Einmaliges Anmelden mit ADFS

Du kannst deine Active Directory Federation Services (ADFS)-Instanz integrieren, damit sich das Einmalige Anmelden für deine Team-Mitglieder nahtlos verwalten lässt.

Hinweis: ADFS allein unterstützt derzeit nicht das automatische Entziehen der Zugriffsrechte über die Slack-SCIM-API. Nachdem Mitgliedern in deinem IDP die Zugriffsrechte entzogen wurden, denke daran, sie in Slack manuell zu deaktivieren, wenn du keine SCIM-Bereitstellungslösung außerhalb von ADFS implementiert hast.


Schritt 1: ADFS für Slack einrichten

Erstellung einer neuen Vertrauensstellung der vertrauenden Seite

  1. Melde dich bei dem Server an, auf dem ADFS installiert ist. Wenn du bei der Bereitstellung von ADFS Hilfe brauchst, findest du in diesem Guide weitere Informationen.
  2. Öffne die Management-Konsole von ADFS und wähle Vertrauensstellungen. Gehe dann links zu Vertrauensstellungen der vertrauenden Seite.
  3. Klicke im Aktionsmenü auf der rechten Seite auf Vertrauensstellung der vertrauenden Seite hinzufügen.
  4. Schalte im Schritt Datenquelle auswählen die Option Daten über die vertrauende Seite manuell eingeben ein. Select_Data_Source_tab.png
  5. Gib anschließend auf der Registerkarte Anzeigename angeben den Anzeigenamen für deine Anwendung an. Wir empfehlen einen Namen wie Unternehmensname – Slack. Füge alle optionalen Notizen hinzu, die du benötigst.
  6. Wähle auf der Registerkarte Profil auswählen die Option ADFS-Profil aus.
  7. Verwende auf der Registerkarte Configure Certificate als Zertifikatseinstellungen die Standardauswahl.
  8. Wähle auf dem Tab URL konfigurieren das Dialogfeld Unterstützung für das SAML 2.0 WebSSO-Protokoll aus und gib den SAML-Service-Endpunkt ein

    •  Plus-Plan: 
    https://yourdomain.slack.com/sso/saml
    •  Enterprise Grid: https://yourdomain.enterprise.slack.com/sso/saml
    Configure_URL_tab.png
  9. Gib auf dem Tab Bezeichner konfigurieren https://slack.com ein und klicke auf Hinzufügen. Hinweis: Wenn du eine eindeutige Workspace-URL angeben möchtest (https://[workspacename].slack.com), stelle bitte sicher, dass du den gleichen Wert in das Feld Service-Provider-Aussteller in Slack eingibst.
  10. Füge eine optionale Multi-Faktor-Authentifizierung hinzu.
  11. Wähle Permit all users to access this relying party aus, klicke dann auf Next und überprüfe deine Einstellungen.
  12. Stelle sicher, dass du die Option Dialogfeld Anspruchsregeln bearbeiten für diese Vertrauensstellung der vertrauenden Seite öffnen, wenn der Assistent geschlossen wird aktiviert hast und wähle anschließend Schließen.
  13. Anschließend erstellst du Regeln – oder Anspruchsregeln – für die Relying Party-Vertrauensstellung (in diesem Fall dein Slack-Workspace oder Enterprise Grid). Slack empfängt nur abgehende Anspruchstyp-Attribute und -Werte, daher kann die Liste mit den Attributen anders aussehen. Denk daran, dass du zwei Ansprüche brauchst: einen für Slack-Attribute und einen für NameID.
  14. Klicke auf Regel hinzufügen.
    attribut_werte
  15. Erstelle eine Regel, um LDAP-Attribute als Ansprüche zu versenden. Es ist nur der ausgehende Anspruchstyp User.Email erforderlich. Du kannst aber auch first_name, last_name und User.Username einschließen. Bitte beachte, dass bei abgehenden Anspruchstypen Groß- und Kleinschreibung berücksichtigt werden muss. 

