IntercomをあなたのIDプロバイダー(IdP)と連携させることで、チームのログインが簡単かつ安全になります。
この記事の手順に従ってIDプロバイダーを設定し、すべてのチームメンバーにSAML SSO(シングルサインオン)を必須にするか、サインインオプションの一つとして提供してください。設定後、SAML SSOはIntercom Conversationsアプリでも機能します。
開始前に
重要:
ステップ1:IntercomでSAML SSOを有効にする
まず、IntercomのワークスペースでSAML SSOを有効にして、IDプロバイダー用のURLを取得します。
SAML SSOをオンに切り替えます。
オンにすると、SAML SSOの設定セクションが表示されます。
最初に表示されるのは、ワークスペース固有のSAML URLです。このページは開いたままにしておいてください。次のステップでこのURLが必要になります。
ステップ2:IDプロバイダーを設定する
IDプロバイダーの設定(OktaやOneLoginなど)で、Intercomをアプリケーションとして追加する必要があります。ステップ1のSAML URLが必要です。
IdPの設定で以下のパラメーターを使用してください:
シングルサインオンURL:
<SAML URL>/consume受信者URL:
<SAML URL>/consumeオーディエンス制限/エンティティID:
<SAML URL>NameID: メールアドレス
署名付きアサーション: はい
マッピングされた属性:
firstName(ユーザーの名)lastName(ユーザーの姓)
暗号化:
AES256_CBCこの証明書で:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
注意: IDプロバイダーが対応していれば、IdPの設定でセッションの有効期間を定義できます。これはチームメンバーのセッションが切れて再度Intercomにログインするまでの時間を設定します。設定しない場合、デフォルトは3.5日です。
ステップ3:IdPの詳細でIntercomを設定する
IdPを設定した後、その詳細をIntercomに戻して追加する必要があります。
IntercomのSAML SSO設定ページ(設定 > Workspace > セキュリティ)に戻ります。
IDプロバイダーから以下の情報を追加します:
IDプロバイダーのシングルサインオンURL: ログインプロセスを開始するためのURLです。
公開証明書: IntercomがIdPからのSAMLリクエストを検証するためのX.509証明書でなければなりません。
ステップ4:許可されたdomainsを追加して確認する
SAML SSOで認証を許可するdomainsを指定する必要があります。
「許可されたdomains」にdomainを入力し、ドメインを追加をクリックします。
提供された値でDNS設定にTXTレコードを追加して、domainの所有権を確認する必要があります。
TXTレコードを追加したら、DNSレコードを確認をクリックします。
確認が完了すると成功メッセージが表示され、domainが追加されます。複数のdomainを追加する場合はこの手順を繰り返してください。
注意: DNSレコードを作成したばかりの場合、まだ伝播中の可能性があります。警告メッセージ(「DNSレコードを確認できません。後でもう一度お試しください。」)が表示されたら、数分から数時間待ってから再試行してください。
このオプションのチェックを外してSAML SSOを必須のログイン方法にするには、SAML SSOでログインしている必要があります。設定保存後に行えます。
ステップ5:SAML SSOをテストして強制する
すべてのチームメンバーにSAMLを強制する前に、設定をテストする必要があります。
セットアップをテスト: 他の方法を無効にする前に、すべてのチームメンバーがSAML SSOで正常にログインできることを確認するため、Googleサインオンとメールとパスワードのオプションはオンのままにしてください。
ページ下部で設定を保存してください。
ログアウトして、SAML SSOでサインインオプションを使って再度ログインし、設定をテストします。
SAML SSOを強制(任意): ログインに成功し設定が機能することを確認したら、設定に戻り他のログイン方法のチェックを外せます。
注意:
他のログインオプションのチェックを外してSAML SSOを唯一のログイン方法にするには、ご自身がSAML SSOでログインしている必要があります。
ワークスペースでSAML SSOが有効になると、チームメンバーはアカウントセキュリティページから自分のメールアドレスを編集できなくなります。メール欄は読み取り専用になります。
チームのためのSAML SSOの仕組み
チームメイトのログイン方法
SAML SSOが有効になると、チームメイトはログインページでSAML SSOでサインインボタンを表示します。ログイン体験はメールアドレスによって異なります:
登録されていないメールアドレス: 入力されたメールがSAMLが有効なworkspaceのチームメイトと一致しない場合、エラーメッセージが表示されます。
1つのSAML workspaceに登録されたメールアドレス: チームメイトはログインのためにIDプロバイダーにリダイレクトされます。
複数のSAML workspaceに登録されたメールアドレス: チームメイトはworkspaceセレクターが表示されます。workspaceを選択後、そのworkspaceの正しいIDプロバイダーにリダイレクトされます。
チームメイトが各workspaceで持つIDプロバイダーに応じて、正しいIDプロバイダーのログイン画面にリダイレクトされます。ログイン後、ユーザーは正しいworkspaceに戻されログインされます。
workspace間の切り替え
workspace間の切り替え時にSAML SSOがサポートされています:
同じSAML SSOプロバイダーを使う2つのworkspaceにチームメイトがログインしている場合、再認証なしで切り替えが可能です。
チームメイトがメール/パスワードを使う3つ目のworkspaceにアクセス権を持ち、ログインしていない場合、workspaceスイッチャーにリダイレクトされパスワードでログインします。
モバイルアプリ(Intercom Conversationsアプリ)でのログイン
SAML SSOはiOSおよびAndroidのIntercom Conversations appでサポートされています。
