Benutzerdefiniertes Einmaliges Anmelden mit SAML

Wenn der Identitäts-Provider deiner Wahl keine Verbindungs zu Slack hat, hast du die Möglichkeit, eine benutzerdefinierte SAML-Verbindung zu benutzen.

Hinweis: Wir helfen dir gerne weiter, wenn es Schwierigkeiten beim Einrichten gibt, aber wir können leider nicht garantieren, dass deine Verbindung perfekt mit Slack funktioniert. Schreib uns und wir versuchen, dir zu helfen. 


Parameter

Folge diesen Parametern, um eine benutzerdefinierte SAML-Verbindung einzurichten.

  • Zugriffsrechte: Slack unterstützt von Identitäts-Providern (IDP) initiierte Abläufe, von Service-Providern (SP) initiierte Abläufe, Just In Time-Zugriffsrechte (JIT) und automatische Zugriffsrechte durch unsere SCIM-API. Für SP-initiierte Anmeldung gehe bitte zu https://yourdomain.slack.com.
  • Post-back-URL für Einmaliges Anmelden (auch bekannt als die Assertion Consumer Service-URL)https://yourdomain.slack.com/sso/saml
  • Entitäts-ID: https://slack.com
  • Endpunkt für SAML-Abmeldung: https://yourdomain.slack.com/sso/saml/logout


Bedenkenswertes

  • Slack unterstützt HTTP POST-Bindung, aber nicht HTTP REDIRECT. Du kannst das HTTP POST-Bindung in den IDP-Metadaten konfigurieren.
  • Dein IDP sollte sicherstellen, dass ein Benutzer sowohl bestätigt wurde als auch autorisiert ist, bevor eine Aussage gesendet wird. Wenn ein Benutzer nicht autorisiert ist, sollte keine Aussage gesendet werden. Wir empfehlen, dass dein IDP einen Benutzer zu einer HTTP 403-Seite oder zu etwas Ähnlichem weiterleitet.


Einstellungen, die mit aufgenommen werden sollten

NameID (erforderlich)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="DEINEDOMAIN.slack.com" SPNameQualifier="https://slack.com">Your Unique Identifier</saml:NameID>
</saml:Subject>

Tipp: NameID muss eine eindeutig zuzuordnende Kennung enthalten, die über einen längeren Zeitraum konstant bleibt, wie beispielsweise eine Mitarbeiter-ID-Nummer. Bitte vergewissere dich, dass dein Format für NameID dem Beispiel weiter oben entspricht. 


E-Mail-Attribut (erforderlich)

 <saml:Attribute Name=„User.Email
NameFormat=„urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified“>
<saml:AttributeValue xsi:type=„xs:anyType“>testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>

 

Benutzernamen-Attribut (optional)

 <saml:Attribute Name=„User.Benutzername
NameFormat=„urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified“>
<saml:AttributeValue xsi:type=„xs:anyType“>Benutzername
</saml:AttributeValue>
</saml:Attribute>

 

Vollständiger Name-Attribut (optional)

<saml:Attribute Name=„full_name
NameFormat=„urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified“>
<saml:AttributeValue xsi:type=„xs:anyType“>FirstName
</saml:AttributeValue>
</saml:Attribute>

Zertifikate

Öffentliches Zertifikat

Slack verlangt, dass eine SAML-Antwort signiert ist, und du musst ein gültiges X.509 .pem-Zertifikat einfügen, um deine Identität zu bestätigen. Das ist anders als bei deinem SSL-Zertifikat. 

Durchgehender Verschlüsselungscode 

Wenn du eine durchgehende Verschlüsselung für deinen IDP brauchst, klicke einfach in den SSO-Einstellungen deines Workspace auf den Button Erweiterte Optionen. Du kannst dann ein Häkchen bei AuthnRequest signieren setzen, um den öffentlichen Verschlüsselungscode von Slack anzuzeigen.

Screen_Shot_2017-07-06_at_10.55.10_AM.png

Hinweis: Wenn du deine Active Directory Federation Services-Instanz (ADFS) verbinden möchtest, findest du unter Einmaliges Anmelden mit ADFS weitere Informationen.

Wer kann diese Funktion benutzen?
  • Nur Workspace-Inhaber können auf diese Funktion zugreifen. 
  • Verfügbar in Workspaces mitPlus-Plan und Slack Enterprise Grid.

Ähnliche Artikel

Zuletzt angesehene Artikel