Benutzerdefiniertes Einmaliges Anmelden mit SAML

Wenn der Identitäts-Provider deiner Wahl keine Verbindung zu Slack hat, kannst du eine benutzerdefinierte SAML-Verbindung benutzen.

Hinweis: Wir helfen dir gerne weiter, wenn es Schwierigkeiten beim Einrichten gibt. Jedoch können wir leider nicht immer garantieren, dass deine Verbindung mit Slack funktioniert. Sende uns eine Nachricht, und wir werden tun, was wir können!


Parameter

Folge diesen Parametern, um eine benutzerdefinierte SAML-Verbindung einzurichten. 

Zugriffsrechte

  • Slack unterstützt von Identitäts-Providern (IDP) initiierte Abläufe, von Service-Providern (SP) initiierte Abläufe, Just-In-Time-Zugriffsrechte und automatische Zugriffsrechte durch unsere SCIM-API
  • Für SP-initiiertes einmaliges Anmelden, gehe zu https://yourdomain.slack.com.

Post-Backup-URL für Einmaliges Anmelden (SSO)

  • https://yourdomain.slack.com/sso/saml
    (Auch als Assertion Consumer Service URL bekannt)

Entitäts-ID

  • https://slack.com

SAML Abmeldungs-Endpoint

  •  https://yourdomain.slack.com/sso/saml/logout  


Bedenkenswertes

  • Slack unterstützt HTTP POST-Bindung, aber nicht HTTP REDIRECT. Du kannst das HTTP POST-Bindung in den IDP-Metadaten konfigurieren.
  • Dein IDP sollte sicherstellen, dass ein Benutzer sowohl bestätigt wurde als auch autorisiert ist, bevor eine Aussage gesendet wird. Wenn ein Benutzer nicht autorisiert ist, sollte keine Aussage gesendet werden. Wir empfehlen, dass dein Identitäts-Provider Benutzer zu einer HTTP 403-Seite oder etwas Ähnlichem weiterleitet.


Einstellungen, die mit aufgenommen werden sollten

NameID (erforderlich)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="DEINEDOMAIN.slack.com" SPNameQualifier="https://slack.com">Your Unique Identifier</saml:NameID>
</saml:Subject>

Hinweis: Um die SAML-Spezifikationen zu erfüllen, muss die NameID einzigartig und pseudozufällig sein und sollte sich zudem für den Nutzer im Laufe der Zeit nicht ändern – so wie eine Mitarbeiter-ID-Nummer. 


E-Mail-Attribut (erforderlich)

 <saml:Attribute Name=„User.Email
NameFormat=„urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified“>
<saml:AttributeValue xsi:type=„xs:anyType“>testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>


Benutzernamen-Attribut (optional)

 <saml:Attribute Name=„User.Benutzername
NameFormat=„urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified“>
<saml:AttributeValue xsi:type=„xs:anyType“>Benutzername
</saml:AttributeValue>
</saml:Attribute>


Vornamen-Attribut (optional)

<saml:Attribute Name=„first_name
NameFormat=„urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified“>
<saml:AttributeValue xsi:type=„xs:anyType“>FirstName
</saml:AttributeValue>
</saml:Attribute>


Nachnamen-Attribut (optional)

  <saml:Attribute Name=„last_name
NameFormat=„urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified“>
<saml:AttributeValue xsi:type=„xs:anyType“>LastName
</saml:AttributeValue>
</saml:Attribute>


Zertifikate

Öffentliches Zertifikat

Slack verlangt, dass eine SAML-Antwort signiert ist, und du musst ein gültiges X.509 .pem-Zertifikat einfügen, um deine Identität zu bestätigen. Das ist anders als bei deinem SSL-Zertifikat. 

Durchgehender Verschlüsselungscode 

Wenn du eine durchgehende Verschlüsselung für deinen IDP brauchst, klicke einfach in den SSO-Einstellungen deines Workspace auf den Button Erweiterte Optionen. Du kannst dann ein Häkchen bei AuthnRequest signieren setzen, um den öffentlichen Verschlüsselungscode von Slack anzuzeigen.

Hinweis: Wenn du deine Active Directory Federation Services-Instanz (ADFS) verbinden möchtest, findest du unter Einmaliges Anmelden mit ADFS weitere Informationen.

Wer kann diese Funktion benutzen?
  • Nur Workspace-Inhaber können auf diese Funktion zugreifen. 
  • Verfügbar in Workspaces mitPlus-Plan und Slack Enterprise Grid.

Ähnliche Artikel

Zuletzt angesehene Artikel