SAML シングルサインオン

SAML ベースのシングルサインオン (SSO) を有効にすると、メンバーは、お選びの ID プロバイダ (IDP) 経由で Slack にアクセスできます。

Slack が提携している ID プロバイダのリストは、セキュリティ & コンプライアンスの App Directory で確認できます。

: カスタム SAML シングルサインオンまたはADFS シングルサインオンの設定方法もガイドします!

 

プラスプラン

Slack Enterprise Grid

Step 1 :  ID プロバイダを設定する

まずは、コネクタ・アプリケーションである Slack SSO に対して、利用する IDP との接続を設定します。

提携している多くの ID プロバイダのヘルプページに、Slack で SAML を有効にする方法の説明が掲載されています。
提携プロバイダ : 
OneLoginPing IdentityPing FederateOktaMicrosoft Azure Active DirectoryBitiumLastPassCentrifyClearloginAuth0NoPassword

注意 :  もし G Suite  をご利用になりたい場合は、 G Suite シングルサインオン  のページを参照してください。

 

Step 2 — チームの SSO を設定する

IDP の設定が完了したら、次は Slack で SSO 機能を有効にします。これはチームのオーナーのみが実行することができます。

追加手順 :

  1.  Team Settings (チームの設定) : my.slack.com/admin/settings  にアクセスします。
  2. 認証」タブをクリックします。
  3. 設定するをクリックして、SAML認証を有効にします (OneLogin、Okta、またはカスタム SAML 2.0 ソリューション)。

 

Step 3 :  SAML 2.0 を設定する

Slack は OneLogin と Okta に対応アプリケーションとして登録されています。これらの IDP を使う場合は、IDP のダッシュボードから Slack アプリケーションを検索します。

Tip: 新しい SAML 認証の設定を適用する前に、テストモードに切り替えて接続を試し、認証が通るかを必ず確認してください。

以下の手順に従って、シングルサインオンを設定してください。

  1. SAML プロバイダを選択してから、設定する」をクリックします。
  2. SAML SSO URLのスペースに、利用する SAML 2.0 Endpoint URL (HTTP) を入力します。この情報は、Step 1 で Slack SSO を登録した際に取得済みです。Okta を利用する場合は、任意で IDP URL を含めることもできます。
  3. IDP のエンティティ ID を Identity Provider Issuer  (発行 ID プロバイダ ) 欄に入力します。 

  4. IDP から取得した x.509 証明書全体を「公開証明書」欄に貼り付けます。

  5.  Advanced Options (詳細設定)を開きます。 SAML の応答とアサーションに署名するかどうかを選択します。お使いの IDP で  End to End Encryption (E2EE) キー が必要な場合には、Sign AuthnRequest (認証リクエストにサインする)のとなりのチェックボックスを選択し、 証明書を表示します。このセクションには  AuthnContextClassRef サービスプロバイダ発行者も表示されます。
    Screen_Shot_2017-07-06_at_12.40.46_PM.png
  6. SSO を有効にした後でプロフィール情報の編集 (メールやユーザー名など) をメンバーに許可するかどうかを、「設定」で調整します。SSO を必須にするか、一部必須にするか*、またはオプションにするかも選択できます。
  7. 最後に、メンバーがログイン時に利用するサインインボタンの表示を カスタマイズ します。
  8.  Save Configuration  (設定を保存する) をクリックして、設定終了です。 

注: ゲストアカウントがある場合は、ゲストがアクセス権のあるワークスペースにサインインできるように、SSO を部分的に必須にするオプションを選択することをおすすめします。

 

SSO の有効後 に予想されること

SSO の設定が完了すると、設定の変更に関する通知メールが各メンバーに届きます。メールの手順に従って、Slack アカウントを ID プロバイダに接続またはバインドします。

これからは、チームのメンバー全員が ID プロバイダのアカウントを使って Slack にログインします。SSO の設定を「必須」にしている場合は、メンバーがチームのURLにアクセスした時、以下の画像のようなログインページからログインすることになります :

Tip :  ユーザー管理をよりシンプルにするため、Slack では SCIM のプロビジョニング標準仕様に対応しています。これにより、SCIM API による、ユーザーの自動作成と削除が可能になりました。詳しくは、SCIM プロビジョニングによるメンバー管理 ページを参照してください。


SSO 設定の更新内容 をテストする

SSO の設定後にその設定内容を変更する場合、プラスプランのチームは変更を加えた後にその変更内容をメンバーのシングルサインオン機能に影響を及ぼすことなく安全にテストすることができます。 

操作手順 :

