Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Slack Enterprise Grid with multiple IdP

Avatar for Isobe Kazuhiko Isobe Kazuhiko
May 10, 2018
Technology
53
0

Slack Enterprise Grid with multiple IdP

Avatar for Isobe Kazuhiko

Isobe Kazuhiko

May 10, 2018

More Decks by Isobe Kazuhiko

See All by Isobe Kazuhiko
今こそ遊ぼうパンデミック
Avatar for Isobe Kazuhiko muramasa64
0
33
My Keyboard Situation
Avatar for Isobe Kazuhiko muramasa64
0
29
cloudpackを支える認証技術
Avatar for Isobe Kazuhiko muramasa64
0
49
AWS Account Numberを取得するN個の方法
Avatar for Isobe Kazuhiko muramasa64
0
33
実践VPC
Avatar for Isobe Kazuhiko muramasa64
0
40
AWS Identity and Access Management
Avatar for Isobe Kazuhiko muramasa64
0
30
Introduction to AWS SDK for Ruby
Avatar for Isobe Kazuhiko muramasa64
0
36
Amazon VPCでVPN
Avatar for Isobe Kazuhiko muramasa64
0
47

Other Decks in Technology

See All in Technology
試作とデモンストレーション / Prototyping and Demonstrations
Avatar for Kenji Saito ks91
PRO
0
200
データモデリング通り #5オンライン勉強会: AIに『ビジネスの文脈』を教え込むデータモデリング
Avatar for データ横丁 datayokocho
0
260
Agent Skillsで実現する記憶領域の運用とその後
Avatar for yamadashy / やまだし yamadashy
2
1.8k
Databricks 月刊サービスアップデートまとめ 2026年04月号
Avatar for ちょし tyosi1212
0
110
The 7 pitfalls of AI
Avatar for Uwe Friedrichsen ufried
0
210
React 19×Rustツール 進化の「ズレ」を設計で埋める
Avatar for Hayashi Takao remrem0090
1
110
「強制アップデート」か「チームの自律」か?エンタープライズが辿り着いたプラットフォームのハイブリッド運用/cloudnative-kaigi-hybrid-platform-operations
Avatar for みずほリサーチ&テクノロジーズ株式会社 先端技術研究部 mhrtech
0
180
みんなの考えた最強のデータ基盤アーキテクチャ'26前期〜前夜祭〜ルーキーズ_資料_遠藤な
Avatar for Naoya Endo endonanana
0
310
大学職員のための生成AI最前線 :最前線を、AIガバナンスとして読み直すためのTips
Avatar for gmoriki | 森木銀河 gmoriki
2
4k
AI時代に、 データアナリストがデータエンジニアに異動して
Avatar for jackojacko_ jackojacko_
0
770
なぜ、私がCommunity Builderに?〜活動期間1か月半でも選出されたワケ〜
Avatar for Yuuki Yamashita yama3133
0
120
Shiny New Tools Won't Fix Your Problem
Avatar for Trisha Gee trishagee
1
120

Featured

See All Featured
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
340
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
508
140k
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
1.1k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4.3k
Lightning Talk: Beautiful Slides for Beginners
Avatar for Ines Montani inesmontani
PRO
1
540
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
120k
Impact Scores and Hybrid Strategies: The future of link building
Avatar for Tamara Novitovic tamaranovitovic
0
270
Game over? The fight for quality and originality in the time of robots
Avatar for Wayne Barker wayneb77
1
170
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.7k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
Avatar for Sara Fernández Carmona sarafernandez
0
180
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
190

Transcript

  1. Slack Enterprise Grid with multiple IdP Slack Enterprise Grid with

    multiple IdP ISOBE Kazuhiko CloudNative Inc. 第14回セキュリティ共有勉強会 2018-05-10

  2. 自己紹介 ISOBE Kazuhiko CloudNative Inc. 所属 Twitter: muramasa64 最近は認証関連を中心にやってます

  3. 今日のお題 Slack Enterprise Gridに対する認証 みんな大好きSlackのEnterprise版 企業内の色々な組織ごとにワークスペースが使える ワークスペース間でチャンネルを好きなだけ共有でき る 長いので、この資料ではGridと省略します。

  4. Gridの導入要件 SAMLを使ったシングルサインオンが必須

  5. SAMLとは何か? 知っている人✋

  6. SAMLとは(ざっくりな説明) シングルサインオンを実現するためのプロトコル 認証はIdPで行う IdP: Identity Provider SPは認証結果だけ受け取る SP: Service Provider

    認証は一回だけで複数のSPにサインインできる

  7. SAMLのシーケンス図

  8. SAML使ってますか? 使っている人✋

  9. SAML便利ですよね ということでGridはSAML必須です

  10. Gridを導入したい! グループ会社がいくつかある企業の例 それぞれSlackを利用中 Gridを使うと会社間連携ができて嬉しい

  11. しかし、ここで立ちふさがる問題 Gridの認証に使えるIdPは1つだけ

  12. Gridの認証に使えるIdPは1つだけ 一般的には、会社ごとにIdPを持っている 子会社やグループ会社は別組織 複数会社間ではGridは使えない? この制限で諦めてしまった会社は実在するらしい

  13. 何かが仲介すればいいのでは? Proxy? Delegate? Broker?

  14. ということで Keycloakを使って実現してみました

  15. Keycloakとは "Identity and Access Management solution" Red Hatが中心となって開発している Apache License

    2.0 https://www.keycloak.org

  16. Keycloakでできること Single-Sign On SAML, OpenID Connect, OAuth2.0, Kerberosに対 応 User

    Federation LDAPやActive Directory、RDBMSと連携する Identity Brokering 外部のIdPとの連携 いわゆるSocial Loginに対応

  17. Identity Brokering ID仲介 GoogleとかTwitter, FacebookのIDを使ってア プリにサインインできるようにするやつ SAMLも対応している この機能を使うことで、Gridに対して複数のIdP による認証を仲介する

  18. 連携設定1 GridとKeycloak Gridに対してKeycloakからSAMLでサインインでき るように連携する KeycloakにClientとしてGridを登録する この時点で、Keycloakに作成したローカルアカウントで Gridにサインインできるようになる

  19. 連携設定2 Keycloakと外部IdP Identity Providerとして各会社のIdPを登録する Keycloakは、複数のIdPに対応している ID/Passwordを入力するのではなく、IdPに対応した ボタンを押す 認証は各IdPで行いSAMLでサインインする

  20. 連携設定3 IdP Link Keycloakのユーザーと外部IdPで認証したユーザ ーのリンクを設定する Emailアドレス、ユーザーIDなど、ユニークなこ とが保証できる値を使う

  21. DEMO 時間があればデモします

  22. 結論 Gridに複数IdPを使ってサインインできた これはGridに限らず他のサービスでも応用可能 OSSなIdPとしてKeycloakは使いやすい 今日紹介したのは機能のほんの一部 Keycloak便利 SSOしたい人は使ってみよう