Wenn der Identitäts-Provider deiner Wahl keine Verbindung zu Slack hat, kannst du eine benutzerdefinierte SAML-Verbindung benutzen.

Hinweis: Wir helfen dir gern beim Einrichten weiter. Jedoch können wir leider nicht immer garantieren, dass deine Verbindung mit Slack funktioniert. Lies unseren Artikel zur Fehlerbehebung bei SAML-Autorisierungsfehlern oder sende uns eine Nachricht, und wir tun, was wir können!

Parameter

Folge diesen Parametern, um eine benutzerdefinierte SAML-Verbindung einzurichten.

Zugriffsrechte

• Slack unterstützt von Identitäts-Providern (IDP) initiierte Abläufe, von Service-Providern (SP) initiierte Abläufe, Just-In-Time-Zugriffsrechte und automatische Zugriffsrechte durch unsere SCIM-API.
• Für SP-initiiertes einmaliges Anmelden, gehe zu https://yourdomain.slack.com.

Post-Backup-URL für Einmaliges Anmelden (SSO)

• https://yourdomain.slack.com/sso/saml
  (Auch als Assertion Consumer Service URL bekannt)

Entitäts-ID

• https://slack.com

Hinweis: Slack unterstützt kein Einmaliges Abmelden oder die Konfiguration der Sitzungsdauer in deinem IdP. Alternativ kannst du eine Sitzungsdauer festlegen und so begrenzen, wie lange deine Mitglieder auf ihren Desktops bei Slack angemeldet bleiben können.

Bedenkenswertes

• Slack unterstützt HTTP POST-Bindung, aber nicht HTTP REDIRECT. Du kannst HTTP POST-Bindungen in den IDP-Metadaten konfigurieren.
• Dein IDP sollte sicherstellen, dass ein Benutzer sowohl bestätigt wurde als auch autorisiert ist, bevor eine Aussage gesendet wird. Wenn ein Benutzer nicht autorisiert ist, sollte keine Aussage gesendet werden. Wir empfehlen, dass dein Identitäts-Provider Benutzer zu einer HTTP 403-Seite oder etwas Ähnlichem weiterleitet.

Einstellungen, die mit aufgenommen werden sollten

NameID (erforderlich)

<saml:Subject>
 <saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Your Unique Identifier</saml:NameID>
</saml:Subject>

Hinweis: Um die SAML-Spezifikationen zu erfüllen, muss die NameID einzigartig und pseudozufällig sein und sollte sich zudem für den Nutzer im Laufe der Zeit nicht ändern – so wie eine Mitarbeiter-ID-Nummer. 

E-Mail-Attribut (erforderlich)

<saml:Attribute Name="User.Email"
 NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
 <saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
 </saml:AttributeValue>
 </saml:Attribute>

Benutzernamen-Attribut (optional)

<saml:Attribute Name="User.Username"
 NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
 <saml:AttributeValue xsi:type="xs:anyType">UserName
 </saml:AttributeValue>
 </saml:Attribute>

Vornamen-Attribut (optional)

<saml:Attribute Name="first_name"
 NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
 <saml:AttributeValue xsi:type="xs:anyType">FirstName
 </saml:AttributeValue>
 </saml:Attribute>

Nachnamen-Attribut (optional)

<saml:Attribute Name="last_name"
 NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
 <saml:AttributeValue xsi:type="xs:anyType">LastName
 </saml:AttributeValue>
 </saml:Attribute>

Zertifikate

Öffentliches Zertifikat

Slack verlangt, dass eine SAML-Antwort signiert ist, und du musst ein gültiges X.509 .pem-Zertifikat einfügen, um deine Identität zu bestätigen. Das ist anders als bei deinem SSL-Zertifikat.

Durchgehender Verschlüsselungscode 

Wenn du eine durchgehende Verschlüsselung für deinen IDP brauchst, klicke einfach in den SSO-Einstellungen deines Workspace auf den Button Erweiterte Optionen. Du kannst dann ein Häkchen unter AuthnRequest signieren setzen, um den öffentlichen Verschlüsselungscode von Slack anzuzeigen.

Hinweis: Wenn du deine Active Directory Federation Services-Instanz (ADFS) verbinden möchtest, findest du unter Einmaliges Anmelden mit ADFS weitere Informationen.