    Hinweis: Der für User.Username gesendete Wert entspricht dem Benutzernamen eines Benutzers. Stelle sicher, dass dieser Wert eindeutig für jeden Benutzer ist und nicht erneut verwendet wird.
    Add_rule_tab.png
  16. Erstelle anschließend eine weitere Regel, um einen eingehenden Anspruch umzuwandeln.
  17. Öffne die erforderliche NameID-Anspruchsregel und ändere das Format für die ausgehende Namens-ID in Persistent Identifier. Klicke dann auf OK, um die Einstellung zu speichern.
    Edit_rule_tab.png

Hinweis: Wenn du dich für die Signierung des AuthnRequest in Slack entscheidest, musst du das generierte Slack-Zertifikat in der Registerkarte Signatur in ADFS hochladen. Du musst auch sicherstellen, dass du den sicheren Hash-Algorithmus SHA-1 in der Registerkarte Advanced ausgewählt hast.


2. Schritt – Slack mit deinem Identitäts-Provider integrieren

Plus-Plan

Slack Enterprise Grid

Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deines Slack-Workspace hinzu:

  1. Klicke auf dem Desktop oben links auf deinen Workspace-Namen.
  2. Wähle im Menü die Option Einstellungen und Verwaltung aus und klicke auf Workspace-Einstellungen.
  3. Klicke auf den Tab Authentifizierung und anschließend auf Konfigurieren neben der SAML-Authentifizierung (OneLogin, Okta oder deine benutzerdefinierte SAML 2.0-Lösung).
  4. Gib deine SAML 2.0 Endpoint-URL ein (SAML 2.0/W-Federation URL-Endpunkt). Die Standardinstallation ist /adfs/ls/.
    SAML_SSO_URL__plus_.png
  5. Gib deinen Identitäts-Provider-Aussteller ein. Wenn du dir bei diesen Endpunkten nicht sicher bist, führe PS C:/> Get-AdfsEndpoint in Powershell auf dem Gerät aus, auf dem ADFS installiert ist.Identity_Provider_Issuer__Plus_.png
  6. Kopiere aus dem Tab „Verschlüsselung“ von ADFS dein gesamtes x.509-Zertifikat zur Token-Signierung und füge es in das Feld Öffentliches Zertifikat ein.adfs_clint.png
  7. Wenn du mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten möchtest, zeige das Menü Erweiterte Optionen an.
  8. Wähle neben AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus. Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein. Dieser sollte mit deinem Bezeichner der vertrauenden Seite in ADFS übereinstimmen.
    service_provider
  9. Klicke auf Speichern.

Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deiner Enterprise Grid-Organisation hinzu:

  1. Klicke auf dem Desktop oben links auf deinen Workspace-Namen.
  2. Wähle im Menü die Option Einstellungen und Verwaltung aus und klicke dann auf Organisations-Einstellungen.
  3. Klicke in der linken Seitenleiste auf Sicherheit. Wähle dann Einstellungen für einmaliges Anmelden aus.
  4. Gib deine SAML 2.0 Endpoint-URL ein (SAML 2.0/W-Federation URL-Endpunkt). Die Standardinstallation ist /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Gib deinen Identitäts-Provider-Aussteller ein. Wenn du dir bei diesen Endpunkten nicht sicher bist, führe PS C:/> Get-AdfsEndpoint in Powershell auf dem Gerät aus, auf dem ADFS installiert ist.Identity_Provider_Issuer__grid_.png
  6. Kopiere dein komplettes x.509-Zertifikat in das Feld Öffentliches Zertifikat. adfs_clint.png
  7. Du kannst mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten. Wähle unter AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus.
  8. Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein. Dieser sollte mit deinem Bezeichner der vertrauenden Seite in ADFS übereinstimmen.
    service_provider_issuer
  9. Klicke auf Änderungen speichern.

Hinweis: Wir helfen dir gern beim Einrichten weiter. Jedoch können wir leider nicht immer garantieren, dass deine Verbindung mit Slack funktioniert. Lies unseren Artikel zur Fehlerbehebung bei SAML-Autorisierungsfehlern oder sende uns eine Nachricht, und wir tun, was wir können!

Wer kann diese Funktion benutzen?
  • Workspace-Inhaber und Organisationsinhaber
  • Plus und Enterprise Grid