Einmaliges Anmelden mit SAML

SAML-basiertes Einmaliges Anmelden (SSO) gewährt Mitgliedern Zugang zu Slack mittels eines Identitäts-Providers (IDP) deiner Wahl.

Eine Liste mit allen Identitäts-Providern, die unsere Partner sind, kannst du im App Directory von Slack unter Sicherheit und Compliance (Security and Compliance) finden.

Hinweis: Wir bieten auch folgende Guides für Benutzerdefiniertes Einmaliges Anmelden mit SAML  oder Einmaliges Anmelden mit ADFS an, um dir beim Einrichten behilflich zu sein.

 

Plus-Plan

Slack Enterprise Grid

1. Schritt – Konfiguriere deinen Identitäts-Provider

Wenn du loslegen möchtest, brauchst du dafür eine Verbindung für Einmaliges Anmelden in Slack – auch Konnektor genannt – mit deinem IDP.

Viele Provider, mit denen wir zusammenarbeiten, haben Support-Seiten erstellt, um SAML mit Slack zu aktivieren: OneLogin, Ping Identity, Ping Federate, Okta, Microsoft Azure Active Directory, Bitium, LastPass, Centrify, ClearloginAuth0 und NoPassword.

Hinweis: Wenn du stattdessen G Suite benutzen möchtest, gehe zu Einmaliges Anmelden mit G Suite.

 

2. Schritt – Richte Einmaliges Anmelden für deinen Workspace ein

Wenn du deinen Identitäts-Provider konfiguriert hast, kann ein Team-Inhaber die Funktion für Einmaliges Anmelden in Slack aktivieren.

Das funktioniert so:

  1. Gehe zur Seite Team Settings, wo sich deine Team-Einstellungen befinden, unter my.slack.com/admin/settings.
  2. Klicke auf Authenticate (Authentifizierung).
  3. Klicke auf Konfigurieren für SAML-Authentifizierung (OneLogin, Okta oder deine benutzerdefinierte Lösung SAML 2.0), um die Konfiguration für die SAML-Authentifizierung festzulegen.

 

3. Schritt – Richte die Authentifizerung SAML 2.0 ein

Slack hat Konnektoren für OneLogin und Okta. Wenn du sie benutzen möchtest, suche vom Dashboard deines Identitäts-Providers aus nach der Slack App. 

Tipp: Bevor du die neue Konfiguration für die SAML-Authentifizierung anwendest, kannst du in den Testmodus wechseln, um die Verbindung auszuprobieren und sicherzustellen, dass sie bestehen bleibt.

Folge den Schritten unten, um das Einmalige Anmelden einzurichten:

  1. Wähle deinen SAML-Provider aus und klicke dann auf Configure (Konfigurieren).
  2. Gib im Feld für SAML SSO URL deine SAML 2.0 Endpoint URL (HTTP) ein. Du hast diese Information erhalten, als du deinen Konnektor eingerichtet hast. Wenn Okta dein Provider ist, kannst du die IDP-URLeinschließen, wenn du das möchtest.
  3. Gib die Kennung deines Identitäts-Providers in das Feld Identity Provider Issuer ein. 

  4. Kopiere das komplette x.509-Zertifikat von deinem Identitäts-Provider und füge es in das Feld Public Certificate (Öffentliches Zertifikat) ein.

  5. Klappe Erweiterte Optionen aus. Wähle aus, ob die SAML-Antworten und Aussagen signiert sind. Falls du einen Schlüssel für eine durchgehende Verschlüsselung von deinem Identitätsanbieter benötigst, wähle die Checkbox neben AuthnRequest signieren aus, um das Zertifikat anzuzeigen. In diesem Bereich findest du auch  AuthnContextClassRef und den Service-Provider-Aussteller.
    Screen_Shot_2017-07-06_at_12.40.46_PM.png
  6. Unter Einstellungen kannst du anpassen, ob Team-Mitglieder ihre Profilinformationen (wie z. B. E-Mail oder Benutzername) bearbeiten können, nachdem Einmaliges Anmelden aktiviert wurde. Ebenso kannst du auswählen, ob Einmaliges Anmelden required (erforderlich), partially required (teilweise erforderlich)* oder optional ist.
  7. Zuletzt kannst du noch mit Customize das Label für den Anmelde-Button, das Mitglieder sehen, wenn sie sich anmelden, benutzerdefiniert gestalten.
  8. Drücke auf Save Configuration, um die Konfguration zu speichern und abzuschließen. 

