Google Workspace シングルサインオン
Google Workspace シングルサインオン(SSO)を使うことで、ワークスペースのメンバー全員が各自の Google アカウントを使用して Slack にサインインできるようになります。設定の方法には、OAuth 2.0 を用いた Google Auth と SAML 2.0 を用いた Google SAML の 2 通りの方法があります。
注 :SAML シングルサインオンの設定でお困りの場合は、SAML 認証エラーのトラブルシューティングの記事を参照してください。
Tip : ワークスペースのオーナーと OrG オーナーは、ログイン時にログインページ下部のリンクを使って SSO 認証をスキップし、メールアドレスとパスワードだけでサインインすることができます。これにより、ID プロバイダに問題が発生していても、ワークスペースや OrG へのアクセスが確保できます。
Google Auth とGoogle SAML の比較
以下の表では、それぞれの SSO 設定でサポートされる内容を一覧にしています。
Google Auth | Google SAML | |
プロフィールの同期 * | ✓ | ✓ |
ジャストインタイムプロビジョニング | ✓ | ✓ |
複数のメールドメインによる認証** | ✓ | ✓ |
事前プロビジョニング | ✓ | |
カスタム SCIM プロフィールフィールド | ✓ | |
ユーザーの自動解除 | ✓ | |
ID プロバイダでのルールベースのアクセス | ✓ | |
Enterprise Grid との互換性 | ✓ |
* Google Auth では、メールアドレスと表示名のみを同期します。Google SAML では、メールアドレス、表示名、姓と名を同期します。
** Google Auth を使用する場合、追加のドメインを手動で追加する必要があります。このプロセスは、Google SAML では自動で行われます。
Google Auth を設定する
プロプランとビジネスプラスプラン
Enterprise Grid プラン
ワークスペースのオーナーは Google Auth SSO の設定にアクセスできます。手順は以下のとおりです。
- デスクトップのサイドバーにあるワークスペース名をクリックします。
- メニューから「ツールと設定」を選択し、「ワークスペースの設定」をクリックします。
- 「認証」タブをクリックします。
- 「Google Apps authentication (Google Apps 認証)」の横にある「Configure (設定する)」をクリックします。
- 認証設定を選択します。詳しくは、シングルサインオン設定ガイドを確認してください。
- 「設定を保存する」をクリックします。
- 自分の Google アカウントの認証を求められます。
Google Auth は Enterprise Grid プランでは利用できません。
Tip : 追加したドメインを承認し、メンバーがそのドメインを使ってアカウントを作成できるようにしたい場合は、Slack までご連絡ください。必要に応じて新しいドメインを追加したり、削除したりできるようお手伝いします。
Google SAML を設定する
ビジネスプラスプラン
Enterprise Grid プラン
ステップ 1 : ID プロバイダを設定する
- ワークスペースのオーナーが、Google Workspace 管理者アカウントから Slack SAML アプリを有効にして、ID プロバイダを設定する必要があります。
- メンバーが Google アカウントを使ってサインインするには、ワークスペースでアカウントを事前に設定しておく必要があります。
ステップ 2 :ワークスペースの SSO を設定する
- デスクトップのサイドバーにあるワークスペース名をクリックします。
- メニューから「ツールと設定」を選択し、「ワークスペースの設定」をクリックします。
- 「SAML 認証」の横にある「設定する」をクリックします。
ステップ 1 :ID プロバイダを設定する
- OrG のオーナーと管理者は、Google Workspace 管理者アカウントから Slack SAML アプリを有効にして、ID プロバイダを設定する必要があります。
- メンバーが Google アカウントを使ってサインインするには、Enterprise Grid OrG でアカウントを事前に設定しておく必要があります。
注 : ACS URL を求められたら、Enterprise Grid OrG の URL (例 : https://domain.enterprise.slack.com/sso/saml など) を入力してください。
ステップ 2 :オーガナイゼーションの SSO を設定する
- デスクトップのサイドバーにあるワークスペース名をクリックします。
- メニューから「ツールと設定」を選択し、「オーガナイゼーションの設定」をクリックします。
- 左側のサイドバーで、 「セキュリティ」をクリックして、「SSO の設定」を選択します。
