Authentification unique avec ADFS

Intégrez le protocole Active Directory Federation Services (ADFS) à Slack pour gérer efficacement l’authentification unique de votre équipe.

Remarque : le composant ADFS à lui tout seul ne permet pas de désactiver automatiquement des utilisateurs via l’API SCIM de Slack. Après avoir désactivé des membres dans votre fournisseur d’identité, vous devez également les désactiver dans Slack si vous n’avez pas mis en œuvre une solution de gestion SCIM en dehors du composant ADFS.


Étape 1 : configurer ADFS pour Slack

Créer un nouveau service de relais

  1. Connectez-vous au serveur sur lequel ADFS est installé. Si vous avez besoin d’aide pour déployer ADFS, consultez ce guide.
  2. Accédez à la console de gestion ADFS, puis sélectionnez l’onglet Relations de confiance, puis sur Services de relais dans l’arbre de la console à gauche.
  3. Cliquez sur Ajouter un nouveau service de relais à partir du menu Actions sur la droite.
  4. À l’étape Sélectionner une source de données, activez manuellement l’option Entrez les données concernant le service de relais. Étape Sélectionner une source de données, avec option d’entrer des données concernant le service de relais activée manuellement
  5. Ensuite, spécifiez le nom d’affichage de votre application dans l’onglet Spécifier le nom d’affichage. Nous vous suggérons de choisir un nom de ce type : Nom de la société - Slack. Ajoutez toutes les notes facultatives dont vous pourriez avoir besoin.
  6. Dans l’onglet Choisir le profil, sélectionnez Profil ADFS.
  7. Dans l’onglet Configurer le certificat, conservez les paramètres par défaut du certificat.
  8. Dans l’onglet Configurer l’URL, cochez la case Activer l’assistance pour le protocole SAML 2.0 WebSSO et entrez le point de terminaison SAML

    •  Forfait Business+ : 
    https://votredomaine.slack.com/sso/saml
    •  Enterprise Grid : https://votredomaine.enterprise.slack.com/sso/saml
    Étape Configurer l’URL, avec l’option Activer l’assistance pour le protocole SAML 2.0 sélectionnée
  9. Dans l’onglet Configurer les identifiants, saisissez https://slack.com, puis cliquez sur Ajouter. Remarque : si vous choisissez de spécifier l’URL d’un espace de travail unique (https://[workspacename].slack.com), assurez-vous que vous avez entré la même valeur dans le champ Émetteur du fournisseur de services dans Slack.
  10. Ajoutez une authentification multifacteurs facultative.
  11. Sélectionnez Autoriser tous les utilisateurs à accéder à ce service de relais, puis cliquez sur Suivant et consultez vos paramètres.
  12. Assurez-vous d’avoir activé Ouvrir la boîte de dialogue Modifier les règles de requête pour ce service de relais à la fermeture de l’assistant et sélectionnez Fermer.
  13. Ensuite, vous allez créer des règles, ou des requêtes d’assertion pour la relation d’approbation des parties utilisatrices — dans ce cas, votre espace de travail Slack ou Enterprise Grid. Slack ne reçoit que les attributs et les valeurs de type requête sortante, et par conséquent la liste des attributs peut sembler différente. Notez bien que vous aurez besoin de deux requêtes : une première pour Slack Attributes et une deuxième pour NameID.
  14. Cliquez sur Ajouter une règle.
    Liste de règles pour Slack Attributes et NameID, avec les boutons pour ajouter, modifier ou supprimer une règle
  15. Créez une règle pour envoyer les attributs LDAP en tant que requêtes. Seule l’adresse User.Email de type requête sortante est requise, mais vous voudrez peut-être inclure first_name, last_name, et User.Username. Souvenez-vous que les requêtes sortantes sont sensibles à la casse. 

