Einmaliges Anmelden mit ADFS
Du kannst deine Active Directory Federation Services (ADFS)-Instanz integrieren, damit sich das Einmalige Anmelden für deine Team-Mitglieder nahtlos verwalten lässt.
Hinweis: ADFS allein unterstützt derzeit nicht das automatische Entziehen der Zugriffsrechte über die Slack-SCIM-API. Nachdem Mitgliedern in deinem IDP die Zugriffsrechte entzogen wurden, denke daran, sie in Slack manuell zu deaktivieren, wenn du keine SCIM-Bereitstellungslösung außerhalb von ADFS implementiert hast.
Schritt 1: ADFS für Slack einrichten
Erstellung einer neuen Vertrauensstellung der vertrauenden Seite
- Melde dich bei dem Server an, auf dem ADFS installiert ist. Wenn du bei der Bereitstellung von ADFS Hilfe brauchst, findest du in diesem Guide weitere Informationen.
- Öffne die Management-Konsole von ADFS und wähle Vertrauensstellungen. Gehe dann links zu Vertrauensstellungen der vertrauenden Seite.
- Klicke im Aktionsmenü auf der rechten Seite auf Vertrauensstellung der vertrauenden Seite hinzufügen.
- Schalte im Schritt Datenquelle auswählen die Option Daten über die vertrauende Seite manuell eingeben.
- Gib anschließend auf der Registerkarte Anzeigename angeben den Anzeigenamen für deine Anwendung an. Wir empfehlen einen Namen wie Unternehmensname – Slack. Füge alle optionalen Notizen hinzu, die du benötigst.
- Wähle auf der Registerkarte Profil auswählen die Option ADFS-Profil aus.
- Verwende auf der Registerkarte Configure Certificate als Zertifikatseinstellungen die Standardauswahl.
-
Wähle auf dem Tab URL konfigurieren das Dialogfeld Unterstützung für das SAML 2.0 WebSSO-Protokoll aus und gib den SAML-Service-Endpunkt ein.
• Business+ Plan: https://yourdomain.slack.com/sso/saml
• Enterprise Grid: https://yourdomain.enterprise.slack.com/sso/saml
- Gib auf dem Tab Bezeichner konfigurieren https://slack.com ein und klicke auf Hinzufügen. Hinweis: Wenn du eine eindeutige Workspace-URL angeben möchtest (https://[workspacename].slack.com), stelle bitte sicher, dass du den gleichen Wert in das Feld Service-Provider-Aussteller in Slack eingibst.
- Füge eine optionale Multi-Faktor-Authentifizierung hinzu.
- Wähle Permit all users to access this relying party aus, klicke dann auf Next und überprüfe deine Einstellungen.
- Stelle sicher, dass du die Option Dialogfeld Anspruchsregeln bearbeiten für diese Vertrauensstellung der vertrauenden Seite öffnen, wenn der Assistent geschlossen wird aktiviert hast und wähle anschließend Schließen.
- Anschließend erstellst du Regeln – oder Anspruchsregeln – für die Relying Party-Vertrauensstellung (in diesem Fall dein Slack-Workspace oder Enterprise Grid). Slack empfängt nur abgehende Anspruchstyp-Attribute und -Werte, daher kann die Liste mit den Attributen anders aussehen. Denk daran, dass du zwei Ansprüche brauchst: einen für Slack-Attribute und einen für NameID.
-
Klicke auf Regel hinzufügen.
- Erstelle eine Regel, um LDAP-Attribute als Ansprüche zu versenden. Es ist nur der ausgehende Anspruchstyp User.Email erforderlich. Du kannst aber auch first_name, last_name und User.Username einschließen. Bitte beachte, dass bei abgehenden Anspruchstypen Groß- und Kleinschreibung berücksichtigt werden muss.
