Mattermostは、Slackと同等の機能を持つチャットアプリケーションです。製品には有償版「Enterprise Edition」とオープンソースの「Team Edition」無償版の2つがあります。有償版と無償版の相違は機能や認証方式などです。SAML認証などは、上位の有償版のみでの提供です。
Slackを選択できないケース
社内規定やセキュリティ関連のために社内情報をSaaS側にデータを置けない場合などでは、オンプレの自社管理で運用&データは社内側に保存できるMattermostは有効な選択枝となります。
製品 | Slack | Teams | Mattermost |
運用先 | SaaS | SaaS | SaaS もしくは オンプレ |
Mattermostの運用先
Mattermost はLinuxサーバー上での運用が可能でオンプレ環境での運用に対応しており、LANやWANなどに設置して運用します。AWSやVPS、VMware/Hyper-Vなどのクラウドや仮想環境での運用も出来ます。
SSLクライアント認証でMattermostへアクセス
無償版のTeam Edition」でセキュアなアクセスをさせる方法として、SSLクライアント認証でのアクセスがあります。方法としては
- Mattermostの運用サーバーにSSLクライアント認証を併用させる
- SSLクラアイント認証のリバースプロキシ経由でMattermostのサーバーへアクセスさせる
2つの方法があります。
今回は、SSLクライアント認証対応のリバースプロキシでアクセスさせる方法を紹介します。
Mattermostの運用サーバーは、WANやLANの任意の場所に設置が出来ます。
Mattermostへは、SSLクライアント認証対応のリバースプロキシ経由でのアクセスに限定することで、リモートワーク環境でもセキュアなアクセスが可能です。重要情報を扱うビジネスシーンでもSSLクライアント認証経由でのMattermostならセキュアなアクセスが出来ます。
Websocket対応のリバースプロキシ
Mattermostは、リアルタイムでのチャットにWebSocketを利用しています。
- WebSocketに対応のリバースプロキシ
- リバースプロキシのSSLクライアント認証
- ユーザーのアクセスポートは ( https / 443 )
- Private-CAによるSSLクライアント証明書発行
- Let’s EncryptによるSSLサーバー証明書発行&自動更新
機能を有しているアプライアンスとして、 Powered BLUE for Mattermost モデルを利用します。すべての機能を1台で運用することが出来ます。
Mattermost ポート
リバースプロキシ経由でMattermostへのアクセスの場合には、エンドユーザーはhttps ポート 443でのアクセスとなります。
O https://xxx.yyy.zzz/
ブラウザへ警告メッセージは出ない
SSLクラアイント認証の組合せとして
- リバースプロキシには、Let’s EncryptなどのPublicなSSLサーバー証明書
- クライアント側には、Private CAで発行のSSLクライアント証明書
で動作させます。
この構成でのSSLクライアント認証を行う場合、公的機関で発行のSSLサーバー証明書を利用しているために、ブラウザには警告メッセージは表示されません。
プライベートなSSLサーバー証明書を利用するとブラウザに警告のメッセージがでます。
SSLクライアント認証の他に、SAML認証でのアクセスも可能です。
アクセス手順
https://xxx.yyy.zzz/
MattermostのTeam EditionでidP連携のSSOで運用する
Mattermost の各種プラン
Mattermost プラン / 費用 | Team Edition / 無償 | Professional / 有償 | Enterprise / 有償 |
idP 連携 / AD連携 | ✖ | ✔ | ✔ |
Team Edition(オープンソース版)では idP連携のSAML認証などはサポートしていません
Team Edition セルフホスト / 無償版の主な機能
機能 | 内容 |
チーム数 | 無制限 |
ユーザー数 | 無制限 |
チャンネル数/ PlayBook数 | 無制限 |
HDD容量 | 無制限 |
画面共有 | ✔ |
プラグイン | ✔ |
無制限のメッセージ検索と履歴 | ✔ |
カード数&ビュー | 無制限 |
ファイル共有 | ✔ |
ワークフローの自動化 | ✔ |
プロジェクトマネジメント | ✔ |
レポートと統計 | ✔ |
カスタム統合機能 | ✔ |
ID / パスワード認証 |
✔ |
SAML認証 |
✖ |
OIDC認証 |
✖ |
無償のTeam Edition セルフホスト・プランは、ユーザー数、チーム数、チャンネル数やHDD容量などに制限はありません
- 費用を抑えて運用したい
- 自社の環境で運用したい
- SaaSを利用できない
- Slackからデータ移行したい(マイグレーション)
などの場合には、Team Edition セルフホスト・プランにメリットがあります。
MattermostのTeam EditionでidP連携のSSOで運用する
ID / パスワード認証の Mattermost Team Edition 「オープンソース版」でAzure ADなどのidP連携で運用するには、SAML / OIDC認証に対応したリバースプロキシを利用して、代理認証を行いMattermost へのシングルサインオンを構成します。
- Mattermost の改修は不要
- Mattermost の設置場所は、WAN / DMZ / LAN の任意の場所に対応
代理認証
SAML / OIDC認証対応のリバースプロキシからMattermost へ「ID / パスワード」を代理入力&代理認証を行います。
- ユーザー操作でのMattermost への「ID / パスワード」の入力不要
- SAML / OIDC認証に未対応の Mattermost をSSOのWebメンバーとして構成
* Mattermost以外の、SAML / OIDC認証に未対応の「Webシステム」のSSOにも対応しています
リバースプロキシ・アプライアンス
リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
リバースプロキシ + 代理入力 + Mattermost を1台で運用
- SAML / OIDC認証機能のID認識型 リバースプロキシ( ユーザー情報の代理入力機能 )
- 代理認証
- Mattermost Team Edition セルフホストプラン
の機能を1個の仮想サイトで構成するオールインワン運用も対応できます
SSO対応 Mattermost のオールインワン構成での運用
idP
SAML認証やOIDC認証をサポートの一般的なidP
- Azure AD
- GMOトラストログイン
- Keycloak
- 他
などに対応
MattermostへのSSO利用ステップ
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP へアクセス
- idP の認証後にリバースプロキシからMattermostへユーザー情報を代理入力
- Mattermostへ自動ログイン
各種システムへのSSO
一度の idP認証で、複数のWebシステムへSSOでアクセスできます
デモサイト
Powered BLUE のデモサイトを用意しています
各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます
お問合せ