ADFS シングルサインオン

ご利用の Active Directory フェデレーション サービス (AD FS) のインスタンスを連携させれば、チームメンバーのシングルサインオンをよりシームレスに管理することが可能になります。

注意 :  AD FSは、現在のところ、SCIM API での自動デプロビジョニングには対応していません。ご利用の IDP でメンバーのデプロビジョニングを行う場合は、忘れずに Slack でメンバーを解除してください。


Step 1 — Slack の ADFS を設定する

では、早速 ADFS を設定していきましょう。

  1. AD FS 管理コンソールを開き、設定識別子 タブをクリックします。
  2. 表示名 を入力します。ユーザーの多くは、Slack ワークスペース名や Enterprise Grid 名を入れるようです。
  3. 証明書利用者の識別子 を入力します。Slack を追加したいチームは、 https://slack.com  と入力してください。必要あればこのフィールドをカスタマイズすることもできますが、サービスプロバイダ発行者フィールドも合わせて更新する必要があります。「設定とアクセス許可」  に移動し、「認証」  タブをクリックして、SAML 認証の横の 「設定する」 をクリックします。
  4.  追加  OK の順にクリックして進みます。 
    ADFS
  5. 「エンドポイント」タブをクリックします。コンシューマーアサーションの URL へのエンドポイントを作成するには、「エンドポイントタイプ」 メニューにある 「SAML アサーションコンシューマー」オプションを選択します。以下のプランに一致する値を選択し、「信頼できるURL」フィールドにその値を入力して、「チームメート」を Slack サブドメインに置き換えます。 

    •  プラス記号: 
    https://yourdomain.slack.com/sso/saml
    •  Slack Enterprise Grid: https://yourdomain.enterprise.slack.com/sso/saml

    「OK」をクリックして保存します。
    saml_domain_grid
  6. 次に、証明書利用者信頼 (この場合は、自分が所属する Slack ワークスペースもしくは Enterprise Grid ) に、ルールまたはアサーションの要求を作成します。Slack は、出力方向の要求タイプの属性と値のみ受け取るため、属性リストの表示様式が異なるかもしれません。 Slack の属性 と名前ID の2種類の要求が必要ですので注意してください。
    attributes_values
  7.  ルールを追加する をクリックします。出力方向の要求の種類の  User.Email のみが必要です。LDAP 属性を要求として送るためのルールを追加します。出力方向の要求の種類は大文字小文字の区別があることに注意してください。 
    LDAP_rulecase_sensitive_rules
  8. 次に、入力方向の要求を変換するルールを追加します。
    incoming_claim_rule
     名前ID の要求のルールを開き、出力方向の名前ID 形式を 永続 ID に変更します。 OK  をクリックして保存します。
    識別子

 

Step 2 — Slack と IDP を連携させる

プラスプラン

Slack Enterprise Grid

次に、ワークスペースの認証に関する設定に AD FS の詳細を追加します。

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」を選択し、その後「ワークスペースの設定」を選択します。
  3.  Authentication (認証) をクリックし、SAML 認証 (OneLogin・Okta・カスタム SAML 2.0 solution) の横の  Configure  (設定する) をクリックします。 
  4.  SAML 2.0 Endpoint (HTTP) を入力します。
    SAML_endpoint
  5.  Public Certificate  (公開証明書) のフィールドに、x.509 証明書のコピーをペーストします。 
  6. 複数の証明書利用者信頼を Slack に設定する場合は、 「詳細設定」 メニューを開きます。 「認証コンテキストクラスリファレンス」の横の、「パスワードで保護されたトランスポートと Windows - 内部・外部認証時に AD FS と合わせて利用する」を選択します。その後、ユニークな「サービスプロバイダーの発行者」を入力します。
    service_provider
  7.  Save(保存する) をクリックして終了です。

次に、ワークスペースの認証に関する設定に AD FS の詳細を追加します。

  1. Slack Enterprise Grid にサインインし、 Manage organization (オーガナイゼーションの管理) をクリックします。
  2. 管理者ダッシュボードの    (Security / セキュリティ) ページにアクセスします。
  3.  Authentication(認証) 項目に  SAML 2.0 Endpoint (HTTP)  を入力します。
    認証
  4.  Public Certificate  (公開証明書) のフィールドに、x.509 証明書のコピーをペーストします。 
  5. 複数の証明書利用者信頼を Slack に設定することができます。  AuthnContextClass Ref (認証コンテキストクラスリファレンス) の項目で、PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) (パスワードで保護されたトランスポートと Windows / 内部・外部認証時に AD FS と合わせて利用する) を選択します。
  6. ユニークな  サービスプロバイダーの発行者  を入力します。
    service_provider_issuer
  7.  Save Changes  (変更を保存する) をクリックします。

注意 :  設定でつまずいた場合は、Slack にご一報ください。喜んでお手伝いします。ただし、ご利用の接続で Slack が正しく動作するという保証はありません。まずは、Slack に連絡してください!解決方法を一緒に探していきましょう。

誰がこの機能を使用することができますか?
  • ワークスペースのオーナー管理者だけがこの機能にアクセスできます。
  •  プラスプラン Slack Enterprise Grid  をご利用のワークスペースで利用可能です。

関連記事

最近チェックした記事