1. Support-Center
  2. Workspace-Management
  3. Zugang & Sicherheit konfigurieren
    4. Einmaliges Anmelden mit ADFS

Einmaliges Anmelden mit ADFS

Du kannst deine Active Directory Federation Services (ADFS)-Instanz integrieren, damit sich das Einmalige Anmelden für deine Team-Mitglieder nahtlos verwalten lässt.

Hinweis: ADFS allein unterstützt derzeit nicht das automatische Entziehen der Zugriffsrechte über die Slack-SCIM-API. Nachdem Mitgliedern in deinem IDP die Zugriffsrechte entzogen wurden, denke daran, sie in Slack manuell zu deaktivieren, wenn du keine SCIM-Bereitstellungslösung außerhalb von ADFS implementiert hast.


Schritt 1: ADFS für Slack einrichten

Erstellung einer neuen Vertrauensstellung der vertrauenden Seite

  1. Melde dich bei dem Server an, auf dem ADFS installiert ist. Wenn du bei der Bereitstellung von ADFS Hilfe brauchst, findest du in diesem Guide weitere Informationen.
  2. Öffne die Management-Konsole von ADFS und wähle Vertrauensstellungen. Gehe dann links zu Vertrauensstellungen der vertrauenden Seite.
  3. Klicke im Aktionsmenü auf der rechten Seite auf Vertrauensstellung der vertrauenden Seite hinzufügen.
  4. Schalte im Schritt Datenquelle auswählen die Option Daten über die vertrauende Seite manuell eingeben ein. Select Data Source step, with option to enter data about the replying party manually selected
  5. Gib anschließend auf der Registerkarte Anzeigename angeben den Anzeigenamen für deine Anwendung an. Wir empfehlen einen Namen wie Unternehmensname – Slack. Füge alle optionalen Notizen hinzu, die du benötigst.
  6. Wähle auf der Registerkarte Profil auswählen die Option ADFS-Profil aus.
  7. Verwende auf der Registerkarte Configure Certificate als Zertifikatseinstellungen die Standardauswahl.
  8. Wähle auf dem Tab URL konfigurieren das Kästchen Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren und gib den SAML-Dienstendpunkt ein

    •  Business+ Plan:     https://yourdomain.slack.com/sso/saml
    •  Enterprise-Pläne: https://yourdomain.enterprise.slack.com/sso/saml
    Configure URL step, with option to enable support for the SAML 2.0 WebSSO protocol selected
  9. Gib auf dem Tab Bezeichner konfigurieren https://slack.com ein und klicke auf Hinzufügen. Hinweis: Wenn du eine eindeutige Workspace-URL angeben möchtest (https://[workspacename].slack.com), stelle bitte sicher, dass du den gleichen Wert in das Feld Service-Provider-Aussteller in Slack eingibst.
  10. Füge eine optionale Multi-Faktor-Authentifizierung hinzu.
  11. Wähle Permit all users to access this relying party aus, klicke dann auf Next und überprüfe deine Einstellungen.
  12. Stelle sicher, dass du die Option Dialogfeld Anspruchsregeln bearbeiten für diese Vertrauensstellung der vertrauenden Seite öffnen, wenn der Assistent geschlossen wird aktiviert hast und wähle anschließend Schließen.
  13. Anschließend erstellst du Regeln – oder Anspruchsregeln – für die Vertrauensstellung der vertrauenden Seite (in diesem Fall dein Slack-Workspace oder deine Enterprise-Organisation). Slack empfängt nur abgehende Anspruchstyp-Attribute und ‑Werte, daher kann die Liste mit den Attributen anders aussehen. Denk daran, dass du zwei Ansprüche brauchst: einen für Slack-Attribute und einen für NameID.
  14. Klicke auf Regel hinzufügen.
    List of rules for Slack Attributes and NameID, with buttons to add, edit, or remove rule
  15. Erstelle eine Regel, um LDAP-Attribute als Ansprüche zu senden. Nur der ausgehende Anspruchstyp User.Email ist erforderlich, aber vielleicht möchtest du auch first_name, last_name und User.Username hinzufügen. Denk daran, dass bei ausgehenden Anspruchstypen die Groß- und Kleinschreibung beachtet werden muss. 

