Benutzerdefiniertes Einmaliges Anmelden mit SAML

Wenn der Identitäts-Provider deiner Wahl keine Verbindung zu Slack hat, kannst du eine benutzerdefinierte SAML-Verbindung benutzen.

Hinweis: Wir helfen dir gerne beim Einrichten weiter. Jedoch können wir leider nicht immer garantieren, dass deine Verbindung mit Slack funktioniert. Lies unseren Artikel zur Fehlerbehebung bei SAML-Autorisierungsfehlern oder sende uns eine Nachricht, und wir tun, was wir können!


Parameter

Folge diesen Parametern, um eine benutzerdefinierte SAML-Verbindung einzurichten.

Zugriffsrechte

  • Slack unterstützt von Identitäts-Providern (IDP) initiierte Abläufe, von Service-Providern (SP) initiierte Abläufe, Just-In-Time-Zugriffsrechte und automatische Zugriffsrechte durch unsere SCIM-API.
  • Für SP-initiiertes einmaliges Anmelden, gehe zu https://yourdomain.slack.com.

Post-Backup-URL für Einmaliges Anmelden (SSO)

  • https://yourdomain.slack.com/sso/saml
    (Auch als Assertion Consumer Service URL bekannt)

Entitäts-ID

  • https://slack.com

SAML Abmeldungs-Endpoint

  •  https://yourdomain.slack.com/sso/saml/logout  

Denk daran: Slack unterstützt kein Einmaliges Abmelden oder die Konfiguration der Sitzungsdauer in deinem IdP.


Bedenkenswertes

  • Slack unterstützt HTTP POST-Bindung, aber nicht HTTP REDIRECT. Du kannst das HTTP POST-Bindung in den IDP-Metadaten konfigurieren.
  • Dein IDP sollte sicherstellen, dass ein Benutzer sowohl bestätigt wurde als auch autorisiert ist, bevor eine Aussage gesendet wird. Wenn ein Benutzer nicht autorisiert ist, sollte keine Aussage gesendet werden. Wir empfehlen, dass dein Identitäts-Provider Benutzer zu einer HTTP 403-Seite oder etwas Ähnlichem weiterleitet.


Einstellungen, die mit aufgenommen werden sollten

NameID (erforderlich)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="DEINEDOMAIN.slack.com" SPNameQualifier="https://slack.com">Your Unique Identifier</saml:NameID>
</saml:Subject>

Hinweis: Damit die SAML-Spezifikationen erfüllt werden, muss die NameID einzigartig und pseudozufällig sein und sollte sich zudem für den Nutzer oder die Nutzerin im Laufe der Zeit nicht ändern – so wie eine Mitarbeiter-ID-Nummer.


E-Mail-Attribut (erforderlich)

 <saml:Attribute Name=„User.Email
NameFormat=„urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified“>
<saml:AttributeValue xsi:type=„xs:anyType“>testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>


Benutzernamen-Attribut (optional)

 <saml:Attribute Name=„User.Benutzername
NameFormat=„urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified“>
<saml:AttributeValue xsi:type=„xs:anyType“>Benutzername
</saml:AttributeValue>
</saml:Attribute>


Vornamen-Attribut (optional)

<saml:Attribute Name=„first_name
NameFormat=„urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified“>
<saml:AttributeValue xsi:type=„xs:anyType“>FirstName
</saml:AttributeValue>
</saml:Attribute>


Nachnamen-Attribut (optional)

  <saml:Attribute Name=„last_name
NameFormat=„urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified“>
<saml:AttributeValue xsi:type=„xs:anyType“>LastName
</saml:AttributeValue>
</saml:Attribute>


Zertifikate

Öffentliches Zertifikat

Slack verlangt, dass eine SAML-Antwort signiert ist, und du musst ein gültiges X.509 .pem-Zertifikat einfügen, um deine Identität zu bestätigen. Das ist anders als bei deinem SSL-Zertifikat.

Durchgehender Verschlüsselungscode 

Wenn du eine durchgehende Verschlüsselung für deinen IDP brauchst, klicke einfach in den SSO-Einstellungen deines Workspace auf den Button Erweiterte Optionen. Du kannst dann ein Häkchen unter AuthnRequest signieren setzen, um den öffentlichen Verschlüsselungscode von Slack anzuzeigen.

Hinweis: Wenn du deine Active Directory Federation Services-Instanz (ADFS) verbinden möchtest, findest du unter Einmaliges Anmelden mit ADFS weitere Informationen.

Wer kann diese Funktion benutzen?
  • Nur Workspace-InhaberInnen können auf diese Funktion zugreifen.
  • Business+ und Enterprise Grid