Utilizar ADFS para configurar el inicio de sesión único

Para ayudarte a gestionar sin ningún contratiempo el inicio de sesión único de tus miembros, puedes integrar tu Servicios de federación de Active Directory (ADFS).

Nota: ADFS por sí sola no admite la eliminación automática de cuentas a través de la API SCIM de Slack. Tras eliminar la cuenta de algún miembro en tu proveedor de identidad, asegúrate de desactivarla manualmente en Slack si no has implementado una solución de gestión de usuarios SCIM sin ser ADFS.


Paso 1: instalar ADFS para Slack

Cómo crear una nueva relación de confianza de usuarios de confianza

  1. Conéctate al servidor donde esté instalado ADFS. Si necesitas ayuda para implementar ADFS, consulta esta guía.
  2. Abre la consola de administración ADFS, selecciona Relaciones de confianza y, a continuación, Relaciones de confianza de usuarios de confianza en el árbol de la consola de la izquierda.
  3. Haz clic en Añadir relaciones de confianza de usuarios de confianza en el menú Acciones de la derecha.
  4. En el paso Seleccionar origen de datos, activa la opción Escribir manualmente los datos sobre el usuario de confianza.  Selecciona el paso Origen de datos con la opción para introducir los datos del usuario de confianza manualmente seleccionada
  5. A continuación, especifica el nombre que se mostrará en tu aplicación en la pestaña Especificar nombre para mostrar. Sugerimos llamarlo algo así como Nombre de la empresa - Slack. Añade las notas opcionales que puedas necesitar.
  6. En la pestaña Elegir perfil, selecciona Perfil ADFS.
  7. En la pestaña Configurar certificado, deja la configuración del certificado en sus valores predeterminados.
  8. En la pestaña Configurar URL, marca la casilla Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO e introduce el endpoint SAML del servicio

    • Plan Business+:
    https://yourdomain.slack.com/sso/saml
    •  Enterprise Grid: https://tudominio.enterprise.slack.com/sso/saml
    Configura el paso de la URL, con la opción para activar la compatibilidad con el protocolo SAML 2.0 WebSSO activada
  9. En la pestaña Configurar identificadores, introduce https://slack.com y haz clic en Añadir. Nota: Si eliges especificar una URL única para el espacio de trabajo (https://[workspacename].slack.com), asegúrate de introducir el mismo valor en el campo Emisor de proveedor de servicios en Slack.
  10. Añadir autenticación de dos factores opcional.
  11. Selecciona Permitir que todos los usuarios tengan acceso a este usuario de confianza y, a continuación, haz clic en Siguiente y revisa la configuración.
  12. Asegúrate de haber marcado Abrir el cuadro de diálogo Editar reglas de notificación para esta relación de confianza de usuarios de confianza cuando el asistente se cierre y selecciona Cerrar.
  13. A continuación procederás a crear reglas o notificaciones para tu usuario de confianza: en este caso, tu espacio de trabajo de Slack o Enterprise Grid. Slack solo recibe atributos y valores para tipos de notificaciones salientes, por lo que la lista de atributos puede tener un aspecto diferente. Ten en cuenta que necesitarás dos notificaciones: una para Atributos de Slack y otra para NameID.
  14. Haz clic en Agregar regla.
    Lista de reglas de Atributos de Slack y NameID, con botones para añadir, editar o eliminar reglas
  15. Crea una regla para enviar atributos LDAP como notificaciones. El único tipo de notificación saliente que se necesita es el de User.Email, pero es posible que quieras incluir first_name, last_name y User.Username. Recuerda que los tipos de notificaciones salientes reconocen mayúsculas. 

    Nota: el valor enviado para User.Username corresponderá a un nombre de usuario. Asegúrate de que este valor sea único para cada usuario y no se vuelva a utilizar.
    Configura el paso Notificar regla, que muestra una lista de Atributos de LDAP y Tipos de notificaciones salientes
  16. A continuación, crea otra regla para transformar notificaciones entrantes.
  17. Abre la regla de notificaciones NameID y cambia el formato del identificador de nombre saliente (Outgoing name ID format) a Persistent Identifier. Para guardar los cambios, haz clic en Aceptar.
    Regla de notificación NameID, que muestra los menús desplegables para los tipos de notificaciones entrantes y salientes

Nota: si optas por firmar la AuthnRequest en Slack, tendrás que subir el certificado generado por Slack a la pestaña Firma en ADFS. También deberás asegurarte de que has seleccionado el algoritmo hash seguro SHA-1 en la pestaña Avanzadas.


