ADFS シングルサインオン

ご利用の Active Directory フェデレーション サービス (ADFS) のインスタンスを連携させれば、チームメンバーのシングルサインオンをよりシームレスに管理することが可能になります。

注 :ADFS 単体では、Slack の SCIM API を使った自動デプロビジョニングには対応していません。ADFS 外の SCIM プロビジョニングソリューションを実装していない場合は、ご利用の IDP でメンバーのデプロビジョニングを行ったら、必ず Slack でメンバーを手動で解除してください。


ステップ 1 : Slack の ADFS を設定する

証明書利用者信頼を新規作成する

  1. ADFS がインストールされているサーバーにサインインします。ADFS のデプロイについてサポートが必要な場合は、このガイドを確認してください。
  2. ADFS 管理コンソールを開いて、「信頼関係」を選び、左側のコンソールツリーで「証明書利用者信頼」を選択します。
  3. 右側のアクションメニューで「証明書利用者信頼の追加」をクリックします。
  4. 「データソースの選択」のステップで、「証明書利用者のデータを手動で入力する」のオプションに切り替えます。「データソースの選択」のステップに、手動選択した返信者についてのデータ入力オプションが表示されている
  5. 次に、「表示名の指定」タブで、アプリケーションの表示名を指定します。「会社名 - Slack」のような表示名が推奨されます。コメントがあれば必要に応じて追加します。
  6. 「プロフィールの選択」タブで、「ADFS プロフィール」を選択します。
  7. 「証明書の構成」タブで、証明書の設定をデフォルトにします。
  8. 「URL の構成」タブで、「SAML 2.0 WebSSO プロトコルのサポートを有効にする」のボックスを選択し、SAML サービスエンドポイントを入力します。 

    ・ ビジネスプラスプラン : 
    https://yourdomain.slack.com/sso/saml
    •  Enterprise Grid プラン : https://yourdomain.enterprise.slack.com/sso/saml
    「URL の設定」ステップで、SAML 2.0 WebSSO プロトコルのサポートを有効化するオプションが選択されている
  9. 「識別子の構成」タブで https://slack.com と入力し、「追加」をクリックします。注意 : 固有のワークスペース URL(https://[workspacename].slack.com)を指定する場合は、Slack の「サービスプロバイダーの発行者」フィールドにも必ず同じ値を入力してください。
  10. オプションで多要素認証を追加します。
  11. 「すべてのユーザーによるこの証明書利用者へのアクセスを許可」 > 「次へ」 の順にをクリックし、設定を確認します。
  12. 「ウィザード終了時にこの証明書利用者信頼の『要求ルールの編集』ダイアログを開く」がオンになっていることを確認してから、「閉じる」を選択します。
  13. 次に、証明書利用者信頼 (この場合は、自分が所属する Slack ワークスペースもしくは Enterprise Grid ) に、ルールまたはアサーションの要求を作成します。Slack は、出力方向の要求タイプの属性と値のみ受け取るため、属性リストの表示様式が異なるかもしれません。Slack の属性名前 ID の 2 種類の要求が必要ですので注意してください。
  14. 「ルールを追加する」をクリックします。
    Slack 属性と NameID のルールの一覧と、ルールの追加、編集、削除用のボタン
  15. LDAP 属性を要求として送るためのルールを追加します。出力方向の要求の種類 User.Email は必須ですが、first_name last_nameUser.Username も含めることをおすすめします。出力方向の要求の種類は大文字小文字の区別があることに注意してください。 

    注意 : User.Username に送信される値は、ユーザーのユーザー名に対応します。値が各ユーザーに専用であることを確認し、再利用されないようにします。
    「申請ルールの設定」ステップに、LDAP 属性と発信申請タイプの一覧が表示されている
  16. 次に、入力方向の要求を変換するルールを追加します。
  17. 名前 ID の要求のルールを開き、出力方向の名前 ID 形式を 永続 ID に変更します。「OK」をクリックして保存します。
    NameID 申請ルールに、着信申請タイプと発信申請タイプのドロップダウンメニューが表示されている

