SAML シングルサインオン

SAML ベースのシングルサインオン(SSO)を有効にすると、選択した ID プロバイダ(IDP)経由でメンバーが Slack にアクセスできます。

注 :SAML シングルサインオンの設定でお困りの場合は、SAML 認証エラーのトラブルシューティングの記事を参照してください。

Tip : ワークスペースのオーナー(ビジネスプラス)と OrG オーナー(Enterprise Grid)は、SSO 認証をスキップし、メールアドレスとパスワードだけでサインインすることができます。これにより、ID プロバイダに問題が発生していても、ワークスペースや OrG へのアクセスが確保できます。


ステップ 1 : ID プロバイダを設定する

まずは、Slack と IDP の接続 (または、コネクタ) の設定が必要です。ID プロバイダの多くで Slack での SAML 設定に関するヘルプページが用意されています。

注意 :カスタム SAML シングルサインオンGoogle Workspace シングルサインオンADFS シングルサインオンの設定方法についてのガイドも用意しています。


ステップ 2 :  Slack の SAML SSO を設定する

ビジネスプラスプラン

Enterprise Grid プラン

ID プロバイダ(IDP)の設定が完了したら、次は SSO を有効にします。これはワークスペースのオーナーのみが実行することができます。

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「設定とその他管理項目」を選択し、その後「ワークスペースの設定」をクリックします。
  3. 「認証」タブをクリックします。
  4. 「SAML 認証」の横にある「設定する」をクリックします。
  5. 画面右上のトグルを「テスト」モードに切り替えます。
  6. 「SAML SSO URL」の横にSAML 2.0 Endpoint URL (HTTP) を入力します (この情報はコネクタの設定時に取得済みです。IDP に Okta を利用する場合は、必要に応じて IDP URL を入力に含めることもできます)。
  7. ID プロバイダ発行者の横に IDP のエンティティ ID を入力します。
  8. IDP から取得した「x.509 証明書」全体をコピーして「公開証明書」フィールドにペーストします。
  9. 「詳細設定」オプションの横にある「開く」をクリックします。IDP からの SAML レスポンス に署名する方法を選択します。End to End Encryption (E2EE) キーが必要な場合は、「AuthnRequest に署名する」の横のチェックボックスを選択して証明書を表示します。
  10. SSO を有効にしたら、プロフィール情報 (メールや表示名など) の編集をメンバーに許可するかどうかを、「設定」で決めます。SSO を「必須」、「一部必須」*、「オプション」のいずれかに設定することもできます。
  11. 「カスタマイズ」から、サインインアイコンラベルを入力します。
  12. 「設定を保存する」をクリックして、設定終了です。

* ゲストアカウントがある場合は、ゲストがメールアドレスとパスワードでサインインできるよう、SSO を部分的に必須にするオプションを選択することをおすすめします。

ID プロバイダ(IDP)の設定が完了したら、次は Enterprise Grid オーガナイゼーションで SSO を有効にします。これは OrG オーナーのみが実行することができます。

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「設定とその他管理項目」を選択して、「オーガナイゼーションの設定」をクリックします。
  3. 左側のサイドバーで、「セキュリティ」をクリックします。 
  4. 「SSO 設定」をクリックします。
  5. SSO 名を入力します。
  6. SAML 2.0 Endpoint URL を入力します (この情報はコネクタの設定時に取得済みです)。 Slack の認証リクエストはここから送信されます。
  7. ID プロバイダ発行者の URL を入力します。この URL はエンティティ ID ともいいます
  8. 「サービスプロバイダ発行者の URL」はデフォルトで https://slack.com に設定されています。このフィールドは、IDP で設定した URL と同じにする必要があります。
  9. IDP から取得した x.509 証明書全体をコピーします。
  10. SAML のレスポンスとアサーションに署名するかどうかを選択します。お使いの IDP で End to End Encryption (E2EE) キー が必要な場合には、「AuthnRequest に署名する」の横にあるチェックボックスを選択して、証明書を表示します。「AuthnContextClassRef」の値も環境に応じて設定できます。
  11. 「設定のテスト」をクリックします。変更が適切に反映されたか、さらに変更が必要かどうかをお知らせします。
  12. 準備ができたら、「SSO をオンにする」または「SSO を追加する」をクリックします。

Tip : SSO の設定が完了したら、シングルサインオンの設定を管理できます。また、オーガナイゼーションのワークスペースに IDP グループを連携させる方法も確認してみましょう。

SSO 設定を追加する

必要に応じて、最大 11 の SSO 設定を追加して、選択した ID プロバイダからメンバーが Slack にログインできるようにすることができます。

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「設定とその他管理項目」を選択し、その後「オーガナイゼーションの設定」をクリックします。 
  3. 左側のサイドバーで、 「セキュリティ」を選択します。
  4. 「SSO 設定」をクリックします。
  5. 「SSO の設定を追加する」をクリックし、手順に従って Slack の SSO を設定します。


SSO の有効後に予想されること

SSO の設定が完了すると、SSO でのサインインが必要なメンバーに通知メールが届きます。メンバーはメールの手順に従って、Slack アカウントを IDP にバインドします。メンバーは、リンクの有効期間である 72 時間以内にアカウントをバインドさせる必要があります。

SSO が有効にされた時点ですでにサインインしていたメンバーは全員サインインしたままの状態となります。 これ以降は、チームのメンバー全員が IDP のアカウントを使って Slack にサインインするようになります。SSO の設定を必須にしている場合には、メンバーがワークスペースにアクセスする前に、サインインページが表示されます。

Tip :  メンバーの管理をよりシンプルにするため、Slack では SCIM のプロビジョニング標準仕様に対応しています。詳しくは、「SCIM プロビジョニングによるメンバー管理」を参照してください。

誰がこの機能を利用できますか?
  • ワークスペースのオーナー OrG のオーナー
  • ビジネスプラスEnterprise Grid