※ SAML認証はWEBブラウザ、デスクトップ版アプリ、モバイル版アプリで利用できます。
※ Slack にて事前の設定が必要です。
※ 最新の設定手順は、Slack からご提供されているマニュアルをご確認くださいますようお願いいたします。
Slackヘルプセンター「SAML シングルサインオン」
https://get.slack.help/hc/ja/articles/203772216
※ Slack ではSAML認証を設定すると初期設定で JITプロビジョニング (ジャストインタイム プロビジョニング)という仕組みでアカウント情報が同期(アカウント作成、ライセンス割り当て、情報同期)が行われます。 こちらついては SAML JITについて をご参照ください。 |
トラスト・ログインの管理ページの設定
- トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
- 「企業アプリ登録」画面で検索し、「Slack (SAML)」を選択します。
- 「IDプロバイダーの情報」 の「IDプロバイダーURL」、「発行者・エンティティID」、「証明書を取得」を押しダウンロードした証明書の中身を控えておきます。
(後ほどSlack側の設定の際に必要になります。) - 「サービスプロバイダーの設定」の「ログインURL」、「エンティティID」、「サービスへのACS URL」、「ログアウトURL」の項目にSlackのワークスペース名を入力します。
([お客様のSlackのワークスペース名].slack.com) - 「SAML属性の設定」の項目については設定の必要はございません。そのまま次へお進みください。
- 「登録」ボタンを押します。
- 「管理ページ > アプリ」メニューで作成した「Slack (SAML)」アプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から管理者を選択し「登録」ボタンを押して追加します。(Slackでの設定が完了した際に、接続テストが行われます。)
Slack の設定
- 画面左上にあるワークスペース名をクリックし、メニューから「その他管理項目 > ワークスペースの設定」を選択します。
- 「認証」タブをクリックし、SAML認証の右にある「設定を変更」ボタンを押します。
- 「SAML 認証の設定」画面で、上の「トラスト・ログインの管理ページの設定」の 3 で控えた情報を以下の通り登録します。
Slack トラスト・ログイン SAML 2.0 エンドポイント (HTTP) IDプロバイダーURL ID プロバイダ発行者 発行者・エンティティID 公開証明書 証明書 - 「詳細設定」を開き、「サービスプロバイダ発行者」に
https://[お客様ワークスペース名].slack.com と入力します。
「署名つきレスポンス」のチェックは外し、「署名つきアサーション」にチェックを入れます。 - 「設定」にて、トラスト・ログインのユーザー名情報をSlackに同期したい場合「ユーザーがログインするたびにプロフィールを更新する」にチェックを入れます。また「ワークスペースの認証が必要なメンバー」で認証の対象を設定します。
- 「設定を保存する」をクリックして完了です。
※ 保存する際に、Slackから認証テストが自動的に行われるため、ブラウザの別タブで「トラスト・ログインの管理ページの設定」の 7 でアサインしたユーザーがトラスト・ログインにログインしている必要があります。
トラスト・ログインのユーザーの設定
① ユーザーがマイページで追加する場合
- 「マイページ」で「アプリ追加」ボタンを押します。
- 「アプリ登録」画面で「Slack (SAML)」を選択し、画面右上の「次へ」ボタンを押します。
- 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
- 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。
②管理者がメンバーを追加する場合
- 「管理ページ > アプリ」メニューで「Slack (SAML)」アプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。
SAML JIT について
① アカウント同期される情報
トラスト・ログインとSlack のID連携時、メンバーの情報は以下のようにマッピングします。
トラスト・ログイン | Slack |
メールアドレス | Eメール |
名 + 姓 | 氏名 |
emailの@前の部分 | 表示名 |
emailの@前の部分 | ユーザー名 ※ユーザー名は最大21桁、21桁を超過した場合、21桁まで切り取りユーザー名とする |
② SAML JITによるアカウント同期を希望しない場合
SAML認証を設定すると初期設定でJITプロビジョニングによりアカウント同期が行われますが、
(ライセンスも自動的に割り当てられます)トラスト・ログイン(IdP)ではアカウント同期の可否をコントロールすることができません。
Slackアプリをメンバーが自分で追加できることは許容するが、Slackアカウントの自動作成や同期はしたくない場合は、Slack管理ポータルのヘルプ画面で、SAML JITの無効化をご依頼ください。
ご不明な場合はSlack へお問い合わせください。