注 :Slack で AuthnRequest に署名する場合、生成された Slack 証明書を ADFS の「署名」タブにアップロードする必要があります。また、「詳細」タブで、セキュアなハッシュアルゴリズム SHA-1 を選択していることを確認してください。


ステップ 2 : Slack と IDP を連携させる

ビジネスプラスプラン

Slack Enterprise Grid

次に、ワークスペースの認証に関する設定に ADFS の詳細を追加します。

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「設定と管理」を選択し、その後「ワークスペースの設定」をクリックします。
  3. 「認証」タブをクリックし、SAML 認証 (OneLogin・Okta・カスタム SAML 2.0 ソリューション) の横の「設定する」をクリックします。
  4. SAML 2.0 Endpoint URL (SAML 2.0/W-Federation URL endpoint) を入力します。デフォルトのインストールは /adfs/ls/ です。
    SAML SSO URL と、入力された URL が表示されたテキストボックス
  5. 「ID プロバイダ発行者」を入力します。これらのエンドポイントが不確かな場合は、ADFS がインストールされたデバイス上の Powershell で、PS C:/> Get-AdfsEndpoint を実行します。ID プロバイダ発行者と、使用する IdP エンティティ ID が表示されたテキストボックス
  6. ADFS の「暗号化」タブから、トークン署名 x.509 証明書全体をコピーし、公開証明書のフィールドにペーストします。トークン署名フィールドが選択された状態の、ADFS の「暗号化」タブ
  7. 複数の証明書利用者信頼を Slack に設定する場合は、「詳細設定」メニューを開きます。
  8. AuthnContextClass Ref (認証コンテキストクラスリファレンス) の横の、PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) (パスワードで保護されたトランスポートと Windows - 内部・外部認証時に AD FS と合わせて利用する) を選択します。ユニークなサービスプロバイダーの発行者を入力します。 ADFS の証明書利用者識別子と一致している必要があります。
    「AuthnContextClass Ref」ドロップダウンメニューが開いた状態の「詳細設定」
  9. Save(保存する) をクリックして終了です。

次に、ワークスペースの認証に関する設定に AD FS の詳細を追加します。

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「設定とその他管理項目」を選択して、「オーガナイゼーションの設定」をクリックします。
  3. 左側のサイドバーで、 「セキュリティ」をクリックして、「SSO の設定」を選択します。
  4. SAML 2.0 Endpoint URL (SAML 2.0/W-Federation URL endpoint) を入力します。デフォルトのインストールは /adfs/ls/ です。
    SAML_2.0_Endpoint_URL__Grid_.png
  5. 「ID プロバイダ発行者」を入力します。これらのエンドポイントが不確かな場合は、ADFS がインストールされたデバイス上の Powershell で、PS C:/> Get-AdfsEndpoint を実行します。Identity_Provider_Issuer__grid_.png
  6. 公開証明書のフィールドに、x.509 証明書のコピーをペーストします。adfs_clint.png
  7. 複数の証明書利用者信頼を Slack に設定することができます。AuthnContextClass Ref (認証コンテキストクラスリファレンス) の項目で、PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) (パスワードで保護されたトランスポートと Windows / 内部・外部認証時に AD FS と合わせて利用する) を選択します。
  8. ユニークなサービスプロバイダーの発行者を入力します。 ADFS の証明書利用者識別子と一致している必要があります。
    service_provider_issuer
  9. Save Changes  (変更を保存する) をクリックします。

注意 : 設定に関してお困りの場合は、Slack までご連絡いただければ喜んで設定のお手伝いをいたしますが、ご利用のネットワークで Slack が必ずしも正しく動作するという保証はありません。まずは、SAML 認証エラーのトラブルシューティングの記事を参照するか、Slack までご連絡ください。そこから一緒にトラブルの解決方法を探していきましょう。

誰がこの機能を利用できますか?
  • ワークスペースのオーナーOrG オーナー
  • ビジネスプラスEnterprise Grid