    Hinweis: Der für „User.Username“ gesendete Wert entspricht dem Benutzernamen einer Benutzerin bzw. eines Benutzers. Stelle sicher, dass dieser Wert für jede:n Benutzer:in eindeutig ist und nicht wiederverwendet wird.
    Configure Claim Rule step, showing list of LDAP Attributes and Outgoing Claim Types
  16. Erstelle anschließend eine weitere Regel, um einen eingehenden Anspruch umzuwandeln.
  17. Öffne die erforderliche NameID-Anspruchsregel und ändere das Format für die ausgehende Namens-ID in Persistent Identifier. Klicke dann auf OK, um die Einstellung zu speichern.
    NameID-Anspruchsregel, die Dropdown-Menüs für eingehende und ausgehende Anspruchstypen zeigt

Hinweis: Wenn du dich für die Signierung des AuthnRequest in Slack entscheidest, musst du das generierte Slack-Zertifikat in der Registerkarte Signatur in ADFS hochladen. Du musst auch sicherstellen, dass du den sicheren Hash-Algorithmus SHA-1 in der Registerkarte Advanced ausgewählt hast.


Schritt 2: Slack mit deinem Identitäts-Provider integrieren

Business+ Plan

Enterprise-Pläne

Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deines Slack-Workspace hinzu:

  1. Klicke auf dem Desktop in der Seitenleiste auf deinen Workspace-Namen.
  2. Wähle im Menü die Option Tools und Einstellungen aus und klicke dann auf Workspace-Einstellungen.
  3. Klicke auf den Tab Authentifizierung und anschließend auf Konfigurieren neben der SAML-Authentifizierung (OneLogin, Okta oder deine benutzerdefinierte SAML 2.0-Lösung).
  4. Gib deine SAML 2.0-Endpunkt-URL ein (SAML 2.0/W-Federation URL endpoint). Die Standardinstallation ist /adfs/ls/.
    SAML SSO URL and text box with URL entered
  5. Gib deinen Identitätsanbieter ein. Wenn du dir nicht sicher bist, welche Endpunkte du nehmen sollst, gib in Powershell auf dem Gerät, wo ADFS installiert ist, PS C:/> Get-AdfsEndpoint ein.Identity Provider Issuer and text box with IdP Entitiy ID for the service you use entered
  6. Kopiere aus dem Tab „Verschlüsselung“ von ADFS dein gesamtes x.509-Zertifikat zur Token-Signierung und füge es in das Feld Öffentliches Zertifikat ein.ADFS's Encryption tab with token-signing field selected
  7. Wenn du mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten möchtest, zeige das Menü Erweiterte Optionen an.
  8. Wähle neben AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus. Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein. Dieser sollte mit deinem Relying Party Identifier in ADFS übereinstimmen.
    Advanced options with AuthnContextClass Ref dropdown menu open
  9. Klicke auf Speichern.

Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deiner Enterprise-Organisation hinzu:

  1. Klicke auf dem Desktop in der Seitenleiste auf deinen Workspace-Namen.
  2. Wähle im Menü Tools und Einstellungen aus und klicke auf Organisationseinstellungen.
  3. Klicke in der linken Seitenleiste auf Sicherheit. Wähle dann Einstellungen für einmaliges Anmelden aus.
  4. Gib deine SAML 2.0-Endpunkt-URL ein (SAML 2.0/W-Federation URL endpoint). Die Standardinstallation ist /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Gib deinen Identitätsanbieter ein. Wenn du dir nicht sicher bist, welche Endpunkte du nehmen sollst, gib in Powershell auf dem Gerät, wo ADFS installiert ist, PS C:/> Get-AdfsEndpoint ein.Identity_Provider_Issuer__grid_.png
  6. Kopiere dein komplettes x.509-Zertifikat in das Feld Öffentliches Zertifikatadfs_clint.png
  7. Du kannst mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten. Wähle unter AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus.
  8. Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein. Dieser sollte mit deinem Relying Party Identifier in ADFS übereinstimmen.
    service_provider_issuer
  9. Klicke auf Änderungen speichern.

Hinweis: Wir helfen dir gern beim Einrichten weiter. Jedoch können wir leider nicht immer garantieren, dass deine Verbindung mit Slack funktioniert. Lies unseren Artikel zur Fehlerbehebung bei SAML-Autorisierungsfehlern oder sende uns eine Nachricht, und wir tun, was wir können!

Wer kann diese Funktion benutzen?
  • Workspace-Inhaberinnen und -Inhaber und Organisationsinhaberinnen und -inhaber
  • Business+ und Enterprise-Pläne

Super!

Vielen Dank für dein Feedback!

Wenn du möchtest, dass ein Mitglied unseres Support-Teams dir antwortet, sende einfach eine kurze Nachricht – gerne auch auf Deutsch – an feedback@slack.com.

War der Artikel hilfreich?Ja, danke!Nicht wirklich
Das tut uns leid! Was fandest du am wenigsten hilfreich?
0/600
Feedback zu Artikel senden

Wenn du möchtest, dass ein Mitglied unseres Support-Teams dir antwortet, sende einfach eine kurze Nachricht – gerne auch auf Deutsch – an feedback@slack.com.

Hoppla! Wir haben gerade Schwierigkeiten. Bitte versuche es später noch einmal!