  1.  Team Settings (チームの設定)ページmy.slack.com/admin/settingsにアクセスします。 
  2. 画面左上のメニューアイコンをクリックして開いたら、 Authentication (認証) をクリックします。
  3.  Change Settings (設定を変更する) をクリックします。
  4. 画面右上のトグルを Test (テスト) モードに切り替えます。
    testmode.png
  5. SSO 設定内の数値で、更新したい内容を入力します。
  6. Test Configuration  (設定をテストする) をクリックします。変更内容が無事反映された場合、またはさらに変更する必要がある場合にはこちらからお知らせします。
    testandsave.png
  7. 準備が整ったら Save Configuration (設定を保存する) をクリックして変更を反映させます。 

Step 1 :  ID プロバイダを設定する

まずは、コネクタ・アプリケーションである Slack SSO に対して、利用する IDP との接続を設定します。

提携している多くの ID プロバイダのヘルプページに、Slack で SAML を有効にする方法の説明が掲載されています。
提携プロバイダ : 
OneLoginPing IdentityPing FederateOktaMicrosoft Azure Active DirectoryBitiumLastPassCentrifyClearloginAuth0NoPassword

注意 :  もし G Suite  をご利用になりたい場合は、 G Suite シングルサインオン  のページを参照してください。

 

Step 2 — オーガナイゼーションの SSO を設定する

IDP の設定が完了したら、次は Enterprise Grid オーガナイゼーションで SSO 機能を有効にします。これはOrG オーナーまたは OrG 管理者のみが実行することができます。

追加手順 :

  1. Slack Enterprise Grid にサインインして、「オーガナイゼーションの管理」をクリックします。
  2. 管理者ダッシュボードの    (Security / セキュリティ) ページにアクセスします。
  3. 「SSO の構成」セクションの「SSO の構成」をクリックします。


Step 3 — SAML 2.0 認証を設定する

Slack は OneLogin と Okta に対応アプリケーションとして登録されています。これらの IDP を使う場合は、IDP のダッシュボードから Slack アプリケーションを検索します。

以下の手順に従って、SSO の構成  ページでシングルサインオンを設定します。
  1. お使いの SAML 2.0 Endpoint URL を入力します。Slack の認証リクエストはここから送信されます。この情報は、Step 1 で Slack SSO を登録した際に取得済みです。
  2.  ID プロバイダ発行者の URL を入力します。この URL はエンティティ ID ともいいます。 
  3. サービスプロバイダ発行者の URL はデフォルトで https://slack.com に設定されています。この項目は、IDP 出設定した URL と同じにする必要があります。
  4. IDP から取得した x.509 証明書全体をコピーします。
  5.  SAML の応答とアサーションに署名するかどうかを選択します。お使いの IDP で  End to End Encryption (E2EE) キー が必要な場合は、「認証リクエストに署名する」の横のチェックボックスを選択して証明書を表示します。AuthnContextClassRef の値も希望の通りに設定できます。
  6. テスト設定」をクリックします。変更が適切に反映されたかどうか、またはさらに変更が必要かどうかをお知らせします。
  7. 準備ができたら、「SSO をオンにする」をクリックします。 

 

SSO の有効後 に予想されること

SSO の設定が完了すると、設定の変更に関する通知メールが各メンバーに届きます。メールの手順に従って、Slack アカウントを ID プロバイダに接続またはバインドします。

これからは、チームのメンバー全員が ID プロバイダのアカウントを使って Slack にログインします。SSO の設定を「必須」にしている場合は、メンバーがチームのURLにアクセスした時、以下の画像のようなログインページからログインすることになります :

Tip :  ユーザー管理をよりシンプルにするため、Slack では SCIM のプロビジョニング標準仕様に対応しています。これにより、SCIM API による、ユーザーの自動作成と削除が可能になりました。詳しくは、SCIM プロビジョニングによるメンバー管理 ページを参照してください。


SSO 設定の更新内容 をテストする

SSO をいったん設定した後で更新する場合は、メンバーのシングルサインオンに影響せずに変更を行って、安全にテストすることができます。

操作手順 :

  1. Slack Enterprise Grid にサインインして、「オーガナイゼーションの管理」をクリックします。
  2. 管理者ダッシュボードの  セキュリティ  ページにアクセスします。
  3. 「SSO の構成」セクションの「SSO の構成」をクリックします。
  4. 設定を変更する」をクリックして、更新したい内容を SSO 設定の値に入力します。 
  5. テスト設定」をクリックします。変更が適切に反映されたかどうかをお知らせします。
  6. 準備ができたら、「更新を確認する」をクリックします。
誰がこの機能を使用することができますか?
  • チームのオーナーは、チーム用 Slack でこの機能にアクセスできます。OrG オーナーは、エンタープライズ用 Slack でこの機能にアクセスできます。
  •  プラスプラン Slack Enterprise Grid  をご利用のチームで利用可能です。

関連記事

最近チェックした記事