Hinweis: Wenn du Gast-Accounts hast, empfehlen wir dir, die Option zu wählen, bei der Einmaliges Anmelden teilweise erforderlich ist. Damit können sich diese Gäste auch weiterhin auf den Workspaces anmelden, auf die sie Zugriff haben.

 

Was dich nach der Aktivierung von Einmaligem Anmelden erwartet

Wenn du das Einmalige Anmelden fertig eingerichtet hast, erhalten alle Mitglieder eine E-Mail, die sie über die Änderungen informiert. In der E-Mail werden die Mitglieder aufgefordert, ihre Slack-Accounts mit deinem Identitäts-Provider zu verbinden – oder zu binden.

Von jetzt an werden sich alle Mitglieder in Slack mit dem Account ihres Identitäts-Providers anmelden. Wenn du die Option auswählst, bei der Einmaliges Anmelden erforderlich ist, werden Mitglieder eine Anmeldungsseite sehen, die so aussieht, wenn sie die URL deines Teams besuchen.

Tipp: Um die Verwaltung der Mitglieder einfacher zu gestalten, unterstützt Slack den SCIM-Standard für Zugriffsrechte. Das ermöglicht dir, Benutzer mit unserer SCIM-API automatisch zu erstellen und zu entfernen. Mehr Infos dazu findest du unter Team-Mitglieder mit SCIM-Zugriffsrechten verwalten.


Teste Updates für deine SSO-Konfiguration

Wenn du deine Konfiguration für Einmaliges Anmelden aktualisieren möchtest, sobald sie implementiert wurde, können Teams mit dem Plus-Plan Änderungen vornehmen und sicher testen, ohne dass davon Einmaliges Anmelden für Team-Mitglieder betroffen ist. 

Das funktioniert so:

  1. Gehe zur Seite Team Settings, wo sich unter my.slack.com/admin/settings deine Team-Einstellungen befinden.
  2. Klicke im Menüsymbol in der oberen linken Ecke auf Authentication
  3. Klicke auf Change Settings, um die Einstellungen zu ändern.
  4. Wechsle in der oberen rechten Ecke in den Test-Modus.
    testmode.png
  5. Gib alle Updates ein, die du in deiner SSO-Konfiguration als Werte hinzufügen möchtest. 
  6. Klicke auf Test Configuration. Wir geben dir Bescheid, wenn die Änderungen erfolgreich sind, oder ob du weitere Änderungen vornehmen musst.
    testandsave.png
  7. Wenn du bereit bist, klicke auf Save Configuration, um deine Änderungen zu implementieren. 

1. Schritt – Konfiguriere deinen Identitäts-Provider

Wenn du loslegen möchtest, brauchst du dafür eine Verbindung für Einmaliges Anmelden in Slack – auch Konnektor genannt – mit deinem IDP.

Viele Provider, mit denen wir zusammenarbeiten, haben Support-Seiten erstellt, um SAML mit Slack zu aktivieren: OneLogin, Ping Identity, Ping Federate, Okta, Microsoft Azure Active Directory, Bitium, LastPass, Centrify, ClearloginAuth0 und NoPassword.

Hinweis: Wenn du stattdessen G Suite benutzen möchtest, gehe zu Einmaliges Anmelden mit G Suite.

 

2. Schritt – Richte Einmaliges Anmelden für deine Organisation ein

Wenn du deinen Identitäts-Provider konfiguriert hast, kann ein Organisationsinhaber oder Organisationsadministrator die Funktion für Einmaliges Anmelden in deiner Enterprise-Grid-Organisation aktivieren.

Das funktioniert so:

  1. Melde dich in Slack Enterprise Grid an und klicke dann auf Manage organization(Organisation verwalten).
  2. Gehe zu der Seite  Security auf dem Administratoren-Dashboard, wo sich deine Sicherheitseinstellungen befinden.
  3. Klicke im Bereich für die Konfiguration des Einmaligen Anmeldens auf Configure SSO (Einmaliges Anmelden konfigurieren).

3. Schritt – Richte die Authentifizierung nach SAML 2.0 ein

Slack hat Konnektoren für OneLogin und Okta. Wenn du sie benutzen möchtest, suche vom Dashboard deines Identitäts-Providers aus nach der Slack App. 

