Einmaliges Anmelden mit SAML
SAML-basiertes Einmaliges Anmelden (SSO) gewährt Mitgliedern über einen Identitäts-Provider (IDP) deiner Wahl Zugang zu Slack.
Hinweis: Wenn du Probleme bei der Einrichtung des Einmaligen Anmeldens mit SAML hast, lies unseren Artikel Fehlerbehebung bei SAML-Autorisierungsfehlern.
Tipp: Workspace-Inhaberinnen und -Inhaber (Business+) und Organisationsinhaberinnen und -inhaber (Enterprise Grid) können die SSO-Authentifizierung umgehen und sich mit E-Mail-Adresse und Passwort anmelden. Damit besteht immer Zugriff auf deinen Workspace oder deine Organisation, auch wenn dein IDP Probleme hat.
Schritt 1: Deinen Identitäts-Provider konfigurieren
Um zu beginnen, richte bitte eine Verbindung (oder einen Connector) für Slack zu deinem IDP ein. Viele Anbieter, mit denen wir zusammenarbeiten, haben Hilfeseiten für die Aktivierung von SAML mit Slack erstellt:
Hinweis: Wir bieten auch Anleitungen an, die dir bei der Einrichtung von benutzerdefiniertem einmaligem Anmelden mit SAML, einmaligem Anmelden mit Google Workspace oder einmaligem Anmelden mit ADFS helfen.
Schritt 2: Einmaliges Anmelden mit SAML für Slack einrichten
Business+ Plan
Enterprise Grid-Plan
Nachdem du deinen Identitäts-Provider (IDP) konfiguriert hast, können Workspace-Inhaber die Funktion für Einmaliges Anmelden (SSO) aktivieren.
- Klicke auf dem Desktop oben links auf deinen Workspace-Namen.
- Wähle im Menü die Option Einstellungen und Verwaltung aus und klicke auf Workspace-Einstellungen.
- Klicke auf das Tab Authentifizierung.
- Klicke neben SAML-Authentifizierung auf Konfigurieren.
- Wechsle rechts oben in den Test-Modus.
- Gib neben URL für Einmaliges Anmelden mit SAML deine SAML 2.0 Endpoint-URL (HTTP) ein. (Du hast diese Informationen erhalten, als du deinen Connector eingerichtet hast. Wenn Okta dein IDP ist, kannst du stattdessen die IDP-URL einschließen, wenn du das möchtest.)
- Gib neben dem Identitäts-Provider-Aussteller deine IDP-Entitäts-ID ein.
- Kopiere das komplette x.509-Zertifikat von deinem Identitäts-Provider und füge es in das Feld Öffentliches Zertifikat ein.
- Klicke neben Erweiterte Optionen auf Erweitern. Wie soll die SAML-Antwort deines IDPs signiert werden? Falls du einen Schlüssel für eine durchgehende Verschlüsselung benötigst, wähle die Checkbox neben AuthnRequest signieren aus, um das Zertifikat anzuzeigen.
- Unter Einstellungen kannst du anpassen, ob Mitglieder ihre Profilinformationen (wie z. B. E‑Mail oder Anzeigename) bearbeiten können, nachdem Einmaliges Anmelden aktiviert wurde. Ebenso kannst du auswählen, ob Einmaliges Anmelden erforderlich, teilweise erforderlich* oder optional ist.
- Gib unter Anpassen ein Label für den Anmelde-Button ein.
- Wähle Konfiguration speichern aus, um die Konfiguration abzuschließen.
*Wenn du Gast-Accounts hast, empfehlen wir dir, die Option zu wählen, bei der Einmaliges Anmelden teilweise erforderlich ist. Damit können sich Gäste auch weiterhin mit ihrer E-Mail-Adresse und ihrem Passwort anmelden.
Nachdem du deinen Identitäts-Provider (IDP) konfiguriert hast, können Organisationsinhaber die Funktion für Einmaliges Anmelden (SSO) in deiner Enterprise Grid-Organisation aktivieren:
- Klicke auf dem Desktop oben links auf deinen Workspace-Namen.
