Cómo configurar el inicio de sesión único basado en SAML
Habilitar el inicio de sesión único (SSO) basado en el lenguaje de marcado para confirmaciones de seguridad (SAML) permite que los miembros se conecten a Slack a través del proveedor de identidad (IDP) que tú elijas.
Nota: Si tienes problemas para configurar el inicio de sesión único basado en SAML, consulta nuestro artículo Solucionar los errores de la autorización de SAML.
Consejo: Los propietarios del espacio de trabajo (Business+) y los de la organización (Enterprise Grid) pueden omitir la autenticación de inicio de sesión único para iniciar sesión con una dirección de correo electrónico y una contraseña. De este modo, siempre podrán acceder a su espacio de trabajo u organización aunque haya problemas con el proveedor de identidad.
Paso 1: Configura tu proveedor de identidad
Para empezar, deberás configurar una conexión (o un conector) para Slack con tu proveedor de identidad. Muchos proveedores con los que trabajamos han creado páginas de ayuda para activar SAML con Slack:
Nota: También ofrecemos guías para ayudarte a configurar el inicio de sesión único basado en SAML personalizado, el inicio de sesión único basado en Google Workspace o el inicio de sesión único basado en ADFS.
Paso 2: Configura el inicio de sesión único basado en SAML para Slack
Plan Business+
Plan Enterprise Grid
Tras configurar tu proveedor de identidad, un propietario del espacio de trabajo puede habilitar el inicio de sesión único.
- En tu computadora, haz clic en el nombre de tu espacio de trabajo, en la parte superior izquierda.
- Selecciona Administración en el menú y haz clic en Ajustes del espacio de trabajo.
- Haz clic en la pestaña Autenticación.
- Junto a Autenticación SAML, haz clic en Configurar.
- En la parte superior derecha, activa el modo Prueba.
- Junto a la URL de inicio de SSO de SAML, escribe tu URL de punto de conexión SAML 2.0 (HTTP). (Esta se obtuvo al configurar tu conector. Si tu proveedor de identidad (IDP) es Okta, si quieres, puedes escribir en su lugar la URL de IDP).
- Junto a Emisor de proveedor de identidad, escribe tu emisor de proveedor de identidad.
- Copia el Certificado x.509 completo suministrado por tu proveedor de identidad y pégalo en el campo de Certificado público.
- Junto a Opciones avanzadas, haz clic en Expandir. Elige cómo se firma la respuesta de SAML de tu proveedor de identidad. Si necesitas una clave de cifrado de extremo a extremo, marca la casilla junto a Firmar AuthnRequest para que se muestre el certificado.
- En Ajustes, decide si los miembros podrán editar la información de perfil (como su correo electrónico o nombre de Slack) una vez habilitado el inicio de sesión único. También puedes elegir si se exigirá el inicio de sesión único, si se exigirá de forma parcial* o si será opcional.
- En Personalizar, escribe una etiqueta para el botón Iniciar sesión.
- Para terminar, selecciona Guardar configuración.
*Si tienes cuentas de invitado, te recomendamos elegir la opción en la que es parcialmente obligatorio el inicio de sesión único, de modo que estos invitados aún puedan iniciar sesión con su correo y contraseña.
Una vez configurado tu proveedor de identidad, un propietario de la organización puede habilitar el inicio de sesión único para tu organización Enterprise Grid:
- En tu computadora, haz clic en el nombre de tu espacio de trabajo, en la parte superior izquierda.
- Selecciona Ajustes y administración en el menú y haz clic en Ajustes de la organización.
- En la barra lateral izquierda, haz clic en Seguridad.
- Haz clic en Ajustes de inicio de sesión único.
- Escribe tu nombre de inicio de sesión único.
- Escribe tu URL de punto de conexión SAML 2.0 (que se obtuvo al configurar tu conector anteriormente). Aquí es donde se envían solicitudes de autenticación de Slack.
- Escribe la URL de tu Emisor de proveedor de identidad (también se conoce como el ID de entidad).
- La URL del emisor de proveedor de servicios está configurada como https://slack.com de manera predeterminada. Este campo debe coincidir con lo que configuraste en tu IDP.
- Copia el Certificado x.509 completo suministrado por tu proveedor de identidad.
- Selecciona si las respuestas y confirmaciones de SAML están firmadas. Si necesitas una clave de cifrado de extremo a extremo, marca la casilla junto a Firmar AuthnRequest para que se muestre el certificado. También puedes seleccionar tu preferencia de los valores AuthnContextClassRef.
- Haz clic en Probar la configuración. Te avisaremos si los cambios se realizaron correctamente o si debes realizar nuevas modificaciones.
- Cuando hayas terminado, haz clic en Activar el inicio de sesión único o Agregar inicio de sesión único.
Consejo: Después de configurar el inicio de sesión único, puedes administrar los ajustes del inicio de sesión único y descubrir cómo conectar grupos con tu proveedor de identidad a espacios de trabajo de tu organización.
Agregar configuración de inicio de sesión único adicional
Si quieres, puedes agregar hasta 11 configuraciones de inicio de sesión único adicionales para que los usuarios puedan iniciar sesión en Slack desde el proveedor de identidad que elijas.
- En tu computadora, haz clic en el nombre de tu espacio de trabajo, en la parte superior izquierda.
- Selecciona Ajustes y administración en el menú, luego haz clic en Ajustes de la organización.
- En la barra lateral izquierda, selecciona Seguridad .
- Haz clic en Ajustes de inicio de sesión único.
- Haz clic en Agregar configuración de inicio de sesión único y sigue los pasos para configurar el inicio de sesión único para Slack.
Qué esperar después de habilitar el inicio de sesión único
Una vez que hayas configurado el inicio de sesión único (SSO), los miembros que deban iniciar sesión con SSO recibirán un correo electrónico. El correo incluirá instrucciones para que los miembros vinculen sus cuentas de Slack con tu proveedor de identidad. Los miembros tendrán 72 horas para vincular sus cuentas antes de que el enlace venza.
Todos los miembros que ya hayan ingresado cuando se active el inicio de sesión único permanecerán conectados. A partir de ahí, todos los miembros iniciarán sesión en Slack con su cuenta del proveedor de identidad. Si eliges el inicio de sesión único obligatorio, tus miembros verán una página para iniciar sesión antes de poder acceder al espacio de trabajo.
Consejo: A fin de simplificar la administración de los miembros, Slack es compatible con el estándar de administración de usuarios SCIM. Visita Administrar las cuentas de los miembros mediante la especificación SCIM para obtener más información.
- Los propietarios de espacios de trabajo y los propietarios de organizaciones
- Planes Business+ y Enterprise Grid