~はじめに~
本マニュアルは、Slack と Gluegent Gate の連携を、最小限の設定で行う方法をご紹介しています。
本マニュアルの通りに設定を行うことで Slack へのログインが Gluegent Gate を通して行われます。
ご用意いただくものは、Gluegent Gate の管理者ID / パスワードと、連携する Slack の管理者情報です。
重要:
Gluegent Gate との連携は 「ビジネスプラス」でご利用いただけます。
ステップ1:Gluegent Gate で「IdP証明書」の取得
ステップ2:Slack でOAuthトークンの取得
ステップ3:Gluegent Gate で「シングルサインオン」の設定
ステップ4:Gluegent Gate で任意のユーザーをSlackに割り当て
ステップ5:Slack で「シングルサインオン」の設定
ステップ6:Gluegent Gate で「ID同期」の有効化
ステップ7:Gluegent Gateで「ユーザー」の新規登録
ステップ8:Gluegent Gateで「操作ログ」を確認
ステップ9:Gluegent Gateで「認証」の設定
ステップ10:Gluegent Gateで「アクセス権限」の設定
ステップ11:シングルサインオン(SSO)でのログインの確認
ステップ1:Gluegent Gate で「IdP証明書」の取得
シングルサインオンの設定に必要な「IdP証明書」を取得します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「システム」→「IdP証明書」の順にクリックします。
状態が「使用中」となっている証明書の「DL」アイコンをクリックします。
証明書ファイルがダウンロードされます。後ほど使用しますので、任意の場所に保存してください。
ステップ2:Slack でOAuthトークンの取得
ワークスペースに管理者アカウントでログインした同ブラウザから、 Slack API にアクセスします。
例)
https://<ワークスペース名>.slack.com/
Your Apps にある「Create and App」をクリックします。
「Form scratch」をクリックします。
アプリ名の入力、ワークスペースを選択します。
「App Name」は任意の値を入力、「Pick a workspace to develop your app in」は対象のワークスペースをプルダウンから選択します。
「Create App」をクリックします。
先ほど作成したアプリ(例:Gluegent Gate Test )が開かれます。
「OAuth&Permissions」をクリックします。
「OAuth & Permissions」画面を開きましたら、下にスクロールします。
Scopes > User Token Scopes にある「Add an OAuth Scope」をクリックします。
「admin」をクリックします。
Scopes > User Token Scopes に「admin」が表示されていることを確認してください。
画面上部に戻り、OAuth Tokens for Your Workspace にある「Install to Workspace」をクリックします。
ワークスペースにアクセスする権限のリクエストを許可します。
「許可する」をクリックします。
成功しますと、「User OAuth Token」に値が表示されます。ステップ3 で使用するので、コピーして値を控えてください。
ステップ3:Gluegent Gate で「シングルサインオン」の設定
Gluegent Gate 側に Slack とのシングルサインオンの設定を行います。
Gluegent Gate の管理画面にアクセスします。
左メニューの「シングルサインオン」→「クラウドサービス」の順にクリックします。
画面右上の「登録」をクリックします。
一覧から「Slack」の編集アイコンをクリックします。
各種設定項目を入力します。
- シングルサインオンの設定
- 「有効」のチェックをオンにします。
- URL
- SlackにアクセスするワークスペースのURLを入力します。
- 例)
https://<ワークスペース名>.slack.com/
- ID同期
-
「有効」のチェックをオフにします。
チェックがオフの場合、Gluegent Gate のユーザー情報は Slack に同期されません。
ステップ5 Slack のシングルサインオン設定が完了後に、ID同期を有効化します。
- アクセストークン
- ステップ2 で控えた「User OAuth Token」を入力します。
「保存」をクリックします。
ステップ4:Gluegent Gate で任意のユーザーをSlackに割り当て
ステップ5 Slack の「シングルサインオン」設定で使用するため、一時的に任意のユーザーを作成または既存ユーザーを開きます。
注意:
一時的なユーザーの場合は、連携設定後に削除対応をお願いいたします。
※ユーザーの作成方法につきましては、「ユーザーの管理 - 1. ユーザーの作成」ご参照ください。
ユーザー情報にある「許可するサービス」の「Slack」をチェックオンにします。
※ID同期が無効のため、 Slack には同期されません。
「更新」をクリックします。
ステップ5:Slack で「シングルサインオン」の設定
ワークスペースに管理者アカウントでログインをします。
例)
https://<ワークスペース名>.slack.com/
ワークスペース名の横「∨」> ツールと設定 > ワークスペースの設定 の順にクリックします。
認証 > SAML 認証 の「設定する」をクリックします。
SAML 認証の設定に必要な項目を入力します。
- SAML 2.0 エンドポイント(HTTP)
-
https://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant=<テナントID>
※例えば Gluegent Gate のテナントIDが example.com の場合は以下のURLとなります。
https://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant=example.com
- IDプロバイダー発行者
-
https://slink.secioss.com/<テナントID>
※例えば Gluegent Gate のテナントIDが example.com の場合は以下のURLとなります。
https://slink.secioss.com/example.com
- 公開証明書
- ステップ1でダウンロードした証明書をテキストで開き、内容をコピーペーストします。
詳細設定にある「開く」をクリックします。
