SAML シングルサインオン

SAML ベースのシングルサインオン (SSO) を有効にすると、メンバーは、お選びの ID プロバイダ (IDP) 経由で Slack にアクセスできます。

Slack が提携している ID プロバイダ (IDP) は、App ディレクトリの  セキュリティ & コンプライアンス  から一覧で確認できます。

注意 : カスタム SAML シングルサインオンADFS シングルサインオン の設定方法についてのガイドも用意していますのでチェックしてみてください。 


Step 1 : ID プロバイダを設定する

まずは、コネクタ・アプリケーションである Slack SSO に対して、利用する IDP との接続を設定します。

ID プロバイダの多くで Slack での SAML 設定に関するヘルプページが用意されています: 

注意 :  もし G Suite oAuth2.0  を利用したい場合は、 G Suite シングルサインオン  のページを参照してください。


Step 2: Slack の SAML SSO を設定する

プラスプラン

Enterprise Grid プラン

IDP の設定が完了したら、次は Slack の SSO 機能を有効にします。これはワークスペースのオーナーのみが実行することができます。

Tip: 新しい SAML 認証の設定を適用する前に、テストモードに切り替えて接続を試し、認証が通るかを必ず確認してください。

    1. デスクトップの画面左上にあるワークスペース名をクリックします。
    2. メニューから「その他管理項目」を選択し、その後「ワークスペースの設定」を選択します。
    3. 「認証」タブをクリックします。
    4. SAML 認証のとなりの「設定する」をクリックし、お使いの SAML プロバイダを選択し、 「設定する」をクリックします。
    5.  「SAML SSO URL」のとなりに、SAML 2.0 Endpoint URL (HTTP) を入力します。(この情報は、Step 1 でのコネクタの設定時に取得済みです。Okta を利用する場合は、任意で IDP URL を含めることもできます。)
    6. ID プロバイダ発行者 のとなりに IDP のエンティティ ID を入力します。 
    7. IDP から取得した「x.509 証明書」全体をコピーして「公開証明書」欄にペーストします。
    8. 「詳細設定」の隣の「開く」をクリックします。IDP からの SAML レスポンス をどのように受け取るかを選択します。End to End Encryption (E2EE) キーが必要な場合は、「認証リクエストに署名する」の横のチェックボックスを選択して証明書を表示します。
    9. SSO を有効にした後でプロフィール情報の編集 (メールや表示名など) をメンバーに許可するかどうかを、「設定」で決定します。SSO を「必須」にするか、「一部必須」にするか*、または「オプション」にするかも選択できます。
    10. 「カスタマイズ」から、 サインインアイコンラベルを入力します。
    11. 「設定を保存する」をクリックして、設定終了です。

注 : ゲストアカウントがある場合は、ゲストがアクセス権のあるワークスペースにサインインできるように、SSO を部分的に必須にするオプションを選択することをおすすめします。

IDP の設定が完了したら、次は Enterprise Grid オーガナイゼーションで SSO 機能を有効にします。これはOrG オーナーまたは OrG 管理者のみが実行することができます。

  1. Slack Enterprise Grid にサインインして、「オーガナイゼーションの管理」をクリックします。
  2. 管理者ダッシュボードの  セキュリティ  ページにアクセスします。
  3. 「SSO の構成」セクションの「SSO の構成」をクリックします。
  4.  SAML 2.0 Endpoint URL を入力します。Slack の認証リクエストはここから送信されます。この情報は、Step 1 で コネクタを設定した際に取得済みです。 
  5. 「ID プロバイダ発行者の URL」 を入力します。この URL はエンティティ ID ともいいます。 
  6.  「サービスプロバイダ発行者の URL」 はデフォルトで https://slack.com に設定されています。この項目は、IDP で設定した URL と同じにする必要があります。
  7. IDP から取得した x.509 証明書全体をコピーします。
  8.  SAML の応答とアサーションに署名するかどうかを選択します。お使いの IDP で  End to End Encryption (E2EE) キー が必要な場合には、「認証リクエストに署名する」のとなりのチェックボックスを選択し、 証明書を表示します。「AuthnContextClassRef」 の値も希望に応じて設定できます。
  9. テスト設定」をクリックします。変更が適切に反映されたかどうか、またはさらに変更が必要かどうかをお知らせします。
  10. 準備ができたら、「SSO をオンにする」をクリックします。 


 💡  オーガナイゼーションのワークスペースに IDP グループを接続する方法を参照してください。 


SSO の有効化後に予想されること

シングルサインオンの設定が完了すると、設定の変更に関する通知メールが、各メンバーに届きます。通知メールの手順に従い、IDP と自分の Slack アカウントを バインド  (連結) させます。メンバーは、リンクの有効期間である72時間以内にアカウントをバインドさせる必要があります。

以上をもって、チームのメンバー全員が ID プロバイダのアカウントを使って Slack にサインインするようになりました。SSO の設定を必須にしている場合には、メンバーが Slack URL にアクセスした際に、サインインページが表示されます。

Tip :  メンバーの管理をよりシンプルにするため、Slack では SCIM のプロビジョニング標準仕様に対応しています。自動でメンバーを管理する方法については、SCIM プロビジョニングによるメンバー管理 を参照してください。


SSO 設定の更新内容をテストする

プラスプラン

Enterprise Grid プラン

SSO の設定後にその設定内容を変更する場合は、メンバーのシングルサインオン機能に影響を及ぼすことなく安全に変更を行いテストすることができます。 

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」を選択し、その後「ワークスペースの設定」を選択します。
  3. 「認証」タブをクリックします。
  4.  「設定を変更する」 をクリックします。
  5. 画面右上のトグルを「テスト」モードに切り替えます。
  6. 更新したい内容を入力します。 
  7. 準備ができたら、「設定を保存する」をクリックして変更を保存します。

SSO の設定後にその設定内容を変更する場合は、メンバーのシングルサインオン機能に影響を及ぼすことなく安全に変更を行いテストすることができます。 

  1. Slack Enterprise Grid にサインインして、「オーガナイゼーションの管理」をクリックします。
  2. 管理者ダッシュボードの  セキュリティ  ページにアクセスします。
  3. 「SSO の構成」セクションの「SSO の構成」をクリックします。
  4. 「設定を変更する」をクリックして、更新したい内容を SSO 設定の値に入力します。
  5. テスト設定」をクリックします。変更が適切に反映されたかどうかをお知らせします。
  6. 準備ができたら、「更新を確認する」をクリックします。

 

誰がこの機能を使用することができますか?
  •  ワークスペースのオーナー と管理者 だけがこの機能にアクセスできます。 
  •  プラスプラン Slack Enterprise Grid  をご利用のワークスペースで利用可能です。

関連記事

最近チェックした記事