Cómo utilizar ADFS para configurar el inicio de sesión único

Para ayudarte a administrar el inicio de sesión único de tus miembros sin ningún contratiempo, puedes integrar tu Servicios de federación de Active Directory (ADFS).

Nota: ADFS por sí solo no ofrece eliminación automática de cuentas a través de la API SCIM de Slack. Al dar de baja a un miembro en tu IDP, asegúrate de desactivarlo manualmente en Slack si no has implementado una solución de administración de SCIM fuera de ADFS.


Paso 1: Instalar ADFS para Slack

Cómo crear un nuevo usuario de confianza

  1. Inicia sesión en el servidor en que está instalado ADFS. Si necesitas ayuda para implementar ADFS, consulta esta guía.
  2. Abre la consola de gestión de ADFS, y selecciona Relaciones de confianza y, luego, Usuarios de confianza en el árbol de la consola izquierda.
  3. Haz clic en Agregar Usuario de confianza desde el menú Acciones a la derecha.
  4. En el paso Seleccionar fuente de datos, cambia la opción Ingresar datos sobre el usuario de confianza manualmente.  Selecciona el paso Fuente de datos, con la opción de ingresar manualmente los datos de la parte que responde
  5. A continuación, especifica el nombre que se muestra para tu app en la pestaña Especificar nombre de Slack. Te sugerimos llamarlo algo así como Nombre de la empresa - Slack. Agrega notas opcionales que puedas necesitar.
  6. En la pestaña Elegir perfil, selecciona Perfil de ADFS.
  7. En la pestaña Configurar certificado, deja la configuración del certificado en sus valores predeterminados.
  8. En la pestaña Configurar URL, selecciona la casilla Habilitar asistencia para el protocolo SAML 2.0 WebSSO e ingresa el punto de conexión del servicio SAML

    •  Plan Business+:
    https://yourdomain.slack.com/sso/saml
    •  Enterprise Grid: https://tudominio.empresa.slack.com/sso/saml
    Paso de configuración de la URL, con la opción de activar la compatibilidad con el protocolo SAML 2.0 WebSSO seleccionada
  9. En la pestaña Configurar identificadores, ingresa https://slack.comy haz clic en Agregar. Nota: Si eliges especificar la URL de un espacio de trabajo único (https://[workspacename].slack.com), asegúrate de ingresar el mismo valor en el campo Emisor de proveedor de servicios en Slack.
  10. Agrega una autenticación multifactor opcional.
  11. Selecciona Permitir que todos los usuarios accedan a este usuario de confianza; luego, haz clic en Siguiente y revisa tu configuración.
  12. Asegúrate de que has alternado la opción Abrir el cuadro de diálogo Editar reglas de notificaciones para este usuario de confianza cuando se cierre el asistente y selecciona Cerrar.
  13. A continuación, procederás a crear reglas o notificaciones para tu usuario de confianza: en este caso, tu espacio de trabajo o Enterprise Grid de Slack. Slack solo recibe atributos y valores para tipos de notificaciones salientes, por lo que la lista de atributos puede tener un aspecto diferente. Ten en cuenta que necesitarás dos notificaciones: una para Atributos de Slack y otra para NameID.
  14. Haz clic en Agregar regla.
    Lista de reglas para atributos de Slack y NameID, con botones para añadir, editar o eliminar la regla
  15. Crea una regla para enviar los atributos LDAP como notificaciones. Solo se necesita el tipo de notificación saliente User.Email, pero es posible que desees incluir first_name, last_name y User.Username. Recuerda que los tipos de notificaciones salientes distinguen entre mayúsculas y minúsculas. 

    Nota: El valor enviado para User.Username se corresponderá con el nombre de usuario de un usuario. Asegúrate de que este valor sea único para cada usuario y que no se vuelva a utilizar.
    Paso Configurar regla de reclamos, que muestra la lista de atributos LDAP y los tipos de reclamos salientes
  16. A continuación, crea otra regla para transformar notificaciones entrantes.
  17. Abre la regla de notificaciones NameID y cambia el formato del identificador de nombre saliente a Identificador persistente. Para guardar los cambios, haz clic en Aceptar.
    Regla de reclamo de NameID, que muestra menús desplegables para el tipo de reclamo entrante y el tipo de reclamo saliente

Nota: Si eliges firmar el AuthnRequest en Slack, deberás cargar el certificado de Slack generado en la pestaña Firma en ADFS. También deberás asegurarte de haber seleccionado el algoritmo hash seguro SHA-1 en la pestaña Avanzadas.


