ADFS シングルサインオン

ご利用の Active Directory フェデレーション サービス (AD FS) のインスタンスを連携させれば、チームメンバーのシングルサインオンをよりシームレスに管理することが可能になります。

注意 :  AD FSは、現在のところ、SCIM API での自動デプロビジョニングには対応していません。ご利用の IDP でメンバーのデプロビジョニングを行う場合は、忘れずに Slack でメンバーを解除してください。


Step 1 — Slack の ADFS を設定する

証明書利用者信頼を新規作成する

  1. ADFS がインストールされているサーバーにサインインします。ADFS のデプロイに関してヘルプが必要な場合は、こちらのガイドを参照してください。
  2.  ADFS 管理コンソールを開き、「信頼関係」 を選び、左側のコンソールツリーで「証明書利用者信頼」を選択します。
  3. 右側のアクションメニューで「証明書利用者信頼の追加」をクリックします。
  4. 「データソースの選択」 のステップで、「証明書利用者のデータを手動で入力する」のオプションに切り替えます。Select_Data_Source_tab.png 
  5. 次に、「表示名の指定」 タブで、アプリケーションの表示名を指定します。「会社名 - Slack」のような表示名が推奨されます。コメントがあれば必要に応じて追加します(任意)。
  6. 「プロフィールの選択」タブで、「ADFS プロフィール」 を選択します。
  7. 「証明書の構成」 タブで、証明書の設定をデフォルトにします。
  8. 「URL の構成」 タブで、「SAML 2.0 WebSSO プロトコルのサポートを有効にする」 のボックスを選択し、SAML サービスエンドポイントを入力します。 

    ・ プラスプラン: 
    https://yourdomain.slack.com/sso/saml
    •  Enterprise Grid: https://yourdomain.enterprise.slack.com/sso/saml
    Configure_URL_tab.png
  9. 「識別子の構成」 タブで https://slack.com と入力し、「追加」をクリックします。注意 : 固有のワークスペース URL (https://[workspacename].slack.com) を指定する場合は、Slack の「サービスプロバイダ発行者」欄にも必ず同じ値を入力してください。
  10. オプションで2要素認証を追加します。
  11. 「すべてのユーザーによるこの証明書利用者へのアクセスを許可」>  「次へ」 の順にをクリックし、設定を確認します。
  12. 「ウィザード終了時にこの証明書利用者信頼の『要求ルールの編集』ダイアログを開く」 がオンになっていることを確認してから、「閉じる」を選択します。
  13. 次に、証明書利用者信頼 (この場合は、自分が所属する Slack ワークスペースもしくは Enterprise Grid ) に、ルールまたはアサーションの要求を作成します。Slack は、出力方向の要求タイプの属性と値のみ受け取るため、属性リストの表示様式が異なるかもしれません。Slack の属性名前ID の2種類の要求が必要ですので注意してください。
  14.  「ルールを追加する」 をクリックします。
    属性値
  15. LDAP 属性を要求として送るためのルールを追加します。出力方向の要求の種類 User.Email は必須ですが、first_name last_nameUser.Username も含めることをお勧めします。出力方向の要求の種類は大文字小文字の区別があることに注意してください。 

    注意 : User.Username に送信される値は、ユーザーのユーザー名に対応します。値が各ユーザーに固有のものであることを確認し、再利用されないようにしてください
    Add_rule_tab.png
  16. 次に、入力方向の要求を変換するルールを追加します。
    incoming_claim_rule
  17.  名前ID の要求のルールを開き、出力方向の名前ID 形式を 永続 ID に変更します。 OK  をクリックして保存します。
    Edit_rule_tab.png

注意 : Slack で AuthnRequest に署名する場合、ADFS の「署名」タブ から、作成した Slack 証明書をアップロードする必要があります。また、「詳細」タブで、セキュアなハッシュアルゴリズム SHA-1 を選択していることを確認してください。


Step 2 — Slack と IDP を連携させる

プラスプラン

Slack Enterprise Grid

次に、ワークスペースの認証に関する設定に AD FS の詳細を追加します。

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」を選択し、その後「ワークスペースの設定」を選択します。
  3.  Authentication (認証) をクリックし、SAML 認証 (OneLogin・Okta・カスタム SAML 2.0 solution) の横の  Configure  (設定する) をクリックします。 
  4.  SAML 2.0 Endpoint URL (SAML 2.0/W-Federation URL endpoint) を入力します。デフォルトのインストールは /adfs/ls/ です。
    SAML_SSO_URL__plus_.png
  5. 「ID プロバイダ発行者の」 を入力します。Identity_Provider_Issuer__Plus_.png
  6.  Public Certificate  (公開証明書) のフィールドに、x.509 証明書のコピーをペーストします。 
  7. 複数の証明書利用者信頼を Slack に設定する場合は、 「詳細設定」 メニューを開きます。
  8.  AuthnContextClass Ref (認証コンテキストクラスリファレンス) の横の、PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) (パスワードで保護されたトランスポートと Windows - 内部・外部認証時に AD FS と合わせて利用する) を選択します。その後、ユニークな サービスプロバイダーの発行者を入力します。ADFS の証明書利用者識別子と一致するように入力してください。
    サービスプロバイダー
  9.  Save(保存する) をクリックして終了です。

次に、ワークスペースの認証に関する設定に AD FS の詳細を追加します。

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」> 「オーガナイゼーションの設定」の順に選択します。
  3. 管理者ダッシュボードの    (Security / セキュリティ) ページにアクセスします。
  4.  「認証」 の項目でnbsp SAML 2.0 Endpoint URL (SAML 2.0/W-Federation URL endpoint) を入力します。デフォルトのインストールは /adfs/ls/ です
    SAML_2.0_Endpoint_URL__Grid_.png
  5. 「ID プロバイダ発行者」を入力します。 Identity_Provider_Issuer__grid_.png
  6.  Public Certificate  (公開証明書) のフィールドに、x.509 証明書のコピーをペーストします。 
  7. 複数の証明書利用者信頼を Slack に設定することができます。 AuthnContextClass Ref (認証コンテキストクラスリファレンス) の項目で、PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) (パスワードで保護されたトランスポートと Windows / 内部・外部認証時に AD FS と合わせて利用する) を選択します。
  8. ユニークな  サービスプロバイダーの発行者 を入力します。
    ADFS の証明書利用者識別子と一致するように入力してください。
    サービスプロバイダーの発行者
  9.  Save Changes  (変更を保存する) をクリックします。

注意 :  設定でつまずいた場合は、Slack にご一報ください。喜んでお手伝いします。ただし、ご利用の接続で Slack が正しく動作するという保証はありません。まずは、Slack に連絡してください!解決方法を一緒に探していきましょう。

誰がこの機能を使用することができますか?
  • ワークスペースのオーナー と管理者
  • プラスプランと Enterprise Grid

関連記事

最近チェックした記事