Personalizar inicio de sesión único basado en SAML

Si tu proveedor de identidad no cuenta con un conector con Slack, puedes usar una conexión SAML personalizada.

Nota: Si bien estaremos encantados de ayudarte a resolver cualquier problema que se te presente durante la instalación, no siempre podemos garantizar una conexión perfecta con Slack. Ponte en contacto con nosotros y veremos si podemos ayudarte. 


Parámetros

Sigue estos parámetros para configurar tu conexión personalizada basada en SAML:

  • Derechos de acceso: Slack es compatible con flujos iniciados por el proveedor de identidad, flujos iniciados por el proveedor de servicios, servicios de aprovisionamiento justo a tiempo (Just In Time provisioning) y de aprovisionamiento automático a través de nuestra API SCIM. Para inicios de sesión iniciados por un proveedor de servicios, visita https://yourdomain.slack.com.
  • URL de post-back de inicio de sesión único (también conocida como URL del servicio consumidor de aserciones)https://yourdomain.slack.com/sso/saml
  • Identificación de la entidad: https://slack.com
  • Endpoint de cierre de sesión de SAML:https://yourdomain.slack.com/sso/saml/logout


Observaciones

  • Slack es compatible con el binding HTTP POST, no con HTTP REDIRECT. Debes configurar los bindings HTTP POST en los metadatos del proveedor de identidad.
  • Antes de enviar una aserción, tu proveedor de identidad debe asegurarse de que el usuario se haya autenticado y haya sido autorizado. Si un usuario no ha sido autorizado, no se deberán enviar aserciones. Nuestra recomendación es que tu proveedor de identidad redirija al usuario a una página HTTP 403 u otra página similar.


Ajustes a incluir

NameID (Obligatorio)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Tu identificador único</saml:NameID>
</saml:Subject>

Consejo: El NameID debe incluir un identificador único que permanezca constante en el tiempo, como por ejemplo, un número de empleado. Por favor asegúrate de que el formato de tu NameID coincida con el ejemplo de más arriba. 


Atributo de correo electrónico (Obligatorio)

 <saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>

 

Atributo de nombre de usuario (opcional)

 <saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>

 

Atributo de nombre completo (opcional)

<saml:Attribute Name="full_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>

Certificados

Certificado público

Slack requiere que firmes tu respuesta SAML. Para verificar tu identidad deberás pegar un Certificado .pem X.509. Este es diferente de tu certificado SSL. 

Clave de cifrado de extremo a extremo (o E2EE) 

Si necesitas una clave de cifrado de extremo a extremo para tu proveedor de identidad, haz clic en el botón Opciones avanzadas, ubicado en los ajustes de inicio de sesión único del espacio de trabajo, para obtener un certificado. A continuación, marca la preferencia Firmar AuthnRequest para que se muestre la clave de cifrado público de Slack. 

Screen_Shot_2017-07-06_at_10.55.10_AM.png

Nota: Si deseas conectar tu instancia de Servicios de federación de Active Directory, revisa Utilizar ADFS para configurar y gestionar el inicio de sesión único para más información.

¿Quién puede usar esta función?
  • Solo los propietarios del espacio de trabajo pueden acceder a esta función. 
  • Disponible para espacios de trabajo con el plan Plus y Enterprise Grid de Slack.

Artículos relacionados

Artículos vistos recientemente