SAML シングルサインオン

SAML ベースのシングルサインオン(SSO) を有効にすると、メンバーは、チームが設定する ID プロバイダを経由して Slack にアクセスすることができるようになります。

Slack が提携している ID プロバイダ (IDP) は、App ディレクトリの  セキュリティ & コンプライアンス  の項目から一覧で確認できます。

注意 :  カスタム SAML シングルサインオン と ADFS シングルサインオン の設定方法についてのガイドも用意してますのでチェックしてみてください!

 

Step 1 :  ID プロバイダを設定する

まずは、コネクタ・アプリケーションである Slack SSO に対して、利用する IDP との接続を設定します。

提携している多くの ID プロバイダのヘルプページに、Slack で SAML を有効にする方法の説明が掲載されています。
提携プロバイダ : 
OneLoginPing IdentityPing FederateOktaMicrosoft Azure Active DirectoryBitiumLastPassCentrifyClearloginAuth0NoPassword

注意 :  もし G Suite  をご利用になりたい場合は、 G Suite シングルサインオン  のページを参照してください。

 

Step 2 :  チームの SSO を設定する

IDP の設定が完了したら、次はチームの SSO 機能を有効にします。これはチームのオーナーのみが実行することができます。以下の手順に従ってください :

  1.  Team Settings (チームの設定) : my.slack.com/admin/settings  にアクセスします。
  2. 画面左上のメニューアイコンをクリックして開いたら、 Authentication  (認証) を選択します。
  3. 次にSAML authentication  (SAML 認証) の項目の  Configure  (設定) をクリックします。(OneLogin、Okta、またはカスタム SAML ソリューション)

 

Step 3 :  SAML 2.0 を設定する

Slack は OneLogin と Okta に対応アプリケーションとして登録されています。これらの IDP を使う場合は、IDP のダッシュボードから Slack アプリケーションを検索します。

Tip : 新しい SAML 認証設定を適用する前に、 テスト モードに切り替えて接続を試し、認証が通るかを必ず確認してください。現時点では、この機能は プラスプランのチームのみ利用できます。

以下の手順に従って、シングルサインオンを設定してください :
  1. SAML プロバイダ を選択して、Configure (設定する) をクリックします。
  2.  SAML SSO URL の項目に、利用する IDP の SAML 2.0 Endpoint URL (HTTP) を入力します。この情報は、Step 1 で Slack SSO を登録した際に取得できます。もし Okta を利用する場合、任意で IDP URL を含めることも可能です。
  3. (任意) IDP のエンティティ ID を Identity Provider Issuer  (発行 ID プロバイダ ) 欄に入力します。 

  4. 次に、IDP から取得した x.509 証明書  をコピーして Public Certificate  (証明書) 欄にペーストします。

  5.  Advanced Options (詳細設定) を開いて、IDP からの SAML レスポンス をどのように受け取るかを選択します。

  6.  Settings  (設定) の項目から、SSO を有効にした後も、プロフィール情報 (メールアドレスやユーザー名など) の編集をチームメンバーに許可するかどうかを選択して設定できます。また、SSO を 必須 とするか、部分的に必須 * とするか、または 任意 とするかを選択します。
  7. 最後に、メンバーがログイン時に利用するサインインボタンの表示を カスタマイズ します。
  8.  Save Configuration  (設定を保存する) をクリックして、設定終了です。 

Note: チームにゲストアカウントが存在する場合は SSO の設定を「部分的に必須」にしておくことをおすすめします。このオプションが選択されている場合、ゲストメンバーもチームへアクセスすることが可能になります。

 

SSO を有効にした後

Slack チームのシングルサインオンの設定が完了すると、それに関する通知メールが、各メンバーに届きます。通知メールの手順に従い、IDP と自分の Slack アカウントを バインド  (連結) させます。

以上をもって、チームのメンバー全員が ID プロバイダのアカウントを使って Slack にログインするようになりました。SSO の設定を「必須」にしている場合は、メンバーがチームのURLにアクセスした時、以下の画像のようなログインページからログインすることになります :

Tip :  ユーザー管理をよりシンプルにするため、Slack では SCIM のプロビジョニング標準仕様に対応しています。これにより、SCIM API による、ユーザーの自動作成と削除が可能になりました。詳しくは、 SCIM プロビジョニングによるメンバー管理  ページを参照してください。

誰がこの機能を使用することができますか?
  • チームのオーナー のみがこの機能を使用することができます。
  •  プラスプラン Slack Enterprise Grid  をご利用のチームで利用可能です。

関連記事

最近チェックした記事