側でIDプロバイダー(Google Workspace、Microsoft Entra IDなど)の管理権限が必要です。IDプロバイダー側でアプリケーションの登録と設定を行っていただきます。
設定手順
1. SAML認証設定を作成する
チーム設定 > 高度な認証 > SAML認証 を開き、「SAML認証を利用する」ボタンをクリックします。
2. SP情報をIDプロバイダーに登録する
SAML認証設定を作成すると、ヘルプドッグのSP(Service Provider)情報が表示されます。以下の情報をお客様のIDプロバイダーの管理画面に登録してください。
項目 | 説明 |
|---|---|
SP Metadata URL | サービスプロバイダーのメタデータを取得できるURLです。IDプロバイダーがメタデータURLの登録に対応している場合、このURLを登録すると設定を自動的に取り込めます |
SP Entity ID | ヘルプドッグをサービスプロバイダーとして識別するためのIDです。IDプロバイダーのEntity ID(識別子)欄に登録してください |
SP ACS URL | ヘルプドッグがIDプロバイダーからの認証レスポンスを受け取るエンドポイントです。IDプロバイダーのACS URL(応答URL)欄に登録してください |
メタデータファイルをダウンロードしてIDプロバイダーにアップロードすることもできます。「メタデータをダウンロード」ボタンをクリックしてください。
3. IDプロバイダーの情報を登録する
IDプロバイダーの情報をヘルプドッグに登録します。以下の3つの方法から選択できます。
メタデータURLで設定する場合
IDプロバイダーのメタデータURLを入力し、「取得」ボタンをクリックします。IdP Entity ID、IdP SSO URL、IdP証明書が自動的に取得されます。
XMLファイルで設定する場合
IDプロバイダーからダウンロードしたメタデータXMLファイルをアップロードします。「ファイルをアップロード」ボタンをクリックしてファイルを選択してください。
手動で設定する場合
以下の項目を手動で入力します。
項目 | 説明 | 必須 |
|---|---|---|
IdP Entity ID | IDプロバイダーを識別する一意のIDです | はい |
IdP SSO URL | ログイン時にリダイレクトするURLです | はい |
IdP 証明書 | SAMLレスポンスの署名検証に使用するX.509証明書です | はい |
4. ログインボタンのテキストを設定する
ログインページに表示されるSAML認証への遷移ボタンのテキストを設定します。30文字以内で入力してください。
未設定の場合、「SAML認証でログイン」と表示されます。
5. SAML認証を有効にする
基本設定で「SAMLによるSSOを有効にする」を「有効」に設定し、「保存」をクリックします。
有効にすると、管理画面へのログインやコンテンツの限定公開にSAML認証を利用できるようになります。
6. 動作確認をする
設定が完了したら、実際にSAML認証でログインできるか確認してください。
管理画面のログインページにSAML認証のログインボタンが表示されること
ボタンをクリックするとIDプロバイダーのログインページに遷移すること
IDプロバイダーでログインすると、ヘルプドッグにリダイレクトされてログインが完了すること
7. 限定公開コンテンツの対象読者グループを設定する(必要な場合)
SAML認証で読者のアクセスを制限したいサイト・フォーム・ウィジェットの公開設定で、以下を行います。
公開範囲を「限定公開」に設定する
「社内システムや会員ログインを使って閲覧を許可する」セクションで、SAML認証の読者グループを有効にする
公開範囲の設定方法については、公開範囲を設定する をご覧ください。
8. パスワードログインの併用設定を変更する(必要な場合)
管理画面へのログインをSAML認証のみに制限したい場合は、パスワードログインの併用設定を変更します。
「パスワードログインの併用設定」セクションで、以下の2つから選択できます。
パスワードログインと併用する(デフォルト): パスワードログインとSAML認証の両方でログインできます
パスワードログインを禁止する: SAML認証でのみログインできます。パスワードを使ったログインはできなくなります
注意: 「パスワードログインを禁止する」を選ぶと、パスワードでログインできなくなります。あわせて、新しく招待するユーザーにもパスワードを設定できません。SAML認証で問題なくログインできることを確認してから変更してください。
読者のログインの流れ
読者が限定公開コンテンツ(サイト、フォーム、ウィジェット)にアクセスします
ログインページが表示され、SAML認証用のログインボタンが表示されます
ボタンをクリックすると、お客様のIDプロバイダーのログインページに遷移します
IDプロバイダーでログインすると、認証結果がヘルプドッグに送信されます
ヘルプドッグが認証結果を検証し、問題なければ自動的にログインが完了します
読者は限定公開コンテンツを閲覧できるようになります
初回ログイン時には読者アカウントが自動作成されます(JITプロビジョニング)。2回目以降は、メールアドレスで既存のアカウントが特定されます。
ユーザーのログインの流れ
SAML認証で管理画面にログインするには、事前にヘルプドッグの管理画面からユーザーを招待しておく必要があります。招待されていないユーザーはSAML認証でログインできません。
