カスタム SAML シングルサインオン

利用することにした ID プロバイダが Slack に既に対応しているとは限りません。対応していない場合は、カスタム SAML 接続オプションを利用することができます。

注意 :  設定に関しお困りの場合は、Slack までご連絡頂けましたら喜んで設定のお手伝いをさせていただきますが、選択されたIDプロバイダと Slack が正しく動作するという保証ははありません。まずは、私たちまでご連絡ください!そこから一緒にトラブルの解決方法を探していきましょう。 


パラメーター

カスタム SAML 接続を設定する際、以下のパラメーターに従ってください :

  • プロビジョニング :  Slack は ID プロバイダ (IDP) initiated SSO, Service Provider (SP) initiated SSO, ジャストインタイム (JIT) プロビジョニング、Slack の  SCIM API  による自動プロビジョニングに対応しています。SP initiated SSO は、https://チーム名.slack.com. にアクセスしてください。
  • SSO ポストバック URL (または Assertion Consumer Service URL) :  https://yourteamname.slack.com/sso/saml
  • エンティティ ID :  https://slack.com
  • SAML ログアウト URL : https://yourteamname.slack.com/sso/saml/logout


注意点

  • Slack は  HTTP POST binding  に対応しており、HTTP REDIRECT には対応していません。 HTTP POST binding の設定は、IDP メタデータ内で行う必要があります。
  • 利用するIDPがアサーションを発行する前に、ユーザーは必ず認証され承認されなければなりません。ユーザーが承認されないと、アサーションは発行されません。その場合、IDP によってユーザーが HTTP 403 ページなどに転送されるよう設定することをお勧めいたします。


必ず盛り込む設定

NameID (必須)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="TEAMDOMAIN.slack.com" SPNameQualifier="https://slack.com">Your Unique Identifier</saml:NameID>
</saml:Subject>

Tip :  NameID には、社員番号のような、長期間変更することのない固有の識別子を含む必要があります。NameID 形式は上記例にマッチするようにしてください。


Email Attribute (必須)

 <saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>

 

Username Attribute (任意)

 <saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>

 

First Name Attribute (任意)

<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>

 

Last Name Attribute (任意)

  <saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>

 

証明書

公開証明書

Slack では、SAML レスポンスが署名され、 メンバーの身分を証明する有効な  x.509 証明書  がペーストされ提出される必要があります。これは、SSL certificate とは異なります。  

End to End Encryption (E2EE) キー 

IDP に対して E2EE キーを必要とする場合は、チームの SSO 設定項目から、 Advanced Options  (詳細オプション) ボタンをクリックして証明書を表示します。そこで、Sign AuthnRequest (AuthnRequest にサイン) にチェックを入れると、Slack の公開 Encryption キーが確認できます。

Screen_Shot_2017-07-06_at_10.55.10_AM.png

注意 :  Active Directory Federation Services (ADFS) インスタンスを接続したい場合は、 ADFS シングルサインオン  から詳細を確認してください。

誰がこの機能を使用することができますか?
  •  チームのオーナー のみがこの機能を使用することができます。
  •  プラスプラン Slack Enterprise Grid  をご利用のチームで利用可能です。

関連記事

最近チェックした記事