Cómo utilizar ADFS para configurar el inicio de sesión único
Para ayudarte a administrar el inicio de sesión único de tus miembros sin ningún contratiempo, puedes integrar tu Servicios de federación de Active Directory (ADFS).
Nota: ADFS por sí solo no ofrece eliminación automática de cuentas a través de la API SCIM de Slack. Al dar de baja a un miembro en tu IDP, asegúrate de desactivarlo manualmente en Slack si no has implementado una solución de administración de SCIM fuera de ADFS.
Paso 1: Instalar ADFS para Slack
Cómo crear un nuevo usuario de confianza
- Inicia sesión en el servidor en que está instalado ADFS. Si necesitas ayuda para implementar ADFS, consulta esta guía.
- Abre la consola de gestión de ADFS, y selecciona Relaciones de confianza y, luego, Usuarios de confianza en el árbol de la consola izquierda.
- Haz clic en Agregar Usuario de confianza desde el menú Acciones a la derecha.
- En el paso Seleccionar fuente de datos, cambia la opción Ingresar datos sobre el usuario de confianza manualmente.
- A continuación, especifica el nombre que se muestra para tu app en la pestaña Especificar nombre de Slack. Te sugerimos llamarlo algo así como Nombre de la empresa - Slack. Agrega notas opcionales que puedas necesitar.
- En la pestaña Elegir perfil, selecciona Perfil de ADFS.
- En la pestaña Configurar certificado, deja la configuración del certificado en sus valores predeterminados.
-
En la pestaña Configurar URL, selecciona la casilla Habilitar asistencia para el protocolo SAML 2.0 WebSSO e ingresa el punto de conexión del servicio SAML.
• Plan Business+: https://yourdomain.slack.com/sso/saml
• Enterprise Grid: https://tudominio.empresa.slack.com/sso/saml
- En la pestaña Configurar identificadores, ingresa https://slack.comy haz clic en Agregar. Nota: Si eliges especificar la URL de un espacio de trabajo único (https://[workspacename].slack.com), asegúrate de ingresar el mismo valor en el campo Emisor de proveedor de servicios en Slack.
- Agrega una autenticación multifactor opcional.
- Selecciona Permitir que todos los usuarios accedan a este usuario de confianza; luego, haz clic en Siguiente y revisa tu configuración.
- Asegúrate de que has alternado la opción Abrir el cuadro de diálogo Editar reglas de notificaciones para este usuario de confianza cuando se cierre el asistente y selecciona Cerrar.
- A continuación, procederás a crear reglas o notificaciones para tu usuario de confianza: en este caso, tu espacio de trabajo o Enterprise Grid de Slack. Slack solo recibe atributos y valores para tipos de notificaciones salientes, por lo que la lista de atributos puede tener un aspecto diferente. Ten en cuenta que necesitarás dos notificaciones: una para Atributos de Slack y otra para NameID.
-
Haz clic en Agregar regla.
- Crea una regla para enviar los atributos LDAP como notificaciones. Solo se necesita el tipo de notificación saliente User.Email, pero es posible que desees incluir first_name, last_name y User.Username. Recuerda que los tipos de notificaciones salientes distinguen entre mayúsculas y minúsculas.
Nota: El valor enviado para User.Username se corresponderá con el nombre de usuario de un usuario. Asegúrate de que este valor sea único para cada usuario y que no se vuelva a utilizar. - A continuación, crea otra regla para transformar notificaciones entrantes.
- Abre la regla de notificaciones NameID y cambia el formato del identificador de nombre saliente a Identificador persistente. Para guardar los cambios, haz clic en Aceptar.
Nota: Si eliges firmar el AuthnRequest en Slack, deberás cargar el certificado de Slack generado en la pestaña Firma en ADFS. También deberás asegurarte de haber seleccionado el algoritmo hash seguro SHA-1 en la pestaña Avanzadas.
Paso 2: Integrar Slack con tu proveedor de identidad
Plan Business+
Enterprise Grid de Slack
A continuación, agrega la información ADFS a los ajustes de autenticación de tu espacio de trabajo de Slack.
- En tu computadora, haz clic en el nombre de tu espacio de trabajo, en la barra lateral.
- Selecciona Herramientas y ajustes en el menú y haz clic en Ajustes del espacio de trabajo.
- Haz clic en Autenticacióny, luego, en Configurar junto a Autenticación SAML (OneLogin, Okta o tu solución personalizada SAML 2.0)
- Ingresa tu URL de punto de conexión SAML 2.0 (URL de punto de conexión SAML 2.0/W-Federation). La instalación predeterminada es /adfs/ls/.
- Ingresa tu emisor de proveedor de identidad. Si no estás seguro de estos puntos de conexión, ejecuta PS C:/> Get-AdfsEndpoint en Powershell en el dispositivo donde está instalado el ADFS.
- Desde la pestaña Cifrado de ADFS, copia todo el Certificado x.509 de firma de token y pégalo en el campo Certificado público.
- Para configurar más de un usuario de confianza con Slack, amplía el menú de Opciones avanzadas.
- Junto a AuthnContextClass Ref, selecciona PasswordProtectedTransport y ventanas (uso con ADFS para autenticación interna y externa). Luego, escribe tu emisor de proveedor de servicios único. Esto debe coincidir con tu identificador de usuario de confianza en ADFS.
- Haz clic en Guardar.
A continuación deberás agregar la información ADFS a los ajustes de autenticación del Enterprise Grid de tu organización:
- En tu computadora, haz clic en el nombre de tu espacio de trabajo, en la barra lateral.
- Selecciona Herramientas y ajustes en el menú y, luego, haz clic en Ajustes de la organización.
- En la barra lateral izquierda, haz clic en Seguridad y selecciona Ajustes del inicio de sesión único.
-
Ingresa tu URL de punto de conexión SAML 2.0 (URL de punto de conexión SAML 2.0/W-Federation). La instalación predeterminada es /adfs/ls/.
- Ingresa tu emisor de proveedor de identidad. Si no estás seguro de estos puntos de conexión, ejecuta PS C:/> Get-AdfsEndpoint en Powershell en el dispositivo donde está instalado el ADFS.
- En el campo Certificado público, copia y pega el Certificado x.509 completo.
- Puedes configurar más de un usuario de confianza con Slack. En AuthnContextClass Ref, selecciona PasswordProtectedTransport y ventanas (uso con ADFS para autenticación interna y externa).
- Ingresa tu emisor de proveedor de servicios único. Esto debe coincidir con tu identificador de usuario de confianza en ADFS.
- Haz clic en Guardar cambios.
Nota: Si bien estaremos encantados de ayudarte a resolver cualquier problema durante la instalación, no siempre podemos garantizar que te conectes con Slack. Lee nuestro artículo Solucionar errores de la autorización de SAML o envíanos una nota y veremos lo que podemos hacer.
- Los propietarios de espacios de trabajo y los propietarios de organizaciones
- Planes Business+ y Enterprise Grid