L'authentification unique SAML personnalisée

Si votre fournisseur d'identité ne dispose pas de connecteur pour Slack, vous avez la possibilité d'utiliser une connexion SAML personnalisée.

Remarque : Nous serons heureux de vous aider à résoudre les problèmes liés à la configuration, mais sachez que nous ne pouvons pas garantir le fonctionnement de la connexion avec Slack. Envoyez-nous un message, et nous ferons tout notre possible pour vous aider. 


Paramètres

Suivez les paramètres ci-dessous afin de configurer la connexion SAML personnalisée :

  • Gestion : Slack est compatible avec le flux initié par un IdP (fournisseur d’identité) ou par un SP (fournisseur de service), la gestion Just In Time (JIT) et la gestion automatique via notre API SCIM. Pour plus d'informations sur la connexion initiée par un fournisseur de service, accédez à https://yourdomain.slack.com.
  • URL de publication pour l’authentification unique (l’URL du service consommateur) : https://yourdomain.slack.com/sso/saml.
  • ID (identifiant) d'entité : https://slack.com
  • Point de terminaison de la déconnexion SAML : https://yourdomain.slack.com/sso/saml/logout.


Remarques

  • Slack est compatible avec le rattachement HTTP POST, mais n'est pas compatible avec le rattachement HTTP REDIRECT. Configurez le rattachement HTTP POST dans les métadonnées du fournisseur d'identité.
  • Le fournisseur d’identité doit vérifier l’autorisation et l'authentification de l’utilisateur avant d’envoyer une assertion. Si l’utilisateur n’est pas autorisé, le fournisseur ne doit pas envoyer l’assertion, mais plutôt rediriger l’utilisateur vers une page HTTP 403 ou une page similaire.


Les paramètres à inclure

NameID (Obligatoire)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Votre identifiant unique</saml:NameID>
</saml:Subject>

Remarque : Pour répondre aux spécifications SAML, le NameID doit être unique, pseudo-aléatoire et il ne changera pas pour l’utilisateur au fil du temps (comme le numéro d’identification d’un employé). 


Attribut d'e-mail (Obligatoire)

 <saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>

 

Attribut de nom d'utilisateur (Facultatif)

 <saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>

 

Attribut de prénom (Facultatif)

<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>

 

Attribut de nom de famille (Facultatif)

  <saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>

 

Certificats

Certificat public

Slack exige que la réponse SAML contienne des signatures numériques. Vous devez coller un certificat X.509.pem valide pour confirmer votre identité. Ce certificat est différent de votre certificat SSL.  

Clés de chiffrement intégral 

Si vous avez besoin d’une clé de chiffrement intégral pour votre fournisseur d’identité, cliquez sur le bouton Options avancées qui se trouve dans les paramètres d’authentification unique de votre espace de travail pour rechercher le certificat. Cochez ensuite la préférence Signer la demande AuthnRequest pour afficher la clé de chiffrement publique de Slack. 

Screen_Shot_2017-07-06_at_10.55.10_AM.png

Remarque : Intégrez le protocole Active Directory Federation Services (ADFS) à Slack pour gérer efficacement l'authentification unique de votre équipe. Accédez à L'authentification unique avec ADFS pour plus d'informations.

Qui peut utiliser cette fonctionnalité ?
  • Seuls les propriétaires de l’espace de travail peuvent utiliser cette fonctionnalité. 
  • Disponible aux espaces de travail ayant souscrit au forfait Plus et Slack Enterprise Grid.

Articles associés

Articles consultés récemment