Hinweis: Der für User.Username gesendete Wert entspricht dem Benutzernamen eines Benutzers. Stelle sicher, dass dieser Wert eindeutig für jeden Benutzer ist und nicht erneut verwendet wird. - Erstelle anschließend eine weitere Regel, um einen eingehenden Anspruch umzuwandeln.
- Öffne die erforderliche NameID-Anspruchsregel und ändere das Format für die ausgehende Namens-ID in Persistent Identifier. Klicke dann auf OK, um die Einstellung zu speichern.
Hinweis: Wenn du dich für die Signierung des AuthnRequest in Slack entscheidest, musst du das generierte Slack-Zertifikat in der Registerkarte Signatur in ADFS hochladen. Du musst auch sicherstellen, dass du den sicheren Hash-Algorithmus SHA-1 in der Registerkarte Advanced ausgewählt hast.
Schritt 2: Slack mit deinem Identitäts-Provider integrieren
Business+ Plan
Enterprise Grid von Slack
Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deines Slack-Workspace hinzu:
- Klicke auf dem Desktop in der Seitenleiste auf deinen Workspace-Namen.
- Wähle im Menü die Option Tools und Einstellungen aus und klicke dann auf Workspace-Einstellungen.
- Klicke auf den Tab Authentifizierung und anschließend auf Konfigurieren neben der SAML-Authentifizierung (OneLogin, Okta oder deine benutzerdefinierte SAML 2.0-Lösung).
- Gib deine SAML 2.0 Endpoint-URL ein (SAML 2.0/W-Federation URL-Endpunkt). Die Standardinstallation ist /adfs/ls/.
- Gib deinen Identitäts-Provider-Aussteller ein. Wenn du dir bei diesen Endpunkten nicht sicher bist, führe PS C:/> Get-AdfsEndpoint in Powershell auf dem Gerät aus, auf dem ADFS installiert ist.
- Kopiere aus dem Tab „Verschlüsselung“ von ADFS dein gesamtes x.509-Zertifikat zur Token-Signierung und füge es in das Feld Öffentliches Zertifikat ein.
- Wenn du mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten möchtest, zeige das Menü Erweiterte Optionen an.
- Wähle neben AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus. Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein. Dieser sollte mit deinem Bezeichner der vertrauenden Seite in ADFS übereinstimmen.
- Klicke auf Speichern.
Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deiner Enterprise Grid-Organisation hinzu:
- Klicke auf dem Desktop in der Seitenleiste auf deinen Workspace-Namen.
- Wähle im Menü Tools und Einstellungen aus und klicke auf Organisationseinstellungen.
- Klicke in der linken Seitenleiste auf Sicherheit. Wähle dann Einstellungen für einmaliges Anmelden aus.
-
Gib deine SAML 2.0 Endpoint-URL ein (SAML 2.0/W-Federation URL-Endpunkt). Die Standardinstallation ist /adfs/ls/.
- Gib deinen Identitäts-Provider-Aussteller ein. Wenn du dir bei diesen Endpunkten nicht sicher bist, führe PS C:/> Get-AdfsEndpoint in Powershell auf dem Gerät aus, auf dem ADFS installiert ist.
- Kopiere dein komplettes x.509-Zertifikat in das Feld Öffentliches Zertifikat.
- Du kannst mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten. Wähle unter AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus.
- Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein. Dieser sollte mit deinem Bezeichner der vertrauenden Seite in ADFS übereinstimmen.
- Klicke auf Änderungen speichern.
Hinweis: Wir helfen dir gern beim Einrichten weiter. Jedoch können wir leider nicht immer garantieren, dass deine Verbindung mit Slack funktioniert. Lies unseren Artikel zur Fehlerbehebung bei SAML-Autorisierungsfehlern oder sende uns eine Nachricht, und wir tun, was wir können!
- Workspace-Inhaberinnen und -Inhaber und Organisationsinhaberinnen und -inhaber
- Business+ Pläne und Enterprise Grid-Pläne