ログイン画面に移動し、SAML SSOでサインインボタンをタップします。
勤務先のメールアドレスを入力し、続行をタップします。
複数のworkspaceにアクセス権がある場合、選択リストが表示されます。(1つだけの場合はこの画面はスキップされます)。
workspaceを選択すると、SAMLプロバイダーにログインするためのウェブビューが開きます。
サインインすると、アプリにログインされます。
アカウントにSAML SSOが設定されていない状態でSAML SSOでログインしようとすると、エラーメッセージが表示されます。
workspace招待
SAML SSOはworkspace招待と互換性があります。チームメイトが招待を受け取る際、招待メールはIDプロバイダーから返されるメールと必ず一致しなければなりません。そうでないと招待は失敗します。
workspaceでSAML SSOが有効な場合のチームメイト/管理者プロフィールのメールアドレス変更方法
1. 管理者は「メールとパスワード」をログイン方法として有効にします(まだ有効でない場合)。
2. すべてのチームメイトはIntercomのパスワードを設定/リセットし、古いメールアドレスとパスワードでログインできることを確認します。
3. 管理者はworkspaceでSAML SSOを無効にします(これによりチームメイトのメール欄が編集可能になります)。
4. 各チームメイトは古いメールアドレスとパスワードでログインし、自分のログインメールを新しいdomainに個別に更新します。
5. 管理者はIdPでusersのメールを新しいdomainに更新します。
6. 管理者はworkspaceでSAML SSOを再度有効にします。
7. SSOは新しいメールで動作します。管理者は任意でSSOのみのログインを再強制できます。
IdP別のガイドとトラブルシューティング
IDプロバイダーのサポートが必要ですか? IntercomサポートはIntercom内でのSAML SSO設定を支援します。IdP固有の設定手順や管理コンソール(例:Microsoft Entra、Okta、JumpCloud)での設定、またはIdP由来のエラーについては、直接IDプロバイダーのサポートチームに連絡することを推奨します。彼らは環境にアクセスでき、問題を解決できます。弊社のSAMLドキュメントは参考資料として共有可能です。
Google Workspaceのトラブルシューティング
Google WorkspaceをSSOプロバイダーとして使用していてアクセスエラーが発生した場合、Google管理コンソールで「修復メッセージ」をオンにしてエラーの原因を確認できます。有効にすると、エラーメッセージに詳細情報(例:「デバイスがGoogleエンドポイント管理によって管理されていません」)が表示されます。
有効にすると、エラーメッセージにより詳細な情報が表示されます。
例えば、次のエラーは使用中のデバイスがGoogleエンドポイント管理によって管理されていないことを示す可能性があります:
Just-in-Time(JIT)プロビジョニングを有効にする選択
Just-in-Timeプロビジョニングは、チームメイトがまだIntercomアカウントを持っていない場合、初めてSAML SSOでサインインした際に自動的にIntercom workspaceに追加します。
これを有効にするには、設定 > workspace > セキュリティに移動し、SAML SSOがオンになっていることを確認し、プロビジョニングをクリックします:
注意: 新しいチームメイトは空き席がある場合にのみ追加されます。
最後に設定を保存し、IDプロバイダーで認証して設定をテストします:
workspaceでSAML SSOが有効な場合、チームメイトはアカウントセキュリティページから自分のメールアドレスを編集できません。メール欄は読み取り専用になります。
OneLoginでのSAML設定
OneLoginストアの「Intercom SAML 2.0」アプリを使用できます。
OneLogin管理ページでApplicationsに移動し、Add Appをクリックします。
Intercom SAML 2.0アプリを検索して追加します。
Configurationタブを開き、workspaceのSAML名を入力します。
SSOタブで「SAML 2.0 Endpoint」URLをコピーし、Intercom workspaceのSAML設定に貼り付けます。
証明書の下のView Detailsをクリックし、証明書をコピーしてIntercomのPublic certificate欄に貼り付けます。
Intercomで設定を保存し、接続をテストします。
注意: ワークスペースがEUまたはAUにホストされている場合は、統合がサポートされていることを確認するためにOneLoginチームに連絡してください。
OktaでのSAMLの設定
Okta App Storeから「Intercom」アプリを使用できます。
Oktaで:
Okta管理ダッシュボードを開き、Intercomアプリを追加します。
サインオンオプションに進みます。
署名証明書をダウンロードし、Oktaから提供されたサインオンURLをコピーします。
Intercomで:
設定 > ワークスペース > セキュリティに移動し、SAML SSOをオンにします。
SAML URL(SAML設定の上部)をメモしてください。
Oktaから以下の詳細を入力します:
アイデンティティプロバイダーサインオンURL:(OktaのサインオンURL)
公開証明書:(Oktaからダウンロードした完全な証明書を貼り付けます)
「許可されたドメイン」には、会社のdomain(例:
acme.com)を入力します。まだ保存をクリックしないでください。
Oktaに戻って:
OktaのIntercomアプリのサインオンオプションに戻ります。
暗号化証明書の下に、次の証明書を
intercom.pemとしてアップロードします:-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----「詳細サインオン設定」の下に、IntercomからのSAMLベースURLを貼り付けます。
保存をクリックします。
テストと有効化:
IntercomワークスペースのSAML設定に戻り、保存をクリックします。
ログアウトしてSAMLで再ログインし、SAML設定をテストします。
確認が取れたら、設定に戻り、メール/パスワードまたはGoogleのサインオンオプションのチェックを外してSAMLを強制します。