Einmaliges Anmelden mit SAML

SAML-basiertes Einmaliges Anmelden (SSO) gewährt Mitgliedern über einen Identitäts-Provider (IDP) deiner Wahl Zugang zu Slack.

Hinweis: Wenn du Probleme bei der Einrichtung des Einmaligen Anmeldens mit SAML hast, lies unseren Artikel Fehlerbehebung bei SAML-Autorisierungsfehlern.


Schritt 1: Deinen Identitäts-Provider konfigurieren

Um zu beginnen, richte bitte eine Verbindung (oder einen Connector) für Slack zu deinem IDP ein. Viele Anbieter, mit denen wir zusammenarbeiten, haben Hilfeseiten für die Aktivierung von SAML mit Slack erstellt:

Hinweis: Wir haben außerdem Guides, die dir bei der Einrichtung von benutzerdefiniertem Einmaligem Anmelden mit SAMLEinmaligem Anmelden mit G Suite oder Einmaligem Anmelden mit ADFS helfen.


Schritt 2: Einmaliges Anmelden mit SAML für Slack einrichten

Plus-Plan

Enterprise Grid-Plan

Wenn du deinen Identitäts-Provider (IDP) konfiguriert hast, kann ein Workspace-Inhaber die Funktion für Einmaliges Anmelden in Slack aktivieren.

  1. Klicke auf dem Desktop oben links auf deinen Workspace-Namen.
  2. Wähle im Menü die Option Einstellungen und Verwaltung aus und klicke auf Workspace-Einstellungen.
  3. Klicke auf das Tab Authentifizierung.
  4. Klicke neben SAML-Authentifizierung auf Konfigurieren.
  5. Wechsle rechts oben in den Test-Modus.
  6. Gib neben URL für Einmaliges Anmelden mit SAML deine SAML 2.0 Endpoint-URL (HTTP) ein. (Du hast diese Informationen erhalten, als du deinen Connector eingerichtet hast. Wenn Okta dein IDP ist, kannst du stattdessen die IDP-URL einschließen, wenn du das möchtest.)
  7. Gib neben dem Identitäts-Provider-Aussteller deine IDP-Entitäts-ID ein. 
  8. Kopiere das komplette x.509-Zertifikat von deinem Identitäts-Provider und füge es in das Feld Öffentliches Zertifikat ein.
  9. Klicke neben Erweiterte Optionen auf Erweitern. Wie soll die SAML-Antwort deines IDPs signiert werden? Falls du einen Schlüssel für eine durchgehende Verschlüsselung benötigst, wähle die Checkbox neben AuthnRequest signieren aus, um das Zertifikat anzuzeigen.
  10. Unter Einstellungen kannst du anpassen, ob Mitglieder ihre Profilinformationen (wie z. B. E‑Mail oder Anzeigename) bearbeiten können, nachdem Einmaliges Anmelden aktiviert wurde. Ebenso kannst du auswählen, ob Einmaliges Anmelden erforderlich, teilweise erforderlich* oder optional ist.
  11. Gib unter Anpassen ein Label für den Anmelde-Button ein.
  12. Wähle Konfiguration speichern aus, um die Konfiguration abzuschließen.

*Wenn du Gast-Accounts hast, empfehlen wir dir, die Option zu wählen, bei der Einmaliges Anmelden teilweise erforderlich ist. Damit können sich Gäste auch weiterhin mit ihrer E-Mail-Adresse und ihrem Passwort anmelden.

Tipp: Mehr Infos findest du in den Einstellungen für Einmaliges Anmelden.

Wenn du deinen Identitäts-Provider (IDP) konfiguriert hast, kann ein Organisationsinhaber die Funktion für Einmaliges Anmelden in deiner Enterprise Grid-Organisation aktivieren:

  1. Klicke auf dem Desktop oben links auf deinen Workspace-Namen.
  2. Wähle im Menü die Option Einstellungen und Verwaltung aus und klicke dann auf Organisationseinstellungen.
  3. Klicke in der linken Seitenleiste auf Sicherheit
  4. Klicke auf Einstellungen für einmaliges Anmelden.
  5. Gib deine SAML 2.0 Endpoint-URL ein (diese stammt von der Einrichtung deines Connectors in einem der vorigen Schritte.) Das ist die Adresse, an welche die Authentifizierungsanfragen von Slack gesendet werden.
  6. Gib die URL deines Identitäts-Provider-Ausstellers (auch bekannt als Entitäts-ID) ein. 
  7. Die URL des Service-Provider-Ausstellers ist standardmäßig auf https://slack.com eingestellt. Dieses Feld sollte der Angabe bei deinem Identitäts-Provider entsprechen.
  8. Kopiere das komplette x.509-Zertifikat von deinem Identitäts-Provider.
  9. Wähle aus, ob die SAML-Antworten und Aussagen signiert sind. Falls du einen Schlüssel für eine durchgehende Verschlüsselung für deinen Identitäts-Provider benötigst, wähle die Checkbox neben AuthnRequest signieren aus, um das Zertifikat anzuzeigen. Ebenso kannst du die Werte für AuthnContextClassRef beliebig anpassen.
  10. Klicke auf Testkonfiguration. Wir geben dir Bescheid, wenn die Änderungen erfolgreich sind, oder ob du weitere Änderungen vornehmen musst.
  11. Wenn du damit fertig bist, klicke auf Einmaliges Anmelden aktivieren.

Tipp:  Nachdem du Einmaliges Anmelden eingerichtet hast, erfährst du, wie du IDP-Gruppen mit Workspaces in deiner Organisation verbinden kannst.


Was dich nach der Aktivierung von Einmaligem Anmelden erwartet

Sobald du das Einmalige Anmelden fertig eingerichtet hast, erhalten alle Mitglieder des Workspace oder deiner Organisation eine E-Mail. In der E-Mail werden die Mitglieder aufgefordert, ihre Slack-Accounts mit deinem IDP zu verbinden. Mitglieder haben 72 Stunden Zeit, ihren Account entsprechend zu verknüpfen, bevor der Link abläuft.

Alle Mitglieder, die bereits angemeldet sind, wenn SSO aktiviert wird, bleiben angemeldet. Von jetzt an werden alle Mitglieder sich in Slack mit dem Account ihres Identitäts-Providers anmelden. Wenn du festlegst, dass Einmaliges Anmelden erforderlich ist, sehen deine Mitglieder eine Anmeldeseite, bevor sie auf deinen Workspace zugreifen können.

Tipp: Damit Mitglieder einfacher verwaltet werden können, unterstützt Slack den SCIM-Standard für Zugriffsrechte. Mehr Infos dazu findest du unter Mitglieder mit SCIM-Zugriffsrechten verwalten.

Wer kann diese Funktion benutzen?
  • Workspace-Inhaber und Organisationsinhaber
  • Plus und Enterprise Grid