L'authentification unique SAML personnalisée

Si votre fournisseur d’identité habituel ne dispose pas de connecteur pour Slack, vous pouvez utiliser une connexion SAML personnalisée.

Remarque : nous serons heureux de vous assister dans la résolution des problèmes liés à la configuration, mais sachez que nous ne pouvons pas garantir le fonctionnement de la connexion avec Slack. Lisez notre article Résoudre les erreurs d’autorisation SAML ou envoyez-nous un message et nous ferons tout notre possible pour vous aider !


Paramètres

Suivez les paramètres ci-dessous afin de configurer la connexion SAML personnalisée.

Gestion

  • Slack est compatible avec le flux initialisé par un fournisseur d’identité ou par un fournisseur de service, avec la gestion Just In Time (JIT) et avec la gestion automatique via notre API SCIM.
  • Pour l’authentification unique initialisée par un fournisseur de service, accédez à https://votredomaine.slack.com.

URL d’authentification unique après sauvegarde

  • https://votredomaine.slack.com/sso/saml
    (Également connue sous le nom d’URL de l’« assertion customer service »)

ID de l’entité

  • https://slack.com

Point de terminaison de la déconnexion SAML

  •  https://votredomaine.slack.com/sso/saml/logout  

Notez bien que : Slack ne prend pas en charge la déconnexion unique ni la durée de session configurée dans votre IdP (fournisseur d’identité).

Remarques

  • Slack est compatible avec le rattachement HTTP POST, mais n'est pas compatible avec le rattachement HTTP REDIRECT. Configurez le rattachement HTTP POST dans les métadonnées du fournisseur d'identité.
  • Le fournisseur d’identité doit vérifier l’authentification et l’autorisation de l’utilisateur avant d’envoyer une assertion. Si l’utilisateur n’est pas autorisé, le fournisseur ne doit pas envoyer l’assertion, mais plutôt rediriger l’utilisateur vers une page HTTP 403 ou une page similaire.


Les paramètres à inclure

NameID (Obligatoire)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Votre identifiant unique</saml:NameID>
</saml:Subject>

Remarque : Pour répondre aux spécifications SAML, le NameID doit être unique, pseudo-aléatoire et il ne changera pas pour l’utilisateur au fil du temps (comme le numéro d’identification d’un employé).

Attribut d'e-mail (Obligatoire)

 <saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>


Attribut de nom d’utilisateur (Facultatif)

 <saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>


Attribut de prénom (Facultatif)

<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>


Attribut de nom de famille (Facultatif)

  <saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>


Certificats

Certificat public

Slack exige que la réponse SAML contienne des signatures numériques. Vous devez coller un certificat X.509.pem valide pour confirmer votre identité. Ce certificat est différent de votre certificat SSL.

Clés de chiffrement intégral 

Si vous avez besoin d’une clé de chiffrement intégral pour votre fournisseur d’identité, cliquez sur le bouton Options avancées qui se trouve dans les paramètres d’authentification unique de votre espace de travail pour rechercher le certificat. Cochez ensuite la préférence Signer la demande AuthnRequest pour afficher la clé de chiffrement publique de Slack.

Remarque : Intégrez le protocole Active Directory Federation Services (ADFS) à Slack pour gérer efficacement l'authentification unique de votre équipe. Accédez à L'authentification unique avec ADFS pour plus d'informations.

Qui peut utiliser cette fonctionnalité ?
  • Seuls les propriétaires de l’espace de travail peuvent utiliser cette fonctionnalité.
  • Nécessite un forfait Business+ ou Enterprise Grid.