Cómo configurar el inicio de sesión único basado en SAML

Habilitar el inicio de sesión único (SSO por sus siglas en inglés) basado en el Lenguaje de marcado para confirmaciones de seguridad (SAML, también por sus siglas en inglés) permite que los miembros se conecten a Slack a través del proveedor de identidad que tú elijas.

Nota: Si tienes problemas para configurar el inicio de sesión único de SAML, consulta nuestro artículo Resolución de errores de autorización de SAML.

Consejo: Los propietarios de un espacio de trabajo Business+ u organización Enterprise Grid pueden saltarse la autenticación con inicio de sesión único y conectarse con una dirección de correo electrónico y una contraseña. De este modo podrán acceder a tu espacio de trabajo u organización aunque haya problemas con el proveedor de identidad.


Paso 1: Configurar tu proveedor de identidad

Para empezar, deberás configurar una conexión (o conector) para Slack con tu proveedor de identidad. Muchos proveedores con los que trabajamos han creado páginas de ayuda para activar SAML con Slack:

Nota: También ofrecemos guías para ayudarte a configurar el inicio de sesión único basado en SAML personalizado, el inicio de sesión único basado en Google Workspace o el inicio de sesión único utilizando ADFS.


Paso 2: configurar el inicio de sesión único basado en SAML para Slack

Plan Business+

Plan Enterprise Grid

Una vez que hayas configurado tu proveedor de identidad, un propietario del espacio de trabajo puede habilitar el inicio de sesión único.

  1. Desde la aplicación para ordenador, haz clic en el nombre del espacio de trabajo, en la parte superior izquierda.
  2. Selecciona Ajustes y administración en el menú y, a continuación, haz clic en Ajustes del espacio de trabajo.
  3. Haz clic en la pestaña de Autenticación.
  4. Junto a Autenticación SAML, haz clic en Configurar.
  5. En la parte superior derecha, activa el modo Prueba.
  6. Junto a URL de inicio de sesión único de SAML, introduce la URL de Endpoint SAML 2.0(HTTP). (Esta se ha obtenido al configurar tu conector. En caso de que estés usando Okta como proveedor de identidad, puedes incluir la URL del proveedor de identidad si así lo deseas).
  7. Junto a Emisor del proveedor de identidad, introduce tu Id. de entidad IDP.
  8. Copia el Certificado x.509 completo suministrado por tu proveedor de identidad y pégalo en el campo de Certificado público.
  9. Haz clic en Expandir junto a Opciones avanzadas. Elige cómo se firma la respuesta de SAML desde tu IDP. Si necesitas una clave de cifrado de extremo a extremo, marca la casilla junto a Firmar AuthnRequest para que se muestre el certificado.
  10. En Ajustes, decide si los miembros podrán editar la información de perfil (como su correo electrónico o nombre de Slack) una vez habilitado el inicio de sesión único. También puedes elegir si se exigirá inicio de sesión único, si se exigirá de forma parcial* o si será optativo.
  11. En Personalizar, introduce una etiqueta del botón Conectarse.
  12. Para terminar, selecciona Guardar configuración.

*Si tienes cuentas de invitado, te recomendamos elegir la opción en la que es parcialmente obligatorio el inicio de sesión único, de modo que estos invitados puedan continuar conectándose con su correo y contraseña.

Una vez que hayas configurado tu proveedor de identidad, un propietario de la organización puede habilitar el inicio de sesión único para tu organización de Enterprise Grid:

  1. Desde la aplicación para ordenador, haz clic en el nombre del espacio de trabajo, en la parte superior izquierda.
  2. Selecciona Ajustes y administración en el menú y, a continuación, haz clic en Ajustes de la organización.
  3. En la barra lateral izquierda, haz clic en Seguridad
  4. Selecciona Ajustes de inicio de sesión único.
  5. Escribe tu nombre de inicio de sesión único.
  6. Introduce la URL de Endpoint SAML 2.0 (esta se ha obtenido al configurar tu conector previamente). En este momento Slack enviará la solicitud de autenticación.
  7. Introduce la URL de tu Emisor de proveedor de identidad (también se conoce como la ID de la entidad). 
  8. La URL del emisor de proveedor de servicios es https://slack.com por defecto. Este campo debe coincidir con el identificador del proveedor de identidad que hayas establecido.
  9. Copia el Certificado x.509 completo suministrado por tu proveedor de identidad.
  10. Elige si las respuestas y confirmaciones SAML están firmadas. Si necesitas una clave de cifrado de extremo a extremo para tu proveedor de identidad, selecciona la casilla junto a Firmar AuthnRequest para que se muestre el certificado. También puedes seleccionar los valores AuthnContextClassRef que prefieres.
  11. Haz clic en Probar configuración. Te avisaremos si los cambios se han introducido correctamente o si debes realizar nuevas modificaciones.
  12. Cuando hayas terminado, haz clic en Activar inicio de sesión único o Añadir inicio de sesión único.

Consejo: una vez que hayas establecido el inicio de sesión único, podrás gestionar los ajustes relacionados y aprender a conectar grupos con tu proveedor de identidad a los espacios de trabajo de tu organización.

Añadir una configuración de inicio de sesión único adicional

Puedes añadir hasta 11 configuraciones de inicio de sesión único adicionales para que la gente pueda conectarse a Slack desde el proveedor de identidad que prefieras. 

  1. Desde la aplicación para ordenador, haz clic en el nombre del espacio de trabajo, en la parte superior izquierda.
  2. Selecciona Ajustes y administración en el menú y, a continuación, haz clic en Ajustes de la organización
  3. En la barra lateral izquierda, selecciona Seguridad .
  4. Haz clic en Ajustes de inicio de sesión único.
  5. Haz clic en Añadir configuración de inicio de sesión único y sigue las instrucciones para configurar el inicio de sesión único en Slack


Qué esperar después de habilitar el inicio de sesión único

Cuando hayas configurado el inicio de sesión único, los miembros que tengan que conectarse con él recibirán un correo electrónico. En este correo se les pedirá que vinculen sus cuentas de Slack con tu proveedor de identidad. Los miembros contarán con 72 horas para vincular sus cuentas antes de que caduque el enlace.

Los miembros que ya estén conectados al activar el inicio de sesión único permanecerán conectados. De ahora en adelante, todos los miembros se conectarán a Slack con su cuenta del proveedor de identidad. Si eliges el inicio de sesión único obligatorio, tus miembros verán una página para conectarse antes de poder acceder al espacio de trabajo.

Consejo: Para simplificar la gestión de los miembros, Slack es compatible con la especificación SCIM para el aprovisionamiento automático de usuarios. Para obtener más información, visita Cómo gestionar a los miembros mediante la gestión de usuarios SCIM.

¿Quién puede usar esta función?
  • Los propietarios de los espacios de trabajo y los propietarios de las organizaciones
  • Planes Business+ y Enterprise Grid