Paso 2: integrar Slack con tu proveedor de identidad

Plan Business+

Enterprise Grid de Slack

A continuación, añade la información ADFS a los ajustes de autenticación de tu espacio de trabajo de Slack.

  1. Desde la aplicación para ordenador, haz clic en el nombre del espacio de trabajo en la barra lateral.
  2. Selecciona Herramientas y ajustes en el menú y, a continuación, haz clic en Ajustes del espacio de trabajo.
  3. Haz clic en la pestaña Autenticación, a continuación en Configurar junto a Autenticación SAML (OneLogin, Okta o tu solución personalizada SAML 2.0).
  4. Introduce tu URL de endpoint SAML 2.0 (URL de endpoint SAML 2.0/W-Federation). La instalación predeterminada es /adfs/ls/.
    URL de SSO de SAML y cuadro de texto con la URL introducida
  5. Introduce tu proveedor de identidad. Si no estás seguro sobre estos endpoints (extremos), ejecuta PS C:/> Get-AdfsEndpoint en Powershell en el dispositivo donde se ha instalado ADFS.El Emisor de proveedor de identidad y el cuadro de texto con ID Entidad IdP del servicio que has utilizado introducido
  6. Desde la pestaña Cifrado de ADFS, copia todo el certificado x.509 de firma de tokens y pégalo en el campo Certificado público.La pestaña Cifrado de ADFS con el campo de firma de token seleccionado
  7. Para configurar más de una relación de confianza de usuarios de confianza con Slack, expande el menú Opciones avanzadas.
  8. Junto al menú AuthnContextClass Ref, selecciona PasswordProtectedTransfport and windows (use with ADFS for internal/external authentication). A continuación, introduce la información del emisor del proveedor de servicios. Este debería coincidir con el identificador de tu usuario de confianza en ADFS.
    Opciones avanzadas con el menú desplegable AuthnContextClass Ref abierto
  9. Para guardar haz clic en Guardar.

A continuación deberás añadir la información ADFS a los ajustes de autenticación del Enterprise Grid de tu organización:

  1. Desde la aplicación para ordenador, haz clic en el nombre del espacio de trabajo en la barra lateral.
  2. Selecciona Herramientas y ajustes en el menú y, a continuación, haz clic en Ajustes de la organización.
  3. En la barra lateral izquierda, haz clic en Seguridad . Luego, selecciona Ajustes de inicio de sesión único.  
  4. Introduce tu URL de endpoint SAML 2.0 (URL de endpoint SAML 2.0/W-Federation). La instalación predeterminada es /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Introduce tu proveedor de identidad. Si no estás seguro sobre estos endpoints (extremos), ejecuta C:/> Get-AdfsEndpoint en Powershell en el dispositivo donde se ha instalado ADFS.Identity_Provider_Issuer__grid_.png
  6. En el campo Certificado público, copia y pega tu Certificado x.509 completo. adfs_clint.png
  7. Puedes configurar más de un usuario de confianza con Slack. En AuthnContextClass Ref, selecciona PasswordProtectedTransport y windows (usar con ADFS para autenticación interna/externa).
  8. Introduce tu emisor de proveedor de servicios único. Este debería coincidir con el identificador de tu usuario de confianza en ADFS.
    service_provider_issuer
  9. Para guardar los cambios, haz clic en Guardar cambios.

Nota: si bien estaremos encantados de ayudarte a resolver cualquier problema durante la instalación, no siempre podemos garantizar tu conexión con Slack. Nuestro artículo Resolución de errores de autorización de SAMLenvíanos un mensaje y veremos qué podemos hacer.

¿Quién puede usar esta función?
  • Los propietarios de espacios de trabajo y los propietarios de organizaciones
  • Planes Business+ y Enterprise Grid