Authentification unique avec ADFS

Intégrez le protocole Active Directory Federation Services (ADFS) à Slack pour gérer efficacement l’authentification unique de votre équipe.

Remarque : le composant ADFS à lui tout seul ne permet pas de désactiver automatiquement des utilisateurs via l’API SCIM de Slack. Après avoir désactivé des membres dans votre fournisseur d’identité, vous devez également les désactiver dans Slack si vous n’avez pas mis en œuvre une solution de gestion SCIM en dehors du composant ADFS.


Étape 1 : configurer ADFS pour Slack

Créer un nouveau service de relais

  1. Connectez-vous au serveur sur lequel ADFS est installé. Si vous avez besoin d’aide pour déployer ADFS, consultez ce guide.
  2. Accédez à la console de gestion ADFS, puis sélectionnez l’onglet Relations de confiance, puis sur Services de relais dans l’arbre de la console à gauche.
  3. Cliquez sur Ajouter un nouveau service de relais à partir du menu Actions sur la droite.
  4. À l’étape Sélectionner une source de données, activez manuellement l’option Entrez les données concernant le service de relais.  Select_Data_Source_tab.png
  5. Ensuite, spécifiez le nom d’affichage de votre application dans l’onglet Spécifier le nom d’affichage. Nous vous suggérons de choisir un nom de ce type : Nom de la société - Slack. Ajoutez toutes les notes facultatives dont vous pourriez avoir besoin.
  6. Dans l’onglet Choisir le profil, sélectionnez Profil ADFS.
  7. Dans l’onglet Configurer le certificat, conservez les paramètres par défaut du certificat.
  8. Dans l’onglet Configurer l’URL, cochez la case Activer l’assistance pour le protocole SAML 2.0 WebSSO et entrez le point de terminaison SAML

    •  Forfait Plus : 
    https://votredomaine.slack.com/sso/saml
    •  Enterprise Grid : https://votredomaine.enterprise.slack.com/sso/saml
    Configure_URL_tab.png
  9. Dans l’onglet Configurer les identifiants, saisissez https://slack.com, puis cliquez sur Ajouter. Remarque : si vous choisissez de spécifier l’URL d’un seul espace de travail (https://[workspacename].slack.com), assurez-vous que vous avez entré la même valeur dans le champ Émetteur du fournisseur de services dans Slack.
  10. Ajoutez une authentification multifacteurs facultative.
  11. Sélectionnez Autoriser tous les utilisateurs à accéder à ce service de relais, puis cliquez sur Suivant et consultez vos paramètres.
  12. Assurez-vous d’avoir activé Ouvrir la boîte de dialogue Modifier les règles de requête pour ce service de relais à la fermeture de l’assistant et sélectionnez Fermer.
  13. Ensuite, vous allez créer des règles, ou des requêtes d’assertion pour la relation d’approbation des parties utilisatrices — dans ce cas, votre espace de travail Slack ou Enterprise Grid. Slack ne reçoit que les attributs et les valeurs de type requête sortante, et par conséquent la liste des attributs peut sembler différente. Notez bien que vous aurez besoin de deux requêtes : une première pour Slack Attributes et une deuxième pour NameID.
  14. Cliquez sur Ajouter une règle.
    valeurs_attributs
  15. Créez une règle pour envoyer les attributs LDAP en tant que requêtes. Seule l’adresse User.Email de type requête sortante est requise, mais vous voudrez peut-être inclure first_name, last_name, et User.Username. Souvenez-vous que les requêtes sortantes sont sensibles à la casse. 

    Remarque : la valeur envoyée pour User.Username correspondra au nom d’un utilisateur. Assurez-vous que cette valeur est unique pour chacun des utilisateurs et qu’elle ne sera pas réutilisée.
    Add_rule_tab.png
  16. Ensuite, créez une autre règle pour transformer une requête entrante.
  17. Accédez à la règle de requête du NameID requise et remplacez le format de l’identifiant du nom sortant (Outgoing name ID format) par Persistent Identifier. Cliquez ensuite sur OK pour enregistrer la règle.
    Edit_rule_tab.png

Remarque : si vous choisissez de signer l’AuthnRequest dans Slack, vous devrez télécharger le certificat Slack généré à partir de l’onglet Signature dans ADFS. Vous devrez également vous assurer que vous avez sélectionné l’algorithme de hachage sécurisé SHA-1 dans l’onglet Avancé.


