オンプレ環境での運用に対応しているOSSのSlack互換のチャットツールのMattermostですが、有償版と無償版の相違は機能や認証方式などです。
SAML認証やAD連携などの機能は有償のProfessionalやEnterpriseプランでの提供となっており、無償のTeam Edition セルフホストプランでは利用ができません。
【Mattermost 各種プラン】
Mattermost プラン / 費用 | Team Edition セルフホスト / 無償 |
Professional / 有償 | Enterprise / 有償 |
idP連携 / SAML認証 OIDC認証 | ✖ | ✔ | ✔ |
* Team Edition セルフホストはOSS版です
【Team Edition セルフホストプランの主な機能】
機能 | 内容 |
チーム数 | 無制限 |
ユーザー数 | 無制限 |
チャンネル数/ PlayBook数 | 無制限 |
HDD容量 | 無制限 |
画面共有 | ✔ |
プラグイン | ✔ |
無制限のメッセージ検索と履歴 | ✔ |
カード数&ビュー | 無制限 |
ファイル共有 | ✔ |
ワークフローの自動化 | ✔ |
プロジェクトマネジメント | ✔ |
レポートと統計 | ✔ |
カスタム統合機能 | ✔ |
ID / パスワード認証 |
✔ |
SAML認証 |
✖ |
OIDC認証 |
✖ |
Team Edition セルフホストプランでも、ユーザー数、チーム数、チャンネル数やHDD容量などに制限はありません
- 費用を抑えて運用したい
- 自社の環境で運用したい
- SaaSを利用できない
- Slackから移行したい ( マイグレーション)
などの場合には、Team Edition セルフホストプランが利用できます。
【ID/パスワード認証のMattermost】
利用できるMattermostとしては
1)自社で構築のMattermost Team Edition セルフホストプラン
2)Mattermost Team Edition セルフホストプランが利用できるアプライアンス 「Powered BLUE for Mattermost」も選択が可能です。
【MattermostのセルフホストプランでidP / Keycloak 連携のSSOで運用】
ID / パスワード認証のMattermost Team Edition セルフホストプランをAzure AdなどのidP / Keycloak連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いMattermostへのシングルサインオンを構成します。
- Mattermostの改修は不要
- Mattermostの設置場所は、WAN / DMZ / LAN の任意の場所に対応
【代理認証】
idP / Keycloakと連携のSAML/OIDC認証対応のID認識型のリバースプロキシからMattermostへ「ID / パスワード」を代理入力&代理認証を行います。
- ユーザー操作でのMattermostへの「ID / パスワード」の入力不要
- SAML / OIDC認証に未対応のMattermostをSSOのWebメンバーとして構成
* Mattermost以外の、SAML / OIDC認証に未対応の「Webシステム」のSSOにも対応
【必要な機器構成】
- idP
- SAML / OIDC認証機能のID認識型 リバースプロキシ( ユーザー情報の代理入力機能 )
- Mattermost Team Edition セルフホストプラン( ID / パスワード認証 )
- ブラウザ(プラグイン不要)
【 idP / Keycloak】
KeycloakはSAMLやOIDC認証でリバースプロキシと接続します
Keycloakのアプラアインス 「Powered BLUE for idP 」も利用できます
アプライアンスの機能
- ウィザードによるKeycloakのセットアップ
- Keycloak のバックアップ、リストア、アップグレード
- SSLサーバー証明書登録 ( トラストストア対応 )
- keycloak へのアクセスポート( 80 / 443 )
- アクティブモニタ(サービス監視・再起動・管理者への通知)
- SSLクライアント認証
- GUIからの操作設定
iDaaS / idPとしてSAML認証やOIDC認証をサポートの
- Azure AD
- GMOトラストログイン
- 他
なども利用が出来ます
【リバースプロキシ・アプライアンス】
リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
【アプライアンスの機能】
- リバースプロキシ機能
- SAMLやOIDC認証
- バックエンドのWebへユーザー情報の代理入力機能
- SSLクライアント認証
- GUIから設定や運用
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
【MattermostへのSSO利用ステップ】
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP / Keycloak へアクセス
- idP / Keycloak の認証後にリバースプロキシから Mattermost へユーザー情報を代理入力
- Mattermostへ自動ログイン
【各種Web システムへのSSO】
一度の idP / Keycloak 認証で、複数のWebシステムへSSOでアクセスできます
【SSLクライアント認証の併用(多要素認証 / MFA)】
SSLクライアント認証でidPやリバースプロキシへの認証を強化
- idPとのSAML / OIDC認証
- SSLクライアント認証
クライアント証明書 〇 | クライアント証明書 ✕ |
【FIDO2生体認証】
なりすましを防止して本人確認を確実に行えるFIDO2の「生体認証」でのパスワードレス認証の運用が出来ます。
スマートフォンのFIDO2対応の生体認証(顔認証や指紋認証)をWebアクセス時の認証に利用します。
FIDO2による認証では「生体情報」が端末外へ漏洩することはありません。
- 生体情報は「スマートフォン」内に保存&保護されます
【idP / Keycloak連携で代理入力&パスワードレスSSO運用時の構成】
* idPとリバースプロキシはSAML認証やOIDC認証での認証連携
* ユーザー端末とidPはFIDO2の生体認証
【Mattermostへのパスワードレス認証の利用ステップ】
スマートフォン端末(指紋認証・顔認証)
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP / Keycloak へアクセス (IDのみ入力・パスワードレス)
- idP / Keycloak の生体認証後にリバースプロキシからMattermostへユーザー情報を代理入力
- Mattermostへ自動ログイン
PC端末(指紋認証)
FIDO2対応 USB接続の指紋認証器 |
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP / Keycloak へアクセス (IDのみ入力・パスワードレス)
- idP / Keycloak の生体認証後にリバースプロキシからMattermostへユーザー情報を代理入力
- Mattermostへ自動ログイン
【Mattermost のこんな使い方に】
- 費用を抑えて導入したい ( Professional / Enterpriseプランは費用面で利用が出来ない)
- シングルサインオンで運用したい
- パスワードレス認証で運用したい
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / VPS などクラウド環境で運用したい
- VMware / Hyper-V などの仮想環境で運用したい
- オンプレ環境で運用したい
- 自社管理で運用したい
- Slackから移行したい
【お問合せ】