L’authentification unique SAML personnalisée

Si votre fournisseur d’identité habituel ne dispose pas de connecteur pour Slack, vous pouvez utiliser une connexion SAML personnalisée.

Remarque : nous serons heureux de vous assister dans la résolution des problèmes liés à la configuration, mais sachez que nous ne pouvons pas garantir le fonctionnement de la connexion avec Slack. Lisez notre article Résoudre les erreurs d’autorisation SAML ou envoyez-nous un message et nous ferons tout notre possible pour vous aider !


Paramètres

Suivez les paramètres ci-dessous afin de configurer la connexion SAML personnalisée.

Gestion

  • Slack est compatible avec le flux initialisé par un fournisseur d’identité ou par un fournisseur de service, avec la gestion Just In Time (JIT) et avec la gestion automatique via notre API SCIM.
  • Pour l’authentification unique initialisée par un fournisseur de service, accédez à https://votredomaine.slack.com.

URL d’authentification unique après sauvegarde

  • https://votredomaine.slack.com/sso/saml
    (Également connue sous le nom d’URL de l’« assertion customer service »)

ID de l’entité

  • https://slack.com

Remarque : Slack ne prend pas en charge la déconnexion unique ni la durée de la session configurée dans votre IdP (fournisseur d’identité). Comme alternative, vous pouvez définir une durée de session pour limiter la durée pendant laquelle vos membres restent connectés à Slack.

Remarques

  • Slack est compatible avec la liaison HTTP POST, mais pas avec la liaison HTTP REDIRECT. Vous devez configurer les liaisons HTTP POST dans les métadonnées du fournisseur d’identité.
  • Le fournisseur d’identité doit vérifier l’authentification et l’autorisation de l’utilisateur avant d’envoyer une assertion. Si l’utilisateur n’est pas autorisé, le fournisseur ne doit pas envoyer l’assertion, mais plutôt rediriger l’utilisateur vers une page HTTP 403 ou une page similaire.


Les paramètres à inclure

NameID (Obligatoire)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Your Unique Identifier</saml:NameID>
</saml:Subject>

Remarque : pour répondre aux spécifications SAML, le NameID doit être unique, pseudo-aléatoire et il ne changera pas pour l’utilisateur au fil du temps (comme le numéro d’identification d’un employé).

Attribut d’e-mail (Obligatoire)

 <saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>



Attribut de nom d’utilisateur (Facultatif)

<saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>



Attribut de prénom (Facultatif)

<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>



Attribut de nom de famille (Facultatif)

 <saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>


Certificats

Certificat public

Slack exige que la réponse SAML contienne des signatures numériques. Vous devez coller un certificat X.509.pem valide pour confirmer votre identité. Ce certificat est différent de votre certificat SSL.

Clés de chiffrement intégral

Si vous avez besoin d’une clé de chiffrement intégral pour votre fournisseur d’identité, cliquez sur le bouton Options avancées qui se trouve dans les paramètres d’authentification unique de votre espace de travail pour rechercher le certificat. Cochez ensuite la préférence Signer la demande AuthnRequest pour afficher la clé de chiffrement publique de Slack.

Remarque : intégrez le protocole Active Directory Federation Services (ADFS) à Slack pour gérer efficacement l’authentification unique de votre équipe. Accédez à L’authentification unique avec ADFS pour plus d’informations.

Qui peut utiliser cette fonctionnalité ?
  • Seuls les propriétaires de l’espace de travail peuvent utiliser cette fonctionnalité.
  • Disponible avec les forfaits Business+ et Enterprise Grid.

Articles associés

Articles consultés récemment