SAML シングルサインオン

SAML ベースのシングルサインオン(SSO) を有効にすると、メンバーは、チームが設定する ID プロバイダを経由して Slack にアクセスすることができるようになります。

Slack が提携している ID プロバイダ (IDP) は、App ディレクトリの  セキュリティ & コンプライアンス  の項目から一覧で確認できます。

注意 :  カスタム SAML シングルサインオン と ADFS シングルサインオン の設定方法についてのガイドも用意してますのでチェックしてみてください!

 

Step 1 :  ID プロバイダを設定する

まずは、コネクタ・アプリケーションである Slack SSO に対して、利用する IDP との接続を設定します。

提携している多くの ID プロバイダのヘルプページに、Slack で SAML を有効にする方法の説明が掲載されています。
提携プロバイダ : 
OneLoginPing IdentityPing FederateOktaMicrosoft Azure Active DirectoryBitiumLastPassCentrifyClearloginAuth0NoPassword

注意 :  もし G Suite  をご利用になりたい場合は、 G Suite シングルサインオン  のページを参照してください。

 

Step 2 :  チームの SSO を設定する

IDP の設定が完了したら、次はチームの SSO 機能を有効にします。これはチームのオーナーのみが実行することができます。以下の手順に従ってください :

  1.  Team Settings (チームの設定) : my.slack.com/admin/settings  にアクセスします。
  2.  Authentication (認証) タブをクリックします。
  3. Next, click Configure for SAML authentication (OneLogin, Okta, or your custom SAML 2.0 solution).

 

Step 3 :  SAML 2.0 を設定する

Slack は OneLogin と Okta に対応アプリケーションとして登録されています。これらの IDP を使う場合は、IDP のダッシュボードから Slack アプリケーションを検索します。 

Tip : 新しい SAML 認証設定を適用する前に、 テスト モードに切り替えて接続を試し、認証が通るかを必ず確認してください。 現時点では、この機能は プラスプランのチームのみ利用できます。

以下の手順に従って、シングルサインオンを設定してください :
  1. SAML プロバイダ を選択して、Configure (設定する) をクリックします。
  2.  SAML SSO URL の項目に、利用する IDP の SAML 2.0 Endpoint URL (HTTP) を入力します。この情報は、Step 1 で Slack SSO を登録した際に取得できます。もし Okta を利用する場合、任意で IDP URL を含めることも可能です。
  3. IDP のエンティティ ID を Identity Provider Issuer  (発行 ID プロバイダ ) 欄に入力します。 

  4. 次に、IDP から取得した x.509 証明書  をコピーして Public Certificate  (証明書) 欄にペーストします。

  5.  Advanced Options (詳細設定) を開いて、IDP からの SAML レスポンス をどのように受け取るかを選択します。

  6.  Settings  (設定) の項目から、SSO を有効にした後も、プロフィール情報 (メールアドレスやユーザー名など) の編集をチームメンバーに許可するかどうかを選択して設定できます。また、SSO を 必須 とするか、部分的に必須 * とするか、または 任意 とするかを選択します。
  7. 最後に、メンバーがログイン時に利用するサインインボタンの表示を カスタマイズ します。
  8.  Save Configuration  (設定を保存する) をクリックして、設定終了です。 

Note: チームにゲストアカウントが存在する場合は SSO の設定を「部分的に必須」にしておくことをおすすめします。このオプションが選択されている場合、ゲストメンバーもチームへアクセスすることが可能になります。

 

SSO の有効後 に予想されること

Slack チームのシングルサインオンの設定が完了すると、それに関する通知メールが、各メンバーに届きます。通知メールの手順に従い、IDP と自分の Slack アカウントを バインド  (連結) させます。

以上をもって、チームのメンバー全員が ID プロバイダのアカウントを使って Slack にログインするようになりました。SSO の設定を「必須」にしている場合は、メンバーがチームのURLにアクセスした時、以下の画像のようなログインページからログインすることになります :

Tip :  ユーザー管理をよりシンプルにするため、Slack では SCIM のプロビジョニング標準仕様に対応しています。これにより、SCIM API による、ユーザーの自動作成と削除が可能になりました。詳しくは、 SCIM プロビジョニングによるメンバー管理  ページを参照してください。


SSO 設定の更新内容 をテストする

SSO の設定後にその設定内容を変更する場合、プラスプランのチームは変更を加えた後にその変更内容をメンバーのシングルサインオン機能に影響を及ぼすことなく安全にテストすることができます。 

手順は以下のとおりです :
  1.  Team Settings (チームの設定)ページmy.slack.com/admin/settingsにアクセスします。 
  2. 画面左上のメニューアイコンをクリックして開いたら、 Authentication (認証) をクリックします。
  3.  Change Settings (設定を変更する) をクリックします。
  4. 画面右上のトグルを Test (テスト) モードに切り替えます。
    testmode.png
  5. SSO 設定内の数値で、更新したい内容を入力します。
  6. Test Configuration  (設定をテストする) をクリックします。変更内容が無事反映された場合、またはさらに変更する必要がある場合にはこちらからお知らせします。
    testandsave.png
  7. 準備が整ったら Save Configuration (設定を保存する) をクリックして変更を反映させます。 

 

誰がこの機能を使用することができますか?
  • チームのオーナー のみがこの機能を使用することができます。
  •  プラスプラン Slack Enterprise Grid  をご利用のチームで利用可能です。

関連記事

最近チェックした記事