注 : SSO を有効にすると、ワークスペースのその他の新規登録設定はすべて無効になります。 SSO が有効にされた時点ですでにログインしていたメンバーは全員ログインしたままの状態となり、今後の Slack へのサインイン時に SSO を使用できるようになります。
Google Workspace SSO を有効にした場合
メンバーは、Google Workspace SSO の有効後も引き続きワークスペースの URL からサインインすることができます。有効後は、以下のような変更が適用されます。
-
新規メンバー
新規メンバーは、承認されたドメインのメールアドレスを使えば、ワークスペースのアカウントを作成することができます。アカウントを作成するには、「アカウントを作成」をクリックします。
-
既存のメンバー
既存のメンバーには、アカウントの認証を求める SSO バインディングメールが届きます。メンバーがアカウントのバインドを完了すると、自分の Google Workspace 認証情報を使用してワークスペースへサインインできます。
💡 詳しくは、SSO アカウントを Slack に連携させる を参照してください。
Google Workspace シングルサインオンを管理する
Google Workspace ドメインを切り替える
メールドメインの変更や Google Workspace インスタンスの切り替えなどの場合には、以下の手順で Google Workspace ドメインを簡単に更新することができます。
プロプランとビジネスプラスプラン
Enterprise Grid プラン
- デスクトップのサイドバーにあるワークスペース名をクリックします。
- メニューから「ツールと設定」を選択し、「ワークスペースの設定」をクリックします。
- 「認証」タブをクリックします。
- 「設定を変更」を選択します。Google アカウントへのサインインを促される場合もあります。
- 「ドメインを切り替える」を選択します。
- Google のサインインページへリダイレクトされます、ここから、新しい Google ドメインでサインインすることができます。
- ワークスペースの全メンバーにアカウント認証のためのバインディングメールが送信されます。
OrG のオーナーと管理者は、Google 管理者アカウントを使用して ID プロバイダ経由で Google Workspace ドメインを変更することができます。
ドメインの切り替えで問題がある場合には、 承認済みドメインが複数ある可能性があります。 Slack までお問い合わせいただければ、不要になったドメインを削除致します。
メールアドレスを変更する
ワークスペースのオーナーと OrG オーナーは、メンバーのメールアドレスの編集と管理ができます。 まず最初に、それを許可するようにワークスペースの設定を変更する必要があります。
プロプランとビジネスプラスプラン
Enterprise Grid プラン
- デスクトップのサイドバーにあるワークスペース名をクリックします。
- メニューから「ツールと設定」を選択し、「ワークスペースの設定」をクリックします。
- 「認証」タブをクリックします。
- 「Google 認証設定」の横の「設定を変更」をクリックします。
- 「設定」の右側の「開く」をクリックします。
- 「メールアドレスの変更をユーザーに許可する」をオンにします。
- 「設定を保存する」をクリックします。
メンバーページからメールアドレスを更新できるようになりました。
- デスクトップのサイドバーにあるワークスペース名をクリックします。
- メニューから「ツールと設定」を選択し、「オーガナイゼーションの設定」をクリックします。
- 左側のサイドバーの 「セキュリティ」をクリックし、「SSO 設定」をクリックします。
- 「メールアドレスの変更をユーザーに許可する」の横にある「有効」をクリックします。
- 「有効」を再度クリックして確定します。
メンバーページからメールアドレスを更新できるようになりました。
Tip : メールアドレスを一括で変更したい場合には、お気軽に Slack までお問い合わせください!
プロビジョニングとデプロビジョニング
SAML ベースの SSO を使用している Google Workspace 管理者は、Google 管理者コンソールのアプリ項目にある Slack SAML アプリからユーザープロビジョニングを管理することができます。
-
プロビジョニング
Slack では、ジャストインタイムプロビジョニングに対応しています。この機能を使用すると、メンバーは Google Workspace 認証を使って Slack に初めてログインするときに、アカウントを新しく作成することができます。 -
デプロビジョニング
ワークスペースを退会したりオーガナイゼーションを退職したりした人のアカウントは、自動的に解除されます。ワークスペースのオーナーは、 メンバーページからアカウントを手動で解除することもできます。
- ワークスペースのオーナーと OrG のオーナー
- 有料プランでご利用いただけます。