Authentification unique avec ADFS

Intégrez le protocole Active Directory Federation Services (ADFS) à Slack pour gérer efficacement l'authentification unique de votre équipe.

Remarque : le composant ADFS à lui tout seul ne permet pas de désactiver automatiquement des utilisateurs via l'API SCIM de Slack. Après avoir désactivé des membres dans votre fournisseur d’identité, vous devez également les désactiver dans Slack si vous n’avez pas implémenté une solution de gestion SCIM en dehors du composant ADFS.


1ère étape — Configurer ADFS pour Slack

Créer un nouveau service de relais

  1. Connectez-vous au serveur sur lequel l'ADFS est installé. Si vous avez besoin d'aide pour déployer l'ADFS, consultez ce guide.
  2. Accédez à la console de gestion ADFS, puis sélectionnez l'onglet Relations de confiance, puis sur Services de relais dans l'arbre de la console à gauche.
  3. Cliquez sur Ajouter un nouveau service de relais à partir du menu Actions sur la droite.
  4. À l’étape Sélectionner une source de données, activez manuellement l’option Entrez les données concernant le service de relais.  Select_Data_Source_tab.png
  5. Ensuite, spécifiez le nom d'affichage de votre application dans l'onglet Spécifier le nom d'affichage. Nous vous suggérons de choisir un nom de ce type : Nom de la société - Slack. Ajoutez toutes les notes facultatives dont vous pourriez avoir besoin.
  6. Dans l'onglet Choisir le profil, sélectionnez Profil ADFS.
  7. Dans l'onglet Configurer le certificat, conservez les paramètres par défaut du certificat.
  8. Dans l'onglet Configurer l'URL, cochez la case Activer l'assistance pour le protocole SAML 2.0 WebSSO et entrez le point de terminaison SAML

    •  Forfait Plus : 
    https://yourdomain.slack.com/sso/saml
    •  Forfait Enterprise Grid : https://yourdomain.enterprise.slack.com/sso/saml
    Configure_URL_tab.png
  9. Dans l'onglet Configurer les identifiants, saisissez l'URL https://slack.com, puis cliquez sur Ajouter. Remarque : si vous choisissez de spécifier l'URL d'un seul espace de travail (https://[workspacename].slack.com), assurez-vous que vous avez entré la même valeur dans le champ Émetteur du fournisseur de services dans Slack.
  10. Ajoutez une authentification multifacteurs facultative.
  11. Sélectionnez Autoriser tous les utilisateurs à accéder à ce service de relais, puis cliquez sur Suivant et consultez vos paramètres.
  12. Assurez-vous d'avoir activé Ouvrir la boîte de dialogue Modifier les règles de requête pour ce service de relais à la fermeture de l'assistant et sélectionnez Fermer.
  13. Ensuite, vous allez créer des règles ou des requêtes d’assertion pour la relation d’approbation des parties utilisatrices, dans le cas présent, votre espace de travail Slack ou votre Enterprise Grid. Slack ne reçoit que les attributs et les valeurs de type requête sortante et, par conséquent, la liste des attributs peut sembler différente. Notez bien que vous aurez besoin de deux requêtes : une première pour Slack Attributes et une deuxième pour NameID.
  14. Cliquez sur Ajouter une règle.
    valeurs_attributs
  15. Créez une règle pour envoyer les attributs LDAP en tant que requêtes. Seule l’adresse User.Email de type requête sortante est requise, mais vous voudrez peut-être inclure first_name, last_name, et User.Username. Souvenez-vous que les requêtes sortantes sont sensibles à la casse. 

