利用したい ID プロバイダ（IDP）が Slack に対応していない場合は、カスタム SAML 接続オプションを利用することができます。

注 : 設定に関してお困りの場合は、まず SAML 認証エラーのトラブルシューティングガイドをご確認ください。 

パラメーター

カスタム SAML 接続を設定する際は、以下のパラメーターに従ってください。

プロビジョニング

• Slack は ID プロバイダ（IDP）Initiated フロー、サービスプロバイダ（SP）Initiated フロー、ジャストインタイムプロビジョニング、Slack の SCIM API による自動プロビジョニングに対応しています。
• SP-Initiated シングルサインオンについては、https://yourdomain.slack.com を参照してください。

SSO ポストバックアップ URL

• https://yourdomain.slack.com/sso/saml
  （別名アサーションコンシューマーサービス URL）

エンティティ ID

• https://slack.com

注 : Slack はシングルログアウトやお使いの IDP で設定されたセッションの有効期限には対応していません。代わりに、セッションの有効期限を設定して、メンバーが Slack にサインインしている時間を制限できます。

考慮事項

• Slack は HTTP POST binding に対応しており、HTTP REDIRECT には対応していません。HTTP POST binding の設定は、IDP メタデータ内で行う必要があります。
• 利用する IDP がアサーションを発行する前に、ユーザーは必ず認証され承認されなければなりません。ユーザーが承認されないと、アサーションは発行されません。その場合、IDP によってユーザーが HTTP 403 ページなどに転送されるよう設定することをお勧めします。

必ず盛り込む設定

NameID（必須）

 あなたの一意の識別子

注 :SAML の仕様を充たすためには、NameID はユニークかつ擬似ランダムで、従業員 ID 番号のように、時間が経っても変更することのないものにしてください。

Email Attribute（必須）

  NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
 testuser@youremail.com
 
 

Username Attribute（任意）

  NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
 UserName
 
 

First Name Attribute（任意）

 NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
 FirstName
 
 

Last Name Attribute（任意）

   NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
 LastName
 
 

証明書

公開証明書

Slack では SAML レスポンスへの署名が必要で、有効な X.509 の .pem 証明書を貼りつけて本人確認を行う必要があります。これは、SSL 証明書とは異なります。

End-to-End Encryption キー

IDP の End-to-End Encryption キーを必要とする場合、証明書を見つけるには、ワークスペースの SSO 設定にある「詳細設定」ボタンをクリックします。そこで、「AuthnRequest に署名する」にチェックを入れると、Slack の公開 Encryption キーを確認できます。

注 :  Active Directory Federation Services（ADFS）インスタンスを接続したい場合は、ADFS シングルサインオンで詳細を確認してください。