G Suite シングルサインオン

G Suite シングルサインオン (SSO) を使うことで、ワークスペースのメンバー全員が各自の G Suite アカウントを使用して Slack にサインインできるようになります。設定の方法には、OAuth 2.0 を用いた G Suite Auth と SAML 2.0 を用いた G Suite SAML の 2 とおりがあります

注意 : SAML シングルサインオンの設定でお困りの場合は、SAML 認証エラーのトラブルシューティングの記事を参照してください。


Google Auth とGoogle SAML の比較

以下の表では、それぞれの SSO 設定でサポートされる内容を一覧にしています。

  Google Auth Google SAML
プロフィールの同期 *
ジャストインタイムプロビジョニング
複数のメールドメインによる認証**
事前プロビジョニング  
カスタム SCIM プロフィールフィールド  
ユーザーの自動解除  
ID プロバイダでのルールベースのアクセス  
Enterprise Grid との互換性    ✓


Google Auth では、メールアドレスと表示名のみを同期します。Google SAML では、メールアドレス、表示名、姓と名を同期します。
** Google Auth を使用する場合、追加のドメインを手動で追加する必要があります。このプロセスは、Google SAML では自動で行われます。


G Suite Auth を設定する

スタンダードプランとプラスプラン 

Enterprise Grid プラン

ワークスペースのオーナーは G Suite Auth SSO の設定にアクセスできます。手順は以下のとおりです :

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」を選択し、その後「ワークスペースの設定」を選択します。
  3. 「認証」 タブで、「Google Apps 認証」「設定する」をクリックします。
  4. 認証設定を選択します。詳しくは、シングルサインオン設定ガイドを確認してください。
  5. 「設定を保存する」をクリックします。
  6. 自分の G Suite アカウントの認証を求められます。

G Suite 認証は Enterprise Grid プランでは利用できません。

Tip :  ホワイトリストにドメインを追加して、メンバーがそのドメインを使って簡単にアカウントを作成できるようにしたい場合は、Slack までご連絡ください。ドメインの追加や削除をお手伝いします。


G Suite SAML を設定する

プラスプラン

Enterprise Grid プラン

ステップ 1 :ID プロバイダを設定する

  1. ワークスペースのオーナーが、G Suite 管理者アカウントから Slack SAML アプリを有効にして、ID プロバイダを設定する必要があります。
  2. メンバーが Google アカウントを使ってサインインするには、ワークスペースでアカウントを事前に設定しておく必要があります。

ステップ 2 :ワークスペースの SSO を設定する

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」を選択し、その後「ワークスペースの設定」を選択します。
  3. 「SAML 認証」の横にある「設定する」をクリックします。

ステップ 1 :ID プロバイダを設定する

  1. OrG のオーナーと管理者は、G Suite 管理者アカウントから Slack SAML アプリを有効にして、ID プロバイダを設定する必要があります。
  2. メンバーが Google アカウントを使ってサインインするには、Enterprise Grid OrG でアカウントを事前に設定しておく必要があります。

注意 :  ACS URL を求められたら、Enterprise Grid OrG の URL (例 : https://domain.enterprise.slack.com/sso/saml など) を入力してください。


ステップ 2 :オーガナイゼーションの SSO を設定する

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」「オーガナイゼーションの設定」の順に選択します。
  3. 左側の列の「セキュリティ」をクリックします。
  4. 「SSO 設定」の項目で「SSO を設定する」をクリックします。

注意 :  SSO を有効にすると、ワークスペースのその他の新規登録設定はすべて無効になります。 SSO が有効にされた時点ですでにログインしていたメンバーは全員 ログインしたままの状態となり、今後の Slack へのサインイン時に SSO を使用できるようになります。 


G Suite SSO を有効にした場合

メンバーは、G Suite 有効後も引き続きワークスペースの URL からサインインすることができます。有効後は、以下のような変更が適用されます。

  • 新規メンバー
    新メンバーは、ワークスペースでホワイトリストに登録されたメールアドレスを使えば、チームのアカウントを作成することができます。アカウントを作成するには、「アカウントを作成」をクリックします。
  • 既存のメンバー
    既存のメンバーには、アカウントの認証を求める SSO バインディングメールが届きます。メンバーがアカウントのバインドを完了すると、自分の G Suite 認証情報を使用してワークスペースへサインインできます。

💡 詳しくは、SSO アカウントを Slack に連携させる を参照してください。


G Suite シングルサインオンを管理する

G Suite ドメインを切り替える  

メールドメインの変更や G Suite インスタンスの切り替えなどの場合には、G Suite ドメインを簡単に更新することができます。

スタンダードプランとプラスプラン 

Enterprise Grid プラン

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」を選択し、その後「ワークスペースの設定」を選択します。
  3. 「認証」タブをクリックします。
  4. 「設定を変更」を選択します。Google アカウントへのサインインを促される場合もあります。
  5. 「ドメインを切り替える」を選択します。
  6. Google のサインインページへリダイレクトされます、ここから、新しい Google ドメインでサインインすることができます。
  7. ワークスペースの全メンバーにアカウント認証のためのバインディングメールが送信されます。