    Remarque : la valeur envoyée pour User.Username correspondra au nom d’un utilisateur. Assurez-vous que cette valeur est unique pour chacun des utilisateurs et qu'elle ne sera pas réutilisée.
    Add_rule_tab.png
  16. Ensuite, créez une autre règle pour transformer une requête entrante.
    règle_revendication_entrante
  17. Accédez à la règle de requête du NameID requise et remplacez le format de l’identifiant du nom sortant par Persistent Identifier. Cliquez ensuite sur OK pour enregistrer la règle.
    Edit_rule_tab.png

Remarque : Si vous choisissez de signer l'AuthnRequest dans Slack, vous devrez télécharger le certificat Slack généré à partir de l'onglet Signature dans ADFS. Vous devrez également vous assurer que vous avez sélectionné l'algorithme de hachage sécurisé SHA-1 dans l'onglet Avancé.


2e étape — Intégrer Slack à l'émetteur du fournisseur d'identité

Forfait Plus

Slack Enterprise Grid

Ajoutez ensuite les informations ADFS aux paramètres d’authentification de votre espace de travail Slack :

  1. Sur votre ordinateur, cliquez sur le nom de votre espace de travail en haut à gauche.
  2. Sélectionnez Administration, puis les paramètres d’espace de travail dans le menu.
  3. Cliquez sur Authentification, puis cliquez sur Configurer à côte d’Authentification SAML  (OneLogin, Okta, ou votre solution d'authentification personnalisée SAML 2.0).
  4. Entrez l'URL de votre point d'accès SAML 2.0 (URL du point d'accès SAML 2.0/W-Federation ). L'installation par défaut est /adfs/ls/.
    SAML_SSO_URL__plus_.png
  5. Entrez votre émetteur de fournisseur d'identité. Identity_Provider_Issuer__Plus_.png
  6. Dans l'onglet Chiffrement du composant ADFS, copiez l'intégralité de votre certificat x.509 de signature de jeton et collez-le dans le champ Certificat public.
  7. Si vous souhaitez configurer plusieurs services de relais avec Slack, développez le menu Options avancées.
  8. En regard de AuthnContextClass Ref, sélectionnez PasswordProtectedTransport et Windows (utiliser avec ADFS pour l'authentification interne/externe). Saisissez ensuite l'émetteur du fournisseur de service unique. Le champ devrait correspondre à votre Identifiant de service de relais dans ADFS.
    fournisseur_service
  9. Cliquez sur Enregistrer.

Vous devez ensuite ajouter les informations ADFS aux paramètres d’authentification de votre organisation Enterprise Grid :

  1. Sur votre ordinateur, cliquez sur le nom de votre espace de travail en haut à gauche.
  2. Sélectionnez Administration, puis Paramètres de l’organisation dans le menu.
  3. Accédez à la page Sécurité  du Tableau de bord d’administration.
  4. Sous Authentification, entrez l'URL de votre point d'accès SAML 2.0 (URL du point d'accès SAML 2.0/W-Federation). L'installation par défaut est /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Entrez l'émetteur du fournisseur d'identité. Identity_Provider_Issuer__grid_.png
  6. Dans le champ Certificat public, copiez-collez votre certificat x.509. 
  7. Vous pouvez configurer plusieurs services de relais avec Slack. Sous AuthnContextClass Ref, sélectionnez PasswordProtectedTransport and windows (utiliser avec ADFS pour l'authentification interne/externe).
  8. Saisissez votre émetteur du fournisseur de service unique. Le champ devrait correspondre à votre identifiant de service de relais dans ADFS.
    émetteur_fournisseur_services
  9. Cliquez sur Enregistrer les modifications.

Remarque : nous serons heureux de vous assister dans la résolution des problèmes liés à la configuration, mais sachez que nous ne pouvons pas garantir le fonctionnement de la connexion avec Slack. Lisez notre article Résoudre les erreurs d’autorisation SAML ou envoyez-nous un message et nous ferons tout notre possible pour vous aider !

Qui peut utiliser cette fonctionnalité ?
  • Les propriétaires de l’espace de travail et les propriétaires de l’organisation.
  • Nécessite un forfait Plus ou Enterprise Grid.