ビジネス向けのコラボレーションツールのMattermostは、slackと同様の機能を持ちながら「オンプレ環境」での運用にも対応しているという特徴があります。情報管理の関係からslackのようなSaaSのみのサービスを利用しにくいケースや無償版を利用したいケースでは、Mattermostは有効な選択肢となります。
Mattermostのグレードは、Team Edition (無償) / Professional (有償)/ Enterprise(有償) の3グレードがあります。GutHubとの連携はどのグレードでも利用が出来ますが、無償のセルフホストプランでは、SAMLやOIDC認証はサポートされておりません。標準では、SSO機能はProfessional (有償)/ Enterprise(有償)からの対応となっています。
【Mattermost 各種プラン】
| Mattermost プラン / 費用 | Team Edition / 無償 | Professional / 有償 | Enterprise / 有償 |
| idP 連携 / SAML認証 / OIDC認証 | ✖ | ✔ | ✔ |
*Team Edition はOSSです
【Team Edition の主な機能】
| 機能 | 内容 |
| チーム数 | 無制限 |
| ユーザー数 | 無制限 |
| チャンネル数/ PlayBook数 | 無制限 |
| HDD容量 | 無制限 |
| 画面共有 | ✔ |
| プラグイン | ✔ |
| 無制限のメッセージ検索と履歴 | ✔ |
| カード数&ビュー | 無制限 |
| ファイル共有 | ✔ |
| ワークフローの自動化 | ✔ |
| プロジェクトマネジメント | ✔ |
| レポートと統計 | ✔ |
| カスタム統合機能 | ✔ |
| ID / パスワード認証 |
✔ |
| SAML認証 |
✖ |
| OIDC認証 |
✖ |
Team Edition では、ビジネスチャットの必要な機能は有しておりユーザー数、チーム数、チャンネル数やHDD容量などに制限はありません。
- 費用を抑えて運用したい
- シングルサインオンで運用したい
- 自社の環境で運用したい
- SaaSを利用できない
- Slackから移行したい
などの場合には、Team Edition は有効な選択枝です。
【Mattermost セルフホスト版】
利用できるMattermostとしては
1)自社で構築のMattermost Team Edition
 |
| Mattermost / Team Edition |
2)Mattermost Team Edition が利用できるアプライアンス 
「Powered BLUE for Mattermost」も選択が可能です。
【MattermostのTeam EditionでidP連携のSSOで運用する】
ID / パスワード認証のMattermost Team Edition をAzure ADなどのidP連携で運用するには、SAML / OIDC認証に対応したリバースプロキシを利用して、代理認証を行いMattermostへシングルサインオンを構成します。
- Mattermostの改修は不要
- Mattermostの設置場所は、WAN / DMZ / LAN の任意の場所に対応
【代理認証】
SAML/OIDC認証対応のリバースプロキシからMattermostへ「ID / パスワード」を代理入力&代理認証を行います。
- ユーザー操作でのMattermostへの「ID / パスワード」の入力不要
- SAML / OIDC認証に未対応のMattermostをSSOのWebメンバーとして構成
 |
 |
* Mattermost以外の、SAML / OIDC認証に未対応の「Webシステム」のSSOにも対応しています
【SSO時の機器構成】
- idP
- SAML / OIDC認証機能のSSO リバースプロキシ( ユーザー情報の代理入力機能 )
- Mattermost Team Edition セルフホスト版( ID / パスワード認証 )
- ブラウザ(プラグイン不要)
【 idP 】
SAML認証やOIDC認証をサポートのidPに対応
- Microsoft Entra ID(旧名称 Azure AD)
- GMOトラストログイン
- Keycloak
- 他
 |
  |
【リバースプロキシ・アプライアンス】
リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
【アプライアンスの機能】
- リバースプロキシ機能
- SAMLやOIDC認証
- バックエンドのWebへユーザー情報の代理入力機能
- SSLクライアント認証
- GUIから設定や運用
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
【MattermostへのSSO利用ステップ】
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP へアクセス
- idP の認証後にリバースプロキシからMattermostへユーザー情報を代理入力
- Mattermostへ自動ログイン
【各種Web システムへのSSO】
一度の idP認証で、複数のWebシステムへSSOでアクセスできます
【SSLクライアント認証の併用(多要素認証 / MFA)】
SSLクライアント認証でidPやリバースプロキシへの認証を強化
- idPとのSAML / OIDC認証
- SSLクライアント認証
【既存の認証方法とSSOの併用】
アクセス元により認証方法を変えることも出来ます。
- 従来の ID / パスワード認証(社内からのアクセス)
- idP / IDaaS 連携によるSSO(社外からのアクセス)
の併用などの柔軟な運用が可能です。
| ID / パスワード認証 | SSO |
【Mattermost のこんな使い方に】
- 費用を抑えて導入したい ( Professional / Enterpriseプランは費用面で利用が出来ない)
- シングルサインオンで運用したい
- パスワードレス認証で運用したい
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / VPS などクラウド環境で運用したい
- VMware / Hyper-V などの仮想環境で運用したい
- オンプレ環境で運用したい
- 自社管理で運用したい
お問合せ