Slack SSO連携設定
(最終更新:2024年2月)
利用に際しての留意事項
- 「ビジネスプラスプラン」および「Enterprise Grid プラン」でのみSAMLによるシングルサインオンが可能です。
- Slackにはシングルサインアウト機能が備わっていないため、Slackからログアウトした後、CloudGate UNOからもサインアウトしてください。
- スマートデバイスからのSlack利用はアプリからのみです。Slack EMMアプリを使ったCloudGate UNOとのSAML連携は対象外です。
SSO連携設定の手順
Slack のSSO設定
Slack のSSO設定には CloudGate UNO の情報が必要になります。
CloudGate UNO 管理者サイトのシングルサインオン設定画面(左メニュー > 設定 > サービスプロバイダー > 各サービスパネルの「編集」 > シングルサインオン設定タブ)の「SAML 2.0のIdP情報」項目より以下情報を取得して、 Slack に設定します。
CloudGate UNO 項目名 |
Slack の設定箇所 |
---|---|
プロバイダー名 |
SAML認証項目の[ID プロバイダ発行者]に入力します。 |
ログインURL |
SAML認証項目の[SAML 2.0 エンドポイント (HTTP)]に入力します。 |
ログアウトURL |
https://echizen.cloudgate.jp/ |
パスワード変更画面URL |
ー |
証明書 |
ダウンロードした証明書をテキストエディターなどで開いて文字列をすべてコピーし、[公開証明書]にペーストします。 |
SAML 2.0 メタデータURL |
ー |
SAML 2.0メタデータ |
ー |
CloudGate UNO のSSO設定
CloudGate UNO 項目名 |
設定値 |
|||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
IdP-initiated SSO |
OFF |
|||||||||||||||
SP-initiated SSO |
ON |
|||||||||||||||
Sign-on URL / SAML endpoint URL / SSO URL(*) |
サービス提供ベンダー様から[Sign-on URL] を取得し、その値を入力します。 |
|||||||||||||||
Issuer / Provider name / Entity ID(*) |
[Entity ID](「https://slack.com」) を取得し、その値を入力します。 |
|||||||||||||||
Assertion consumer service URL(*) |
サービス提供ベンダー様から[Assertion consumer service URL] を取得し、その値を入力します。 |
|||||||||||||||
Name IDの形式 |
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
|||||||||||||||
署名されたリクエスト |
OFF |
|||||||||||||||
署名されたレスポンス |
ON |
|||||||||||||||
署名されたアサーション |
ON |
|||||||||||||||
ダイジェストアルゴリズムタイプ |
http://www.w3.org/2000/09/xmldsig#sha1 |
|||||||||||||||
署名検証アルゴリズム情報タイプ |
http://www.w3.org/2000/09/xmldsig#rsa-sha1 | |||||||||||||||
正規化アルゴリズムタイプ |
http://www.w3.org/2001/10/xml-exc-c14n# | |||||||||||||||
署名検証鍵情報タイプ |
x509証明書 | |||||||||||||||
追加属性(*) |
シングルサインオンするには下記の追加属性が必要です。 オートプロビジョニングを利用する際に設定します。
|
|||||||||||||||
シングルサインオフの設定 | ||||||||||||||||
サインオフメソッド |
HTTP GET |
|||||||||||||||
ログアウトURL(*) |
|
CloudGate UNO と Slack アカウントIDの関連付け
下記の情報が一致している必要があります。
CloudGate UNO |
Slack |
---|---|
アカウントID |
メールアドレス |
SAML認証の有効化
Slack管理者画面左上「ワークスペース名」 >その他管理項目 >ワークスペースの設定 >認証 タブ >SAML認証項目「設定する」 より以下の通りご設定ください。
- [SAML 2.0 エンドポイント (HTTP)]:CloudGate UNOから取得した[ログインURL]
- [ID プロバイダ発行者]:CloudGate UNOから取得した[プロバイダー名]
- [公開証明書]:CloudGate UNOから取得した[証明書]をテキストエディターなどで開いて文字列をすべてコピー&ペースト
- [AuthnRequest にサイン]:チェックを外す
- [AuthnContextClassRef]:selected>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport(デフォルト)
- [サービスプロバイダ発行者]:「https://slack.com」を入力(※Slackのデフォルト)
- [署名つきレスポンス]:チェックを入れる
- [署名つきアサーション]:チェックを入れる
- [ユーザーがログインするたびにプロフィールを更新する]:(※任意 チェックを入れた場合、CloudGate UNOユーザーのメールアドレス・姓・名・表示名が、Slackにプロビジョニングされます。)
- [ユーザーによるメールアドレスの変更を許可する]:(※任意 [ユーザーがログインするたびにプロフィールを更新する]のチェックを入れた場合、本項目はチェックを入れても機能しません。)
- [ユーザーによる表示名の変更を許可する]:(※任意 [ユーザーがログインするたびにプロフィールを更新する]のチェックを入れた場合、本項目はチェックを入れても機能しません。)
- [ワークスペースの認証が必要なメンバー]:ワークスペースの全メンバー(※SAML連携当初は「この設定は任意です。」を選択し、接続検証が完了したら「ワークスペースの全メンバー」に切り替えることを推奨します。)