ユーザーが管理画面のログインページにアクセスします
SAML認証用のログインボタンが表示されます
ボタンをクリックすると、お客様のIDプロバイダーのログインページに遷移します
IDプロバイダーでログインすると、認証結果がヘルプドッグに送信されます
ヘルプドッグが認証結果を検証し、招待済みのユーザーであればログインが完了します
読者グループの自動割り当て
SAML認証設定を作成すると、読者グループが自動的に作成されます。
SAML認証を通じてログインした読者は、自動的にこのグループに追加されます
このグループを使って、サイト・フォーム・ウィジェットの限定公開対象を制御できます
割り当て先のグループを変更することはできません
読者グループの詳細については、読者・読者グループの管理 をご覧ください。
対応IDプロバイダー
以下のIDプロバイダーで動作確認が完了しています。
IDプロバイダー | 状況 |
|---|---|
Microsoft Entra ID(旧 Azure AD) | 動作確認済み |
Google Workspace | 動作確認済み |
Okta | 動作確認済み |
GMOトラスト・ログイン | 動作確認済み |
OneLogin | 動作確認済み |
SmartHR | 動作確認済み |
SAML 2.0に準拠したIDプロバイダーであれば基本的に連携可能です。上記以外のIDプロバイダーについては、お問い合わせください。
よくある質問
Q. SAML認証はどのような用途に向いていますか?
Google Workspace、Microsoft Entra ID、OktaなどのIDプロバイダーをご利用の場合に向いています。社内のFAQサイトを全社員がIDプロバイダーのログインで閲覧できるようにしたり、管理画面へのログインをIDプロバイダーに統一したりする用途が代表的です。
Q. JWT認証との違いは何ですか?
項目 | SAML認証 | JWT認証 |
|---|---|---|
主な用途 | 社内の認証基盤とのSSO連携 | 自社サービス・プロダクトとの連動 |
向いているケース | 全社向けの社内FAQサイト | ECサイトや会員向けサービスのFAQ |
対応するIDプロバイダー | Google Workspace、Entra ID、Oktaなど | 独自システムやカスタム実装 |
開発対応 | IDプロバイダー側の設定のみ(開発不要) | お客様側でJWT発行の実装が必要 |
管理画面のログイン | 対応 | 非対応 |
Google WorkspaceやMicrosoft Entra IDなどの標準的なIDプロバイダーをご利用の場合はSAML認証、独自のログイン基盤(会員サイトなど)をお持ちの場合はJWT認証がおすすめです。
Q. JITプロビジョニングとは何ですか?
JITプロビジョニングは、SAML認証での初回ログイン時に読者アカウントを自動作成する仕組みです。管理者が事前に読者を登録する必要がなく、IDプロバイダーでログインするだけで自動的にアカウントが作成されます。
JITプロビジョニングは常に有効であり、無効にすることはできません。
なお、JITプロビジョニングは限定公開コンテンツへの読者ログインのみが対象です。管理画面へのユーザーログインでは、事前に招待されたユーザーのみがログインでき、未招待のユーザーが自動作成されることはありません。
Q. 1チームに複数のSAML認証設定を作れますか?
いいえ、1チームにつき1個のみです。1つのSAML認証設定で、限定公開コンテンツへの読者ログインと管理画面へのユーザーログインの両方に利用できます。どちらか一方だけの利用も可能です。
Q. パスワードログインを禁止するとどうなりますか?
「パスワードログインを禁止する」を設定すると、管理画面へのログインがSAML認証のみに制限されます。ユーザーはパスワードを使ったログインができなくなり、SAML認証用のログインボタンからのみログインできます。
設定変更は即時反映されますが、すでにログイン中のセッションには影響しません。
なお、パスワードログインの禁止は管理画面のユーザーにのみ影響します。限定公開コンテンツの読者のログイン方法には影響しません。
Q. 招待していないユーザーがSAML認証でログインしようとした場合はどうなりますか?
ログインできません。管理画面へのSAML認証ログインには、事前にヘルプドッグの管理画面からユーザーを招待しておく必要があります。IDプロバイダー側でユーザーにアプリを割り当てていても、ヘルプドッグ側で招待されていなければログインエラーになります。
Q. IPアドレス制限とSAML認証は併用できますか?
はい、管理画面へのSAMLログインではIPアドレス制限と併用できます。SAML認証で認証が成功しても、IPアドレス制限に引っかかる場合はログインがブロックされます。
なお、限定公開コンテンツへの読者ログインにはIPアドレス制限は適用されません。
Q. メールアドレス認証とSAML認証は併用できますか?
はい、限定公開コンテンツに対してメールアドレス認証とSAML認証の両方を有効にできます。読者はログインページでいずれかの認証方法を選択してアクセスします。
Q. SAML認証設定は削除できますか?
SAML認証設定は削除できません。不要になった場合は、SAML認証を無効化してご利用ください。
Q. IDプロバイダーの証明書の有効期限が切れたらどうなりますか?
IDプロバイダーの証明書の有効期限が切れると、SAML認証でのログインができなくなります。IDプロバイダーの管理画面で新しい証明書を発行し、ヘルプドッグのSAML認証設定画面で証明書を更新してください。
関連記事
公開範囲を設定する - 限定公開の設定方法
読者・読者グループを使って限定公開する - 読者の追加・削除方法
読者・読者グループの管理 - チーム全体の読者管理方法
JWT認証を利用して限定公開する - JWT認証の設定方法
注意事項
SAML認証の導入には、お客様側でIDプロバイダーの設定が必要です。導入前にお客様が利用しているIDプロバイダーをご確認ください
1チームあたりのSAML認証設定は1個のみです
パスワードログインを禁止する場合、IDプロバイダーに障害が発生するとすべてのユーザーが管理画面にログインできなくなります。運用上のリスクを十分にご検討ください
IDプロバイダーの証明書には有効期限があります。期限切れになるとログインできなくなるため、定期的に更新してください
ログインボタンのテキストは30文字以内で設定してください