シングルサインオンのプロバイダを変更する

シングルサインオン (SSO) のプロバイダを変更したい時は、このガイドでシームレスに移行するステップをチェックしましょう。変更プロセスを一括して完了するには多少時間がかかるので、時間がある時に行ってください。


SSO プロバイダを変更する

プラスプラン

Enterprise Grid プラン

ステップ 1 : SSO 設定を削除する

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」を選択し、その後「ワークスペースの設定」を選択します。
  3. 「認証」タブをクリックします。
  4. 「SSO を OFF にする」を選択します。Turn_off_SSO.png
  5. 「オフにする」をクリックします。SSO をオフにしたことをメールでチームメンバーに通知するかどうかを選択します。その時点ですでに Slack にログインしているメンバーは、ログインした状態のままとなります。

ステップ 2 : 新しい SSO を設定する

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」を選択し、その後「ワークスペースの設定」を選択します。
  3. 「認証」タブをクリックします。
  4. SAML 認証の隣の 「設定する」を選択します。
  5. 「SAML SSO URL」の隣に 「SAML 2.0 Endpoint URL (HTTP)」 を入力します (この URL はコネクタの設定時に取得します。Okta を IDプロバイダ (IDP) として利用している場合は、IDP URL を含めることもできます)。
  6. 「ID プロバイダ発行者」の隣に IDP のエンティティ ID を入力します。
  7. IDP から取得した「x.509 証明書」全体をコピーして「公開証明書」欄にペーストします。
  8. 「詳細設定」の隣の「開く」をクリックします。IDP からの SAML レスポンスをどのように署名するかを選択します。End to End Encryption (E2EE) キーが必要な場合は、 「AuthnRequest に署名する」にチェックを入れて証明書を表示します。
  9. SSO を有効にした後、プロフィール情報 (メールや表示名など) の編集をメンバーに許可するかどうかを、「設定」で決めます。SSO  は「必須」、「一部必須」*、「オプション」のいずれかに設定することもできます。
  10. 「カスタマイズ」の下で、サインインアイコンラベルを入力します。
  11. 「設定を保存する」をクリックすれば設定完了です。

*ゲストアカウントがある場合は、ゲストがアクセス権のあるワークスペースにサインインできるように、SSO を部分的に必須にするオプションを選択することをおすすめします。

注意 : 設定が完了すると、メンバーに自分のプロフィールで既存の Slack アカウントを新しい IDP に接続するように促すメールが届きます。

  1. デスクトップの画面左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」「オーガナイゼーションの設定」の順に選択します。
  3. 左側の列の「セキュリティ」「SSO 設定」の順にクリックします。
  4. 右上の「設定を変更する」をクリックします。
  5. 「SAML 2.0 Endpoint URL」 を、コネクターの設定時に ID プロバイダから提供された新しい値に書き換えます。
  6. 「ID プロバイダ発行者の URL」 を書き換えます。
  7. 「サービスプロバイダ発行者の URL」が IDP で設定されている場合は指定の値に書き換えます。この値はデフォルトで https://slack.com に設定されています。
  8. IDP から取得した「x.509 証明書」全体をコピーして「公開証明書」欄にペーストします。
  9. SAML のリスポンスとアサーションに署名するかどうかを選択します。AuthnContextClassRef の値も必要に応じて変更できます。
  10. 「設定のテスト」をクリックします。変更が適切に反映されたか、さらに変更が必要かどうかをお知らせします。
  11. 準備ができたら、「更新を確認する」をクリックします。


移行のための Tip 

変更がスムーズに行くように、以下の点に気をつけてください。

  • 前もって計画する : Slack に登録したメールアドレスが、IDP のプライマリメールアドレスに登録しているものと同じであることを確認してください。
  • 変更を知らせる :  #general チャンネルを使って変更を社内通知を行い、変更に伴って何が起こるかをメンバーに知らせましょう。
  • メンバーを再接続する : 変更の完了後、メンバーに SSO バインディングメールを 72 時間以内にクリックするように伝えてください。管理者はメンバーページからいつでもバインディングメールを再送できます。

Tip : 「slack.com」ドメインをホワイトリストに登録しておけば、メールがスパムや迷惑メールフォルダに入ってしまうことがなくなります。

この機能を使えるのは誰?

  • ワークスペースのオーナーOrG オーナーだけがこの機能にアクセスできます。
  •  プラスプランと Slack Enterprise Grid で利用可能です。