2e étape — Intégrer Slack au fournisseur d’identité

Forfait Plus

Enterprise Grid de Slack

Ajoutez ensuite les informations ADFS aux paramètres d’authentification de votre espace de travail Slack :

  1. Sur votre ordinateur, cliquez sur le nom de votre espace de travail en haut à gauche.
  2. Dans le menu, sélectionnez Paramètres et administration, puis cliquez sur Paramètres de l’espace de travail.
  3. Cliquez sur l’onglet Authentification, puis cliquez sur Configurer en regard d’Authentification SAML (OneLogin, Okta, ou votre solution d’authentification personnalisée SAML 2.0).
  4. Entrez l’URL de votre point d’accès SAML 2.0 (URL du point d’accès SAML 2.0/W-Federation). L’installation par défaut est /adfs/ls/.
    SAML_SSO_URL__plus_.png
  5. Saisissez votre émetteur de fournisseur d’identité. Si vous ne connaissez pas ce point de terminaison, exécutez PS C:/> Get-AdfsEndpoint avec Powershell sur l’appareil où ADFS est installé.Identity_Provider_Issuer__Plus_.png
  6. Dans l’onglet Chiffrement du composant ADFS, copiez l’intégralité de votre certificat x.509 de signature de jeton et collez-le dans le champ Certificat public.adfs_clint.png
  7. Si vous souhaitez configurer plusieurs services de relais avec Slack, développez le menu Options avancées.
  8. En regard de AuthnContextClass Ref, sélectionnez PasswordProtectedTransport et Windows (utiliser avec ADFS pour l’authentification interne/externe). Saisissez ensuite votre émetteur du fournisseur de service. Le champ devrait correspondre à votre Identifiant de service de relais dans ADFS.
    fournisseur_service
  9. Cliquez sur Enregistrer.

Vous devez ensuite ajouter les informations ADFS aux paramètres d’authentification de votre organisation Enterprise Grid :

  1. Sur votre ordinateur, cliquez sur le nom de votre espace de travail en haut à gauche.
  2. Dans le menu, sélectionnez Paramètres et administration, puis cliquez sur Paramètres de l’organisation.
  3. Dans la barre latérale gauche, cliquez sur Sécurité  , puis sélectionnez Paramètres d’authentification unique.  
  4. Saisissez l’URL de votre point d’accès SAML 2.0 (URL du point d’accès SAML 2.0/W-Federation). L’installation par défaut est /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Saisissez votre émetteur de fournisseur d’identité. Si vous ne connaissez pas ce point de terminaison, exécutez PS C:/> Get-AdfsEndpoint avec Powershell sur l’appareil où ADFS est installé.Identity_Provider_Issuer__grid_.png
  6. Dans le champ Certificat public, copiez-collez votre certificat x.509. adfs_clint.png
  7. Vous pouvez configurer plusieurs services de relais avec Slack. Sous AuthnContextClass Ref, sélectionnez PasswordProtectedTransport and windows (utiliser avec ADFS pour l’authentification interne/externe).
  8. Saisissez votre émetteur du fournisseur de service unique. Le champ devrait correspondre à votre Identifiant de service de relais dans ADFS.
    émetteur_fournisseur_de_services
  9. Cliquez sur Enregistrer les modifications.

Remarque : nous serons heureux de vous assister dans la résolution des problèmes liés à la configuration, mais sachez que nous ne pouvons pas garantir le fonctionnement de la connexion avec Slack. Lisez notre article Résoudre les erreurs d’autorisation SAML ou envoyez-nous un message et nous ferons tout notre possible pour vous aider !

Qui peut utiliser cette fonctionnalité ?
  • Les propriétaires de l’espace de travail et les propriétaires de l’organisation.
  • Nécessite un forfait Plus ou Enterprise Grid.