Einmaliges Anmelden mit ADFS

Du kannst deine Active Directory Federation Services (ADFS)-Instanz integrieren, damit sich das Einmalige Anmelden für deine Team-Mitglieder nahtlos verwalten lässt.


1. Schritt – ADFS für Slack einrichten

Los geht’s: 

  1. Öffne die Management-Konsole von ADFS und klicke dann auf das Tab Identifiers.
  2. Gib den Namen, der für dich angezeigt wird, in Anzeigename ein. Die meisten benutzen dafür den Namen ihres Slack-Workspace oder ihres Enterprise Grids.
  3. Gib deinen Relying party identifier ein. Gib für Teams, die Slack hinzufügen wollen, Folgendes ein: https://slack.com. Du kannst dieses Feld anpassen, wenn du möchtest, aber du musst auch das Feld für Identitäts-Provider-Aussteller aktualisieren. Gehe dafür zu Einstellungen & Berechtigungen und klicke auf das Tab Authentifizierung. Klicke dann auf Konfigurieren neben der SAML-Authentifizierung.
  4. Klicke auf Add, und dann auf OK, um fortzufahren. 
    ADFS.png
  5. Klicke auf das Tab Endpoints. Um einen Endpunkt für deine Consumer-Assertion-URL zu erstellen, wähle die Option SAML Assertion Consumer aus, die du im Menü Endpoint type finden kannst. Wähle den nachfolgenden Wert aus, der deinem Plan entspricht und gib ihn in das Feld Trusted URL ein, indem du "teamname" mit deiner Unterdomain von Slack ersetzt. 

    •  Plus- Plan: 
    https://yourdomain.slack.com/sso/saml
    •  Slack Enterprise Grid: https://yourdomain.enterprise.slack.com/sso/saml

    Klicke zum Speichern auf
    OK.

  6. Anschließend erstellst du Regeln – oder Anspruchsregeln – für die Relying Party-Vertrauensstellung (in diesem Fall dein Slack-Workspace oder Enterprise Grid). Slack empfängt nur abgehende Anspruchstyp-Attribute und ‑Werte, daher kann die Liste mit den Attributen anders aussehen. Denk daran, dass du zwei Ansprüche brauchst: einen für Slack-Attribute und einen für NameID.
  7. Click Add Rule. Only the outgoing claim type User.Email is required. Create a rule to send LDAP attributes as claims. Remember, outgoing claim types are case sensitive. 

  8. Erstelle anschließend eine weitere Regel, um einen eingehenden Anspruch umzuwandeln.

    Öffne die erforderliche NameID-Anspruchsregel und ändere das Format für die ausgehende Namens-ID in Persistent Identifier. Klicke dann auf OK, um die Einstellung zu speichern.

 

2. Schritt – Slack mit deinem Identitäts-Provider integrieren

Plus-Plan

Slack Enterprise Grid

Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deines Slack-Teams hinzu.

Das funktioniert so:

  1. Klicke oben links auf deinen Workspace-Namen, um das Menü zu öffnen. Team_Menu.png
  2. Wähle dort  Einstellungen aus. Dadurch wird die Website deines Workspace geöffnet.
  3. Klicke auf Authentifizierung und anschließend auf Konfigurieren neben der SAML-Authentifizierung (OneLogin, Okta oder deine benutzerdefinierte SAML 2.0-Lösung).
  4. Gib deinen SAML 2.0 Endpoint (HTTP) ein.

  5. Kopiere dein komplettes x.509-Zertifikat in das Feld Öffentliches Zertifikat.
  6. Wenn du mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten möchtest, zeige das Menü Erweiterte Optionen an. Wähle neben AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus. Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein.
    Screen_Shot_2017-03-28_at_4.33.51_PM.png
  7. Klicke auf Speichern.

Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deiner Enterprise Grid-Organisation hinzu. 

Das funktioniert so:

  1. Melde dich in deinem Slack Enterprise Grid an und klicke dann auf Organisation verwalten.
  2. Gehe zu der Seite  Security auf dem Administratoren-Dashboard, wo sich deine Sicherheitseinstellungen befinden.
  3. Gib unter Authentifizierung deinen SAML 2.0 Endpoint (HTTP) ein.
    Screen_Shot_2017-03-31_at_9.32.15_AM.png
  4. Kopiere dein komplettes x.509-Zertifikat in das Feld Öffentliches Zertifikat.
  5. Du kannst mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten. Wähle unter AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus.
  6. Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein.
    Screen_Shot_2017-03-31_at_9.34.11_AM.png
  7. Klicke auf Änderungen speichern.

Hinweis: Wir helfen dir gern bei der Fehlerbehebung während des Einrichtens, aber wir können leider nicht immer garantieren, dass deine Verbindung perfekt mit Slack funktioniert. Nimm Kontakt mit uns auf und wir werden versuchen, dir zu helfen.

Achtung: ADFS unterstützt derzeit nicht das automatische Entziehen der Zugriffsrechte über unsere SCIM-API. Wenn Mitgliedern bei deinem IDP Zugriffsrechte entzogen werden, darfst du nicht vergessen, das Mitglied in Slack zu deaktivieren.

Wer kann diese Funktion benutzen?
  • Workspace-Inhaber und -Administratoren können auf diese Funktion zugreifen. 
  • Verfügbar in Workspaces mitPlus-Plan und Slack Enterprise Grid.

Ähnliche Artikel

Zuletzt angesehene Artikel