カスタム SAML シングルサインオン

利用したい ID プロバイダが Slack に対応していない場合は、カスタム SAML 接続オプションを利用することができます。

注 :設定に関してお困りの場合は、Slack までご連絡いただければ喜んで設定のお手伝いをいたしますが、ご利用のネットワークで Slack が必ずしも正しく動作するという保証はありません。まずは、SAML 認証エラーのトラブルシューティングの記事を参照するか、Slack までご連絡ください。そこから一緒にトラブルの解決方法を探していきましょう。


パラメーター

カスタム SAML 接続を設定する際は、以下のパラメーターに従ってください。

プロビジョニング

  • Slack は ID プロバイダ(IDP)Initiated フロー、サービスプロバイダ(SP)Initiated フロー、ジャストインタイムプロビジョニング、Slack の SCIM API による自動プロビジョニングに対応しています。
  • SP-Initiated シングルサインオンについては、https://yourdomain.slack.com を参照してください。

SSO ポストバックアップ URL

  • https://yourdomain.slack.com/sso/saml
    (別名アサーションコンシューマーサービス URL)

エンティティ ID

  • https://slack.com

注 : Slack はシングルログアウトやお使いの IDP で設定されたセッションの有効期限には対応していません。代わりに、セッションの有効期限を設定して、メンバーが Slack にサインインしている時間を制限できます。

考慮事項

  • Slack は HTTP POST binding に対応しており、HTTP REDIRECT には対応していません。HTTP POST binding の設定は、IDP メタデータ内で行う必要があります。
  • 利用する IDP がアサーションを発行する前に、ユーザーは必ず認証され承認されなければなりません。ユーザーが承認されないと、アサーションは発行されません。その場合、IDP によってユーザーが HTTP 403 ページなどに転送されるよう設定することをお勧めします。


必ず盛り込む設定

NameID(必須)

 
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Your Unique Identifier</saml:NameID>
</saml:Subject>

注 :SAML の仕様を充たすためには、NameID はユニークかつ擬似ランダムで、従業員 ID 番号のように、時間が経っても変更することのないものにしてください。

Email Attribute(必須)

<saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>


Username Attribute(任意)

<saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>


First Name Attribute(任意)

<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>


Last Name Attribute(任意)

<saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>


証明書

公開証明書

Slack では SAML レスポンスへの署名が必要で、有効な X.509 の .pem 証明書を貼りつけて本人確認を行う必要があります。これは、SSL 証明書とは異なります。

End-to-End Encryption キー

IDP の End-to-End Encryption キーを必要とする場合、証明書を見つけるには、ワークスペースの SSO 設定にある「詳細設定」ボタンをクリックします。そこで、「AuthnRequest に署名する」にチェックを入れると、Slack の公開 Encryption キーを確認できます。

注 :  Active Directory Federation Services(ADFS)インスタンスを接続したい場合は、ADFS シングルサインオンで詳細を確認してください。

誰がこの機能を利用できますか?
  • ワークスペースのオーナーだけがこの機能にアクセスできます
  • ビジネスプラスプランと Enterprise Grid プランで利用できます。

関連記事

最近チェックした記事