Folge den Schritten unten, um das Einmalige Anmelden über die Konfigurationsseite einzurichten.
  1. Gib deine SAML 2.0 Endpoint-URL ein. Dies ist die Adresse, an welche die Authentifizierungsanfragen von Slack gesendet werden. Du hast diese Information erhalten, als du deinen Konnektor eingerichtet hast. 
  2. Gib die URL des Identitäts-Provider-Ausstellers ein. Diese ist auch als die Entitäts-ID bekannt. 
  3. Die URL des Identitäts-Provider-Ausstellers ist standardmäßig auf https://slack.com eingestellt. Dieses Feld sollte der Angabe bei deinem Identitäts-Provider entsprechen.
  4. Kopiere das komplette x.509-Zertifikat von deinem Identitäts-Provider.
  5. Wähle aus, ob die SAML-Antworten und -Aussagen signiert sind. Falls du einen Schlüssel für eine durchgehende Verschlüsselung von deinem Identitätsanbieter benötigst, wähle die Checkbox neben Sign AuthnRequest aus, um das Zertifikat anzuzeigen. Ebenso kannst du die Werte für AuthnContextClassRef beliebig anpassen.
  6. Klicke auf Test Configuration (Konfiguration testen). Wir geben dir Bescheid, wenn die Änderungen erfolgreich sind, oder ob du weitere Änderungen vornehmen musst. 
  7. Wenn du damit fertig bist, klicke auf Turn on SSO (Einmaliges Anmelden aktivieren). 

 

Was dich nach der Aktivierung von Einmaligem Anmelden erwartet

Wenn du das Einmalige Anmelden fertig eingerichtet hast, erhalten alle Mitglieder eine E-Mail, die sie über die Änderungen informiert. In der E-Mail werden die Mitglieder aufgefordert, ihre Slack-Accounts mit deinem Identitäts-Provider zu verbinden – oder zu binden.

Von jetzt an werden sich alle Mitglieder in Slack mit dem Account ihres Identitäts-Providers anmelden. Wenn du die Option auswählst, bei der Einmaliges Anmelden erforderlich ist, werden Mitglieder eine Anmeldungsseite sehen, die so aussieht, wenn sie die URL deines Teams besuchen.

Tipp: Um die Verwaltung der Mitglieder einfacher zu gestalten, unterstützt Slack den SCIM-Standard für Zugriffsrechte. Das ermöglicht dir, Benutzer mit unserer SCIM-API automatisch zu erstellen und zu entfernen. Mehr Infos dazu findest du unter Team-Mitglieder mit SCIM-Zugriffsrechten verwalten.


Teste Updates für deine SSO-Konfiguration

Wenn du deine Konfiguration für Einmaliges Anmelden nach der Implementierung aktualisieren möchtest, kannst du Änderungen vornehmen und sicher testen, ohne dass davon das Einmalige Anmelden für Mitglieder betroffen ist. 

Das funktioniert so:

  1. Melde dich in Slack Enterprise Grid an und klicke dann auf Manage organization(Organisation verwalten).
  2. Gehe zu der Seite  Security  (Sicherheit) auf dem Administratoren-Dashboard, wo sich deine Sicherheitseinstellungen befinden.
  3. Klicke dann im Bereich für die Konfiguration des Einmaligen Anmeldens auf Configure SSO (Einmaliges Anmelden konfigurieren).
  4. Klicke auf Change Configuration (Konfiguration ändern) und gib dann die von dir gewünschten Aktualisierungen deiner Einstellungen für das Einmalige Anmelden ein. 
  5. Klicke auf Test Configuration (Konfiguration testen). Wir geben dir Bescheid, wenn die Änderungen erfolgreich sind oder nicht.
  6. Wenn du damit fertig bist, klicke auf Confirm Update (Aktualisierung bestätigen).
Wer kann diese Funktion benutzen?
  • Team-Inhaber können auf diese Funktion in Slack für Teams zugreifen. Organisationsinhaber können auf diese Funktion in Slack für Unternehmen zugreifen. 
  • Verfügbar in Teams mit einem Plus-Plan und mit Slack Enterprise Grid.

Ähnliche Artikel

Zuletzt angesehene Artikel