「署名つきレスポンス」のチェックをオフにします。
「ワークスペースの認証が必要なメンバー」を選択します。
例) 「ワークスペースの全メンバー」を選択した場合、ワークスペース全メンバーに SSO が適応されます。
「設定を保存する」をクリックします。
Gluegent Gate のログイン画面へ遷移されます。
ステップ4 で許可した任意のユーザーでログインをします。
- ユーザー名
- Gluegent Gate のユーザー名(ユーザーID の @ より前の部分)
- パスワード
- 設定したパスワード
Gluegent Gate の認証が成功しますと、Slack 側でのSAML 認証設定が有効化されます。
注意:
「アクセスが許可されていません」が表示された場合、画面上の「ログアウト」をクリックします。
ログアウト後、Slack 側の「SAML 認証の設定」画面までブラウザバックしてください。その状態のまま今一度、ステップ4 で設定した任意のユーザーに対し、許可するサービスに「Slack」のチェックが入っていること、または認証周りの設定をご確認ください。
再度「設定を保存する」をクリックをすると、Gluegent Gate のログイン画面が表示されますのでログインを行ってください。
補足情報
情報:
初回時のみ、連携する項目を「API」から「SCIM」に設定する必要があります。「SCIM」になっているかご確認ください。
確認・設定方法は メニュー > プロフィール をクリックします。
初回時は「API」となっているため、「編集する」をクリックします。
データソースを「SCIM」に選択し、「変更を保存する」をクリックします。
全項目を「SCIM」に変更してください。
ステップ6:Gluegent Gate で「ID同期」の有効化
Gluegent Gate 側で「ID同期」を有効となるよう設定を行います。
Gluegent Gate の管理画面にアクセスします。
左メニューの「シングルサインオン」→「クラウドサービス」の順にクリックします。
クラウドサービス一覧の「Slack」の操作アイコンをクリックします。
ステップ3 で有効としなかった「ID同期」の「有効」チェックをオンにし、「保存」をクリックします。
ステップ7:Gluegent Gateで「ユーザー」の新規登録
Gluegent Gate でユーザーを作成します。Slack にもユーザーが作成されます。
Gluegent Gate の管理画面にアクセスします。
左メニューの「ユーザー」→「新規登録」の順にクリックします。
ユーザーの新規登録画面に遷移します。必要事項を入力します。
- ユーザーID
- Gluegent Gate のログイン画面で使用するIDを入力します。
- 別名
- 別名を入力します。もし未入力の場合は、ユーザーIDの「@」以前の値が表示名に同期されます。
未入力時の例)ユーザーIDが user@example.com の場合は、「user」が Slack 側の表示名として同期されます。
注意:
Slack 側の仕様上、「別名」の変更は不可となります。登録の際はご注意ください。
- 氏名
- 氏名を入力します。
- メールアドレス
- メールアドレスを入力します。
- パスワード
- ログインのためのパスワードを入力します。
- 許可するサービス
- 「Slack」のチェックをオンにします。
「登録」をクリックします。
ステップ8:Gluegent Gateで「操作ログ」を確認
登録後、ログで正しくユーザーが作成されたかを確認します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「ログ」→「システムログ」の順にクリックします。
ログ一覧で「操作ログ」を選択し、「適用」をクリックします。
その他の検索項目は必要に応じて設定します。
Gluegent Gate への追加ログと Slack への追加ログが表示されます。
「(Slack)」が付いているものが Slack への追加ログです。
成功した処理は黒いテキスト、失敗した処理は赤いテキストで表示されます。
ステップ9:Gluegent Gateで「認証」の設定
認証ルール(本人確認のための処理)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「認証」→「新規登録」の順にクリックします。
認証ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
- 任意の値を入力します。(例:rule_web)
- 認証方式
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
- 以下の 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ10:Gluegent Gateで「アクセス権限」の設定
アクセス権限ルール(各種サービスへの認可の付与)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「アクセス権限」→「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
- 任意の値を入力します。(例:for_web)
- アクセス先のサービス
- 「Slack」のチェックをオンにします。
- 要求される認証方式
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
- 以下 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ11:シングルサインオン(SSO)でのログインの確認
作成したユーザーにて、Gluegent Gate を経由したログインができることを確認します。
ワークスペースにログインをします。
例)
https://<ワークスペース名>.slack.com/
「○○でサインイン」をクリックします。「○○」の部分には、カスタマイズで設定した値が表示されます。
(設定されていない場合は「SAMLでサインイン」と表示されます)
Gluegent Gate のログイン画面が表示されます。
以下を入力して「ログイン」をクリックします。
- ユーザー名
- 「ステップ7」 Gluegent Gate の「ユーザー」の新規登録で指定したユーザー名(ユーザーID の @ より前の部分)
- パスワード
- 新規登録時に設定したパスワード
初回ログイン時のみパスワードの変更画面が表示されます。
新しいパスワードを入力し、「更新」をクリックします。
パスワード変更後、画面上の「次へ」をクリックしてください。
Gluegent Gate が Slack にアクセス可能かを確認し、アクセス可能と判断されれば、Slack へのログインに成功します。