カスタム SAML シングルサインオン

利用することにした ID プロバイダが Slack に既に対応しているとは限りません。対応していない場合は、カスタム SAML 接続オプションを利用することができます。

注意 :  設定に関しお困りの場合は、Slack までご連絡頂けましたら喜んで設定のお手伝いをさせていただきますが、選択されたIDプロバイダと Slack が正しく動作するという保証ははありません。まずは、私たちまでご連絡ください!そこから一緒にトラブルの解決方法を探していきましょう。 


パラメーター

カスタム SAML 接続を設定する際、以下のパラメーターに従ってください :

  • プロビジョニング : Slack は ID プロバイダ (IDP) initiated SSO, Service Provider (SP) initiated SSO, ジャストインタイム (JIT) プロビジョニング、Slack の SCIM API による自動プロビジョニングに対応しています。SP initiated SSO は、https://ドメイン.slack.com. にアクセスしてください。
  • SSO ポストバック URL (または Assertion Consumer Service URL) :  https://yourdomain.slack.com/sso/saml
  • エンティティ ID :  https://slack.com
  • SAML ログアウトのエンドポイント: https://yourdomain.slack.com/sso/saml/logout


注意点

  • Slack は  HTTP POST binding  に対応しており、HTTP REDIRECT には対応していません。 HTTP POST binding の設定は、IDP メタデータ内で行う必要があります。
  • 利用するIDPがアサーションを発行する前に、ユーザーは必ず認証され承認されなければなりません。ユーザーが承認されないと、アサーションは発行されません。その場合、IDP によってユーザーが HTTP 403 ページなどに転送されるよう設定することをお勧めいたします。


必ず盛り込む設定

NameID (必須)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"NameQualifier="あなたのドメイン.slack.com"SPNameQualifier="https://slack.com">あなたの一意の識別子</saml:NameID>
</saml:Subject>

Tip :  NameID には、社員番号のような、長期間変更することのない固有の識別子を含む必要があります。NameID 形式は上記例にマッチするようにしてください。


Email Attribute (必須)

 <saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>

 

Username Attribute (任意)

 <saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>

 

Full Name 属性 (任意)

<saml:Attribute Name="full_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>
 

証明書

公開証明書

Slack では、SAML レスポンスが署名され、 メンバーの身分を証明する有効な  x.509 証明書  がペーストされ提出される必要があります。これは、SSL certificate とは異なります。  

End to End Encryption (E2EE) キー 

IDP の E2EE キーが必要な場合は、ワークスペースの SSO 接てにある Advanced Options (詳細オプション) ボタンをクリックして、証明書を見つけます。そこで、Sign AuthnRequest (AuthnRequest にサイン) にチェックを入れると、Slack の公開 Encryption キーが確認できます。

Screen_Shot_2017-07-06_at_10.55.10_AM.png

注意 :  Active Directory Federation Services (ADFS) インスタンスを接続したい場合は、 ADFS シングルサインオン  から詳細を確認してください。

誰がこの機能を使用することができますか?
  •  ワークスペースのオーナーだけがこの機能にアクセスできます。 
  •  プラスプラン Slack Enterprise Grid  をご利用のワークスペースで利用可能です。

関連記事

最近チェックした記事