OrG のオーナーと管理者は、Google 管理者アカウントを使用して ID プロバイダ経由で G Suite ドメインを変更することができます。

ドメインの切り替えで問題がある場合には、 複数ドメインがホワイトリスト登録されている可能性があります。 Slack までお問い合わせ いただければ、不要になったドメインを削除いたします。


メールアドレスを変更する

ワークスペースのオーナーと OrG のオーナーは、メンバーのメールアドレスの編集と管理ができます。

スタンダードプランとプラスプラン 

Enterprise Grid プラン

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」を選択し、その後「ワークスペースの設定」を選択します。
  3. 「認証」 をクリックします。
  4. 「Google 認証設定」の横の「設定を変更」をクリックします。
  5. 「設定」の右側の「開く」をクリックします。
  6. 「メールアドレスの変更をユーザーに許可する」をオンにします。
  7. 「設定を保存する」をクリックします。

メンバーページからメールアドレスを更新できるようになりました。

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」を選択し、その後「オーガナイゼーションの設定」を選択します。
  3. 左側の列の「セキュリティ」をクリックし、「SSO 環境設定」をクリックします。
  4. 「メールアドレスの変更をユーザーに許可する」をオンにします。
  5. Save Changes  (変更を保存する) をクリックします。

メンバーページからメールアドレスを更新できるようになりました。

Tip :メールアドレスを一括で変更したい場合には、お気軽に Slack までお問い合わせください


プロビジョニングとデプロビジョニング

SAML ベースの SSOを使用している Google 管理者は、Google 管理者コンソールアプリ項目にある Slack SAML アプリからユーザープロビジョニングを管理することができます。

  • プロビジョニング
    Slack では、ジャストインタイムプロビジョニングに対応しています。この機能を使用すると、メンバーは G Suite 認証を使って Slack に初めてログインするときに、アカウントを新しく作成することができます。
  • デプロビジョニング
    異動したメンバーのアクセスを制限したい場合は、ワークスペースのオーナーがメンバーページからそのメンバーのアカウントを解除する必要があります
この機能を使えるのは誰?
  • ワークスペースのオーナー OrG のオーナー
  • スタンダード、 プラス、 Enterprise Grid の各プランで利用できます

G Suite シングルサインオン (SSO) を使うことで、ワークスペースのメンバー全員が各自の G Suite アカウントを使用して Slack にサインインできるようになります。設定の方法には、OAuth 2.0 を用いた G Suite Auth と SAML 2.0 を用いた G Suite SAML の 2 とおりがあります

注意 : SAML シングルサインオンの設定でお困りの場合は、SAML 認証エラーのトラブルシューティングの記事を参照してください。


Google Auth とGoogle SAML の比較

以下の表では、それぞれの SSO 設定でサポートされる内容を一覧にしています。

  Google Auth Google SAML
プロフィールの同期 *
ジャストインタイムプロビジョニング
複数のメールドメインによる認証**
事前プロビジョニング  
カスタム SCIM プロフィールフィールド  
ユーザーの自動解除  
ID プロバイダでのルールベースのアクセス  
Enterprise Grid との互換性    ✓


Google Auth では、メールアドレスと表示名のみを同期します。Google SAML では、メールアドレス、表示名、姓と名を同期します。
** Google Auth を使用する場合、追加のドメインを手動で追加する必要があります。このプロセスは、Google SAML では自動で行われます。


G Suite Auth を設定する

スタンダードプランとプラスプラン 

Enterprise Grid プラン

ワークスペースのオーナーは G Suite Auth SSO の設定にアクセスできます。手順は以下のとおりです :

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「設定と管理」を選択し、その後「ワークスペースの設定」をクリックします。
  3.  「認証」 タブをクリックします。
  4. 「Google Apps authentication (Google Apps 認証)」の横にある「Configure (設定する)」をクリックします。
  5. 認証設定を選択します。詳しくは、シングルサインオン設定ガイドを確認してください。
  6. 「設定を保存する」をクリックします。
  7. 自分の G Suite アカウントの認証を求められます。

G Suite 認証は Enterprise Grid プランでは利用できません。

Tip :  ホワイトリストにドメインを追加して、メンバーがそのドメインを使って簡単にアカウントを作成できるようにしたい場合は、Slack までご連絡ください。必要に応じて新しいドメインを追加したり、削除したりできます。


G Suite SAML を設定する

プラスプラン

Enterprise Grid プラン

ステップ 1 :ID プロバイダを設定する

  1. ワークスペースのオーナーが、G Suite 管理者アカウントから Slack SAML アプリを有効にして、ID プロバイダを設定する必要があります。
  2. メンバーが Google アカウントを使ってサインインするには、ワークスペースでアカウントを事前に設定しておく必要があります。