- Wähle im Menü die Option Einstellungen und Verwaltung aus und klicke dann auf Organisationseinstellungen.
- Klicke in der linken Seitenleiste auf Sicherheit.
- Klicke auf Einstellungen für einmaliges Anmelden.
- Gib deinen SSO-Namen ein.
- Gib deine SAML 2.0 Endpoint-URL ein (diese stammt von der Einrichtung deines Connectors in einem der vorigen Schritte.) Das ist die Adresse, an welche die Authentifizierungsanfragen von Slack gesendet werden.
- Gib die URL deines Identitäts-Provider-Ausstellers (auch bekannt als Entitäts-ID) ein.
- Die URL des Service-Provider-Ausstellers ist standardmäßig auf https://slack.com eingestellt. Dieses Feld sollte der Angabe bei deinem Identitäts-Provider entsprechen.
- Kopiere das komplette x.509-Zertifikat von deinem Identitäts-Provider.
- Wähle aus, ob die SAML-Antworten und Aussagen signiert sind. Falls du einen Schlüssel für eine durchgehende Verschlüsselung für deinen Identitäts-Provider benötigst, wähle die Checkbox neben AuthnRequest signieren aus, um das Zertifikat anzuzeigen. Ebenso kannst du die Werte für AuthnContextClassRef beliebig anpassen.
- Klicke auf Testkonfiguration. Wir geben dir Bescheid, wenn die Änderungen erfolgreich sind, oder ob du weitere Änderungen vornehmen musst.
- Wenn du damit fertig bist, klicke auf SSO aktivieren oder SSO hinzufügen.
Tipp: Nachdem du Einmaliges Anmelden eingerichtet hast, kannst du die Einstellungen für Einmaliges Anmelden verwalten und hier erfährst du, wie du IDP-Gruppen mit Workspaces in deiner Organisation verbinden kannst.
Zusätzliche SSO-Konfigurationen hinzufügen
Du kannst bis zu elf zusätzliche SSO-Konfigurationen hinzufügen, damit sich Personen über einen Identitätsanbieter deiner Wahl bei Slack anmelden können.
- Klicke auf dem Desktop oben links auf deinen Workspace-Namen.
- Wähle Einstellungen und Verwaltung aus dem Menü aus und klicke dann auf Organisations-Einstellungen.
- Wähle in der linken Seitenleiste Sicherheit aus.
- Klicke auf Einstellungen für einmaliges Anmelden.
- Klicke auf SSO-Konfiguration hinzufügen und befolge die Anweisungen, um SSO für Slack einzurichten.
Was dich nach der Aktivierung von Einmaligem Anmelden erwartet
Nachdem du SSO eingerichtet hast, erhalten Mitglieder, die sich mit SSO anmelden müssen, eine E-Mail. In der E-Mail werden die Mitglieder aufgefordert, ihre Slack-Accounts mit deinem IDP zu verbinden. Mitglieder haben 72 Stunden Zeit, ihren Account entsprechend zu verknüpfen, bevor der Link abläuft.
Alle Mitglieder, die bereits angemeldet sind, wenn SSO aktiviert wird, bleiben angemeldet. Von jetzt an werden alle Mitglieder sich in Slack mit dem Account ihres Identitäts-Providers anmelden. Wenn du festlegst, dass Einmaliges Anmelden erforderlich ist, sehen deine Mitglieder eine Anmeldeseite, bevor sie auf deinen Workspace zugreifen können.
Tipp: Damit Mitglieder einfacher verwaltet werden können, unterstützt Slack den SCIM-Standard für Zugriffsrechte. Mehr Infos dazu findest du unter Mitglieder mit SCIM-Zugriffsrechten verwalten.
- Workspace-Inhaber:innen und Organisationsinhaber:innen
- Business+ Pläne und Enterprise Grid-Pläne