Einmaliges Anmelden mit ADFS

Du kannst deine Active Directory Federation Services (ADFS)-Instanz integrieren, damit sich das Einmalige Anmelden für deine Team-Mitglieder nahtlos verwalten lässt.

Hinweis: ADFS unterstützt derzeit nicht das automatische Entziehen der Zugriffsrechte über unsere SCIM-API. Wenn Mitgliedern bei deinem IDP Zugriffsrechte entzogen werden, darfst du nicht vergessen, das Mitglied in Slack zu deaktivieren.


1. Schritt – ADFS für Slack einrichten

Erstellung einer neuen Vertrauensstellung der vertrauenden Seite

  1. Melde dich bei dem Server an, auf dem ADFS installiert ist. Wenn du Hilfe bei der Bereitstellung von ADFS benötigst, solltest du diesen Guide lesen.
  2. Öffne die Management-Konsole von ADFS und wähle Trust Relationships. Gehe dann links zu Relying Party Trusts.
  3. Klicke im Aktionsmenü auf der rechten Seite auf Add Relying Party Trust.
  4. Schalte im Schritt Select Data Source die Option Enter data about the relying party manuell ein. Select_Data_Source_tab.png
  5. Gib anschließend auf der Registerkarte Specify Display Name den Anzeigenamen für deine Anwendung an. Wir empfehlen einen Namen wie Unternehmensname – Slack. Füge alle optionalen Notizen hinzu, die du benötigst.
  6. Wähle auf der Registerkarte Choose Profile die Option ADFS Profile aus.
  7. Verwende auf der Registerkarte Configure Certificate als Zertifikatseinstellungen die Standardauswahl.
  8. Wähle auf der Registerkarte Configure URL das Kästchen Enable Support for the SAML 2.0 WebSSO protocol und gib dann den SAML-Service-Endpunkt ein

    •  Plus-Plan: 
    https://yourdomain.slack.com/sso/saml
    •  Enterprise Grid: https://yourdomain.enterprise.slack.com/sso/saml
    Configure_URL_tab.png
  9. Gib in der Registerkarte Configure Identifiers https://slack.com ein und klicke dann auf Add. Hinweis: Wenn du eine eindeutige Workspace-URL angeben möchtest (https://[workspacename].slack.com), stelle bitte sicher, dass du den gleichen Wert in das Feld Service-Provider-Aussteller in Slack eingibst.
  10. Füge eine optionale Multi-Faktor-Authentifizierung hinzu.
  11. Wähle Permit all users to access this relying party aus, klicke dann auf Next und überprüfe deine Einstellungen.
  12. Stelle sicher, dass du die Option Open the Edit Claim Rules dialog for this relying party trust when the wizard closes aktiviert hast und wähle anschließend Close.
  13. Anschließend erstellst du Regeln – oder Anspruchsregeln – für die Relying Party-Vertrauensstellung (in diesem Fall dein Slack-Workspace oder Enterprise Grid). Slack empfängt nur ausgehende Anspruchstyp-Attribute und ‑Werte, daher kann die Liste mit den Attributen anders aussehen. Denk daran, dass du zwei Ansprüche brauchst: einen für Slack-Attribute und einen für NameID.
  14. Klicke auf Add Rule.
    attribut_werte
  15. Erstelle eine Regel, um LDAP-Attribute als Ansprüche zu versenden. Es ist nur der ausgehende Anspruchstyp User.Email erforderlich. Du kannst aber auch first_name, last_name und User.Username einschließen. Bitte beachte, dass bei ausgehenden Anspruchstypen Groß- und Kleinschreibung berücksichtigt wird. 

    Hinweis: Der für User.Username gesendete Wert entspricht dem Benutzernamen eines Benutzers. Stelle sicher, dass dieser Wert für jeden Benutzer eindeutig ist und nicht wiederverwendet wird.
    Add_rule_tab.png
  16. Erstelle anschließend eine weitere Regel, um einen eingehenden Anspruch umzuwandeln.
    regel_eingehender_anspruch
  17. Öffne die erforderliche NameID-Anspruchsregel und ändere das Format für die ausgehende Namens-ID in Persistent Identifier. Klicke dann auf OK, um die Einstellung zu speichern.
    Edit_rule_tab.png

Hinweis: Wenn du dich für die Signierung des AuthnRequest in Slack entscheidest, musst du das generierte Slack-Zertifikat in der Registerkarte Signature in ADFS hochladen. Du musst auch sicherstellen, dass du den sicheren Hash-Algorithmus SHA-1 in der Registerkarte Advanced ausgewählt hast.


2. Schritt – Slack mit deinem Identitäts-Provider integrieren

Plus-Plan

Slack Enterprise Grid

Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deines Slack-Workspace hinzu:

  1. Klicke auf deinem Desktop oben links auf deinen Workspace-Namen.
  2. Wähle Verwaltung und dann Workspace-Einstellungen aus dem Menü.
  3. Klicke auf Authentifizierung und anschließend auf Konfigurieren neben der SAML-Authentifizierung (OneLogin, Okta oder deine benutzerdefinierte SAML 2.0-Lösung).
  4. Gib deine SAML 2.0-Endpunkt-URL ein (SAML 2.0/W-Federation URL endpoint). Die Standardinstallation ist /adfs/ls/.
    SAML_SSO_URL__plus_.png
  5. Gib deinen Identitäts-Provider-Aussteller ein. Identity_Provider_Issuer__Plus_.png
  6. Kopiere dein komplettes x.509-Zertifikat in das Feld Öffentliches Zertifikat.
  7. Wenn du mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten möchtest, zeige das Menü Erweiterte Optionen an.
  8. Wähle neben AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus. Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein. Dieser sollte mit deinem Relying Party Identifier in ADFS übereinstimmen.
    service_provider
  9. Klicke auf Speichern.

Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deiner Enterprise Grid-Organisation hinzu:

  1. Klicke auf deinem Desktop oben links auf deinen Workspace-Namen.
  2. Wähle Verwaltung und dann Organisations-Einstellungen im Menü aus.
  3. Gehe zu der Seite  Sicherheit auf dem Administratoren-Dashboard.
  4. Gib unter Authentifizierung deine SAML 2.0-Endpunkt-URL ein (SAML 2.0/W-Federation URL endpoint). Die Standardinstallation ist /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Gib deinen Identitäts-Provider-Aussteller ein. Identity_Provider_Issuer__grid_.png
  6. Kopiere dein komplettes x.509-Zertifikat in das Feld Öffentliches Zertifikat.
  7. Du kannst mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten. Wähle unter AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus.
  8. Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein. Dieser sollte mit deinem Relying Party Identifier in ADFS übereinstimmen.
    service_provider_aussteller
  9. Klicke auf Änderungen speichern.

Hinweis: Wir helfen dir gern bei der Fehlerbehebung während des Einrichtens, aber wir können leider nicht immer garantieren, dass deine Verbindung perfekt mit Slack funktioniert. Nimm Kontakt mit uns auf und wir werden versuchen, dir zu helfen.

Wer kann diese Funktion benutzen?
  • Workspace-Inhaber und -Administratoren
  • Plus und Enterprise Grid

Ähnliche Artikel

Zuletzt angesehene Artikel