ステップ 2 :ワークスペースの SSO を設定する

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「設定とその他管理項目」を選択して、「ワークスペースの設定」をクリックします。
  3. 「SAML 認証」の横にある「設定する」をクリックします。

ステップ 1 :ID プロバイダを設定する

  1. OrG のオーナーと管理者は、G Suite 管理者アカウントから Slack SAML アプリを有効にして、ID プロバイダを設定する必要があります。
  2. メンバーが Google アカウントを使ってサインインするには、Enterprise Grid OrG でアカウントを事前に設定しておく必要があります。

注意 :  ACS URL を求められたら、Enterprise Grid OrG の URL (例 : https://domain.enterprise.slack.com/sso/saml など) を入力してください。


ステップ 2 :オーガナイゼーションの SSO を設定する

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「設定と管理」を選択して、「オーガナイゼーションの設定」をクリックします。
  3. 左側のサイドバーで、「セキュリティ」をクリックして、「SSO の設定」を選択します。 

注意 :  SSO を有効にすると、ワークスペースのその他の新規登録設定はすべて無効になります。 SSO が有効にされた時点ですでにログインしていたメンバーは全員 ログインしたままの状態となり、今後の Slack へのサインイン時に SSO を使用できるようになります。 


G Suite SSO を有効にした場合

メンバーは、G Suite 有効後も引き続きワークスペースの URL からサインインすることができます。有効後は、以下のような変更が適用されます。

  • 新規メンバー
    新メンバーは、ワークスペースでホワイトリストに登録されたメールアドレスを使えば、チームのアカウントを作成することができます。アカウントを作成するには、「アカウントを作成」をクリックします。
  • 既存のメンバー
    既存のメンバーには、アカウントの認証を求める SSO バインディングメールが届きます。メンバーがアカウントのバインドを完了すると、自分の G Suite 認証情報を使用してワークスペースへサインインできます。

💡 詳しくは、SSO アカウントを Slack に連携させる を参照してください。


G Suite シングルサインオンを管理する

G Suite ドメインを切り替える  

メールドメインの変更や G Suite インスタンスの切り替えなどの場合には、以下の手順で G Suite ドメインを簡単に更新することができます。

スタンダードプランとプラスプラン 

Enterprise Grid プラン

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「設定とその他管理項目」を選択し、その後「ワークスペースの設定」をクリックします。
  3. 「認証」タブをクリックします。
  4. 「設定を変更」を選択します。Google アカウントへのサインインを促される場合もあります。
  5. 「ドメインを切り替える」を選択します。
  6. Google のサインインページへリダイレクトされます、ここから、新しい Google ドメインでサインインすることができます。
  7. ワークスペースの全メンバーにアカウント認証のためのバインディングメールが送信されます。

OrG のオーナーと管理者は、Google 管理者アカウントを使用して ID プロバイダ経由で G Suite ドメインを変更することができます。

ドメインの切り替えで問題がある場合には、 複数ドメインがホワイトリスト登録されている可能性があります。 Slack までお問い合わせ いただければ、不要になったドメインを削除いたします。


メールアドレスを変更する

ワークスペースのオーナーと OrG のオーナーは、メンバーのメールアドレスの編集と管理ができます。

スタンダードプランとプラスプラン 

Enterprise Grid プラン

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「設定とその他管理項目」を選択し、その後「ワークスペースの設定」をクリックします。
  3.  「認証」 タブをクリックします。
  4. 「Google 認証設定」の横の「設定を変更」をクリックします。
  5. 「設定」の右側の「開く」をクリックします。
  6. 「メールアドレスの変更をユーザーに許可する」をオンにします。
  7. 「設定を保存する」をクリックします。

メンバーページからメールアドレスを更新できるようになりました。

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「設定とその他管理項目」を選択し、その後「オーガナイゼーションの設定」をクリックします。
  3. 左側のサイドバーの 「セキュリティ」をクリックし、「SSO 設定」をクリックします。
  4. 「メールアドレスの変更をユーザーに許可する」の横にある「有効」をクリックします。
  5. 「有効」を再度クリックして確定します。

メンバーページからメールアドレスを更新できるようになりました。

Tip : メールアドレスを一括で変更したい場合には、お気軽に Slack までお問い合わせください


プロビジョニングとデプロビジョニング

SAML ベースの SSOを使用している Google 管理者は、Google 管理者コンソールアプリ項目にある Slack SAML アプリからユーザープロビジョニングを管理することができます。

  • プロビジョニング
    Slack では、ジャストインタイムプロビジョニングに対応しています。この機能を使用すると、メンバーは G Suite 認証を使って Slack に初めてログインするときに、アカウントを新しく作成することができます。
  • デプロビジョニング
    異動したメンバーのアクセスを制限したい場合は、ワークスペースのオーナーがメンバーページからそのメンバーのアカウントを解除する必要があります
この機能を使えるのは誰?
  • ワークスペースのオーナー OrG のオーナー
  • スタンダードプランプラスプランEnterprise Grid プラン