カスタム SAML シングルサインオン
利用したい ID プロバイダが Slack に対応していない場合は、カスタム SAML 接続オプションを利用することができます。
注意 : 設定に関してお困りの場合は、Slack までご連絡頂ければ喜んで設定のお手伝いをいたしますが、ご利用のネットワークで Slack が必ずしも正しく動作するという保証はありません。 まずは、SAML 認証エラーのトラブルシューティング の記事を参照するか、 Slack までご連絡ください。 そこから一緒にトラブルの解決方法を探していきましょう。
パラメーター
カスタム SAML 接続を設定する際は、以下のパラメーターに従ってください。
プロビジョニング
- Slack は ID プロバイダ (IDP) Initiated フロー、サービスプロバイダー (SP) initiated フロー、ジャストインタイム (JIT) プロビジョニング、Slack の SCIM API による自動プロビジョニングに対応しています。
- SP-Initiated シングルサインオンについては、次を参照してください: https://yourdomain.slack.com.
SSO ポスト バックアップ URL
- https://yourdomain.slack.com/sso/saml
(別名アサーションコンシューマーサービス URL)
エンティティ ID
- https://slack.com
SAML ログアウトエンドポイント
- https://yourdomain.slack.com/sso/saml/logout
要注意 : Slack はシングルログアウトやお使いの IDP で設定されたセッションの有効期限には対応していません。
注意点
- Slack は HTTP POST binding に対応しており、HTTP REDIRECT には対応していません。 HTTP POST binding の設定は、IDP メタデータ内で行う必要があります。
- 利用するIDPがアサーションを発行する前に、ユーザーは必ず認証され承認されなければなりません。ユーザーが承認されないと、アサーションは発行されません。その場合、IDP によってユーザーが HTTP 403 ページなどに転送されるよう設定することをお勧めいたします。
必ず盛り込む設定
NameID (必須)
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"NameQualifier="あなたのドメイン.slack.com"SPNameQualifier="https://slack.com">あなたの一意の識別子</saml:NameID>
</saml:Subject>
注意: SAML の仕様を充たすためには、NameID はユニークかつ擬似ランダムで、従業員 ID 番号のように、時間が経っても変更することのないものにしてください。
Email Attribute (必須)
<saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>
Username Attribute (任意)
<saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>
First Name Attribute (任意)
<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>
Last Name Attribute (任意)
<saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>
証明書
公開証明書
Slack では、SAML レスポンスが署名され、メンバーの身分を証明する有効な x.509 証明書 がペーストされ提出される必要があります。これは、SSL certificate とは異なります。
End to End Encryption (E2EE) キー
IDP の E2EE キーが必要な場合は、ワークスペースの SSO 設定にある 「詳細設定」ボタンをクリックして、証明書を見つけます。そこで、「AuthnRequest に署名する」にチェックを入れると、Slack の公開 Encryption キーが確認できます。
注意 : Active Directory Federation Services (ADFS) インスタンスを接続したい場合は、 ADFS シングルサインオン から詳細を確認してください。
- ワークスペースのオーナーだけがこの機能にアクセスできます。
-
ビジネスプラスと Enterprise Grid の各プラン