Einmaliges Anmelden mit ADFS

Du kannst deine Active Directory Federation Services (ADFS)-Instanz integrieren, damit sich das Einmalige Anmelden für deine Team-Mitglieder nahtlos verwalten lässt.


1. Schritt – ADFS für Slack einrichten

Los geht’s: 

  1. Öffne die Management-Konsole von ADFS und klicke dann auf das Tab Identifiers.
  2. Gib den Namen, der für dich angezeigt wird, in Display name ein. Die meisten benutzen dafür den Namen ihres Slack-Teams oder ihres Enterprise Grids.
  3. Gib deinen Relying party identifier ein. Gib für Teams, die Slack hinzufügen wollen, Folgendes ein: https://slack.com. Du kannst dieses Feld anpassen, wenn du möchtest, aber du musst auch das Feld für Identity Provider Issuer aktualisieren. Gehe dafür zu Settings & Permissions und klicke auf das Tab Authentication. Klicke dann auf Configure neben der SAML-Authentifizierung.
  4. Klicke auf Add, und dann auf OK, um fortzufahren. 
    ADFS.png
  5. Klicke auf das Tab Endpoints. Um einen Endpunkt für deine Consumer-Assertion-URL zu erstellen, wähle die Option SAML Assertion Consumer aus, die du im Menü Endpoint type finden kannst. Wähle den nachfolgenden Wert aus, der deinem Plan entspricht und gib ihn in das Feld Trusted URL ein, indem du "teamname" mit deiner Unterdomain von Slack ersetzt. 

    •  Plus- Plan: 
    https://teamname.slack.com/sso/saml
    •  Slack Enterprise Grid: https://teamname.enterprise.slack.com/sso/saml

    Klicke zum Speichern auf
    OK.

  6. Anschließend erstellst du Regeln – oder Anspruchsregeln – für die Relying Party-Vertrauensstellung (in diesem Fall dein Slack-Team oder Enterprise Grid). Slack empfängt nur abgehende Anspruchstyp-Attribute und ‑Werte, daher kann die Liste mit den Attributen anders aussehen. Denk daran, dass du zwei Ansprüche brauchst: einen für Slack-Attribute und einen für NameID.
  7. Click Add Rule. Only the outgoing claim type User.Email is required. Create a rule to send LDAP attributes as claims. Remember, outgoing claim types are case sensitive. 

  8. Erstelle anschließend eine weitere Regel, um einen eingehenden Anspruch umzuwandeln.

    Öffne die erforderliche NameID-Anspruchsregel und ändere das Format für die ausgehende Namens-ID in Persistent Identifier. Klicke dann auf OK, um die Einstellung zu speichern.

 

2. Schritt – Slack mit deinem Identitäts-Provider integrieren

Plus-Plan

Slack Enterprise Grid

Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deines Slack-Teams hinzu.

Das funktioniert so:

  1. Klicke auf deinen Team-Namen, um das Team-Menü zu öffnen.
  2. Wähle dort Team settings aus, um die Team-Einstellungen aufzurufen. Dadurch wird die Website deines Teams geöffnet.
  3. Klicke auf Authentication und dann anschließend auf Configure (Konfigurieren) neben der SAML-Authentifizierung (OneLogin, Okta oder deine benutzerdefinierte SAML 2.0-Lösung).
  4. Gib deinen SAML 2.0 Endpoint (HTTP) ein.

  5. Kopiere dein komplettes x.509-Zertifikat in das Feld Public Certificate.
  6. Wenn du mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten möchtest, zeige das Menü Advanced Options an, wo sich deine Fortgeschrittenen Optionen befinden. Wähle neben AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus. Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein.
    Screen_Shot_2017-03-28_at_4.33.51_PM.png
  7. Klicke zum Speichern auf Save.

Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deiner Enterprise Grid-Organisation hinzu. 

Das funktioniert so:

  1. Melde dich in Slack Enterprise Grid an und klicke dann auf Manage organization.
  2. Gehe zu der Seite  Security auf dem Administratoren-Dashboard, wo sich deine Sicherheitseinstellungen befinden.
  3. Gib unter Authentication deinen SAML 2.0 Endpoint (HTTP) ein.
    Screen_Shot_2017-03-31_at_9.32.15_AM.png
  4. Kopiere dein komplettes x.509-Zertifikat in das Feld Public Certificate.
  5. Du kannst mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten. Wähle unter AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus.
  6. Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein.
    Screen_Shot_2017-03-31_at_9.34.11_AM.png
  7. Klicke auf Save Changes, um die Änderungen zu speichern.

Hinweis: Wir helfen dir gern bei der Fehlerbehebung während des Einrichtens, aber wir können leider nicht immer garantieren, dass deine Verbindung perfekt mit Slack funktioniert. Nimm Kontakt mit uns auf und wir werden versuchen, dir zu helfen.

Achtung: ADFS unterstützt derzeit nicht das automatische Entziehen der Zugriffsrechte über unsere SCIM-API. Wenn Mitgliedern bei deinem IDP Zugriffsrechte entzogen werden, darfst du nicht vergessen, das Mitglied in Slack zu deaktivieren.

Wer kann diese Funktion benutzen?
  • Team-Inhaber und Administratoren können auf diese Funktion zugreifen. 
  • Verfügbar in allen Teams mit Plus-Plan und mit Slack Enterprise Grid.

Ähnliche Artikel

Zuletzt angesehene Artikel