Paso 2: Integrar Slack con tu proveedor de identidad

Plan Business+

Enterprise Grid de Slack

A continuación, agrega la información ADFS a los ajustes de autenticación de tu espacio de trabajo de Slack.

  1. En tu computadora, haz clic en el nombre de tu espacio de trabajo, en la barra lateral.
  2. Selecciona Herramientas y ajustes en el menú y haz clic en Ajustes del espacio de trabajo.
  3. Haz clic en Autenticacióny, luego, en Configurar junto a Autenticación SAML (OneLogin, Okta o tu solución personalizada SAML 2.0)
  4. Ingresa tu URL de punto de conexión SAML 2.0 (URL de punto de conexión SAML 2.0/W-Federation). La instalación predeterminada es /adfs/ls/.
    URL SAML SSO y cuadro de texto con la URL ingresada
  5. Ingresa tu emisor de proveedor de identidad. Si no estás seguro de estos puntos de conexión, ejecuta PS C:/> Get-AdfsEndpoint en Powershell en el dispositivo donde está instalado el ADFS.Emisor del proveedor de identidad y cuadro de texto con el IdP Entitiy ID del servicio que utilizas ingresado
  6. Desde la pestaña Cifrado de ADFS, copia todo el Certificado x.509 de firma de token y pégalo en el campo Certificado público.Pestaña de encriptación de ADFS con el campo de firma de token seleccionado
  7. Para configurar más de un usuario de confianza con Slack, amplía el menú de Opciones avanzadas.
  8. Junto a AuthnContextClass Ref, selecciona PasswordProtectedTransport y ventanas (uso con ADFS para autenticación interna y externa). Luego, escribe tu emisor de proveedor de servicios único. Esto debe coincidir con tu identificador de usuario de confianza en ADFS.
    Opciones avanzadas con el menú desplegable AuthnContextClass Ref abierto
  9. Haz clic en Guardar.

A continuación deberás agregar la información ADFS a los ajustes de autenticación del Enterprise Grid de tu organización:

  1. En tu computadora, haz clic en el nombre de tu espacio de trabajo, en la barra lateral.
  2. Selecciona Herramientas y ajustes en el menú y, luego, haz clic en Ajustes de la organización.
  3. En la barra lateral izquierda, haz clic en Seguridad   y selecciona Ajustes del inicio de sesión único.  
  4. Ingresa tu URL de punto de conexión SAML 2.0 (URL de punto de conexión SAML 2.0/W-Federation). La instalación predeterminada es /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Ingresa tu emisor de proveedor de identidad. Si no estás seguro de estos puntos de conexión, ejecuta PS C:/> Get-AdfsEndpoint en Powershell en el dispositivo donde está instalado el ADFS.Identity_Provider_Issuer__grid_.png
  6. En el campo Certificado público, copia y pega el Certificado x.509 completo. adfs_clint.png
  7. Puedes configurar más de un usuario de confianza con Slack. En AuthnContextClass Ref, selecciona PasswordProtectedTransport y ventanas (uso con ADFS para autenticación interna y externa).
  8. Ingresa tu emisor de proveedor de servicios único. Esto debe coincidir con tu identificador de usuario de confianza en ADFS.
    service_provider_issuer
  9. Haz clic en Guardar cambios.

Nota: Si bien estaremos encantados de ayudarte a resolver cualquier problema durante la instalación, no siempre podemos garantizar que te conectes con Slack. Lee nuestro artículo Solucionar errores de la autorización de SAMLenvíanos una nota y veremos lo que podemos hacer.

¿Quién puede usar esta función?
  • Los propietarios de espacios de trabajo y los propietarios de organizaciones
  • Planes Business+ y Enterprise Grid