    Remarque : la valeur envoyée pour User.Username correspondra au nom d’un utilisateur. Assurez-vous que cette valeur est unique pour chacun des utilisateurs et qu’elle ne sera pas réutilisée.
    Étape de configuration de règle de requête, montrant une liste d’attributs LDAP et de types de requêtes sortantes
  16. Ensuite, créez une autre règle pour transformer une requête entrante.
  17. Accédez à la règle de requête du NameID requise et remplacez le format de l’identifiant du nom sortant (Outgoing name ID format) par Persistent Identifier. Cliquez ensuite sur OK pour enregistrer la règle.
    Règle de requête NameID, avec des menus déroulants pour le type de requête entrante et sortante

Remarque : si vous choisissez de signer l’AuthnRequest dans Slack, vous devrez télécharger le certificat Slack généré à partir de l’onglet Signature dans ADFS. Vous devrez également vous assurer que vous avez sélectionné l’algorithme de hachage sécurisé SHA-1 dans l’onglet Avancé.


Étape 2 : Intégrer Slack au fournisseur d’identité

Forfait Business+

Slack Enterprise Grid

Ajoutez ensuite les informations ADFS aux paramètres d’authentification de votre espace de travail Slack :

  1. Sur votre ordinateur, cliquez sur le nom de votre espace de travail dans la barre latérale.
  2. Sélectionnez Outils et paramètres dans le menu, puis cliquez sur Paramètres de l’espace de travail.
  3. Cliquez sur l’onglet Authentification, puis cliquez sur Configurer en regard d’Authentification SAML (OneLogin, Okta, ou votre solution d’authentification personnalisée SAML 2.0).
  4. Entrez l’URL de votre point d’accès SAML 2.0 (URL du point d’accès SAML 2.0/W-Federation). L’installation par défaut est /adfs/ls/.
    URL et zone de texte d’authentification unique SAML avec URL indiquée
  5. Saisissez votre émetteur de fournisseur d’identité. Si vous ne connaissez pas ce point de terminaison, exécutez PS C:/> Get-AdfsEndpoint avec Powershell sur l’appareil où ADFS est installé.Émetteur de fournisseur d’identité et zone de texte avec l’identifiant d’entité de fournisseur d’identité pour le service utilisé
  6. Dans l’onglet Chiffrement du composant ADFS, copiez l’intégralité de votre certificat x.509 de signature de jeton et collez-le dans le champ Certificat public.Onglet Chiffrement ADFS avec le champ de signature de jeton sélectionné
  7. Si vous souhaitez configurer plusieurs services de relais avec Slack, développez le menu Options avancées.
  8. En regard de AuthnContextClass Ref, sélectionnez PasswordProtectedTransport et Windows (utiliser avec ADFS pour l’authentification interne/externe). Saisissez ensuite votre émetteur du fournisseur de service. Le champ devrait correspondre à votre Identifiant de service de relais dans ADFS.
    Options avancées avec le menu déroulant AuthnContextClass Ref ouvert
  9. Cliquez sur Enregistrer.

Vous devez ensuite ajouter les informations ADFS aux paramètres d’authentification de votre organisation Enterprise Grid :

  1. Sur votre ordinateur, cliquez sur le nom de votre espace de travail dans la barre latérale.
  2. Sélectionnez Outils et paramètres dans le menu, puis cliquez sur Paramètres de l’organisation.
  3. Dans la barre latérale gauche, cliquez sur Sécurité  , puis sélectionnez Paramètres d’authentification unique.  
  4. Saisissez l’URL de votre point d’accès SAML 2.0 (URL du point d’accès SAML 2.0/W-Federation). L’installation par défaut est /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Saisissez votre émetteur de fournisseur d’identité. Si vous ne connaissez pas ce point de terminaison, exécutez PS C:/> Get-AdfsEndpoint avec Powershell sur l’appareil où ADFS est installé.Identity_Provider_Issuer__grid_.png
  6. Dans le champ Certificat public, copiez-collez votre certificat x.509. adfs_clint.png
  7. Vous pouvez configurer plusieurs services de relais avec Slack. Sous AuthnContextClass Ref, sélectionnez PasswