Personalizar inicio de sesión único basado en SAML

Si tu proveedor de identidad favorito no cuenta con un conector con Slack, puedes usar una conexión SAML personalizada.

Nota: Si bien estaremos encantados de ayudarte a resolver cualquier problema durante la instalación, no siempre podemos garantizar tu conexión con Slack. Nuestro artículo Resolución de errores de autorización de SAMLenvíanos un mensaje y veremos qué podemos hacer.


Parámetros

Sigue estos parámetros para configurar tu conexión personalizada basada en SAML.

Gestión de usuarios

  • Slack es compatible con flujos iniciados por el proveedor de identidad (IDP), flujos iniciados por el proveedor de servicios (SP), la gestión de usuarios justo a tiempo (Just In Time) y la gestión de usuarios automática a través de nuestra API SCIM.
  • Para el inicio de sesión único iniciado por el proveedor de servicios (SP-Initiated), ve a https://tudominio.slack.com.

URL posterior a la copia de seguridad de inicio de sesión único

  • https://tudominio.slack.com/sso/saml
    (También conocida como URL del Servicio consumidor de aserciones)

ID de entidad

  • https://slack.com

Endpoint de cierre de sesión SAML

  •  https://tudominio.slack.com/sso/saml/logout  

Recuerda: Slack no es compatible con el cierre de sesión único ni con la duración de la sesión que configures en tu IdP.

Observaciones

  • Slack es compatible con el binding HTTP POST, no con HTTP REDIRECT. Debes configurar los bindings HTTP POST en los metadatos del proveedor de identidad.
  • Antes de enviar una aserción, tu proveedor de identidad debe asegurarse de que el usuario se haya autenticado y haya sido autorizado. Si un usuario no ha sido autorizado, no se deberán enviar aserciones. Nuestra recomendación es que tu proveedor de identidad redirija al usuario a una página HTTP 403 u otra página similar.


Ajustes a incluir

NameID (Obligatorio)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Tu identificador único</saml:NameID>
</saml:Subject>

Nota: Para cumplir con las especificaciones SAML, el NameID debe ser único, pseudoaleatorio y mantenerse invariable para el usuario a lo largo del tiempo, como por ejemplo el número de identificación de un empleado.

Atributo de correo electrónico (Obligatorio)

 <saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>


Atributo de nombre de usuario (optativo)

 <saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>


Atributo de nombre (Optativo)

<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>


Atributo de apellidos (Optativo)

  <saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>


Certificados

Certificado público

Slack requiere que firmes tu respuesta SAML. Para verificar tu identidad deberás pegar un Certificado .pem X.509. Este es diferente de tu certificado SSL.

Clave de cifrado de extremo a extremo (o E2EE) 

Si necesitas una clave de cifrado de extremo a extremo para tu proveedor de identidad, haz clic en el botón Opciones avanzadas, ubicado en los ajustes de inicio de sesión único del espacio de trabajo, para obtener un certificado. A continuación, marca la preferencia Firmar AuthnRequest para que se muestre la clave de cifrado público de Slack.

Nota: Si deseas conectar tu instancia de Servicios de federación de Active Directory, revisa Utilizar ADFS para configurar y gestionar el inicio de sesión único para más información.

¿Quién puede usar esta función?
  • Solo los propietarios del espacio de trabajo pueden acceder a esta función.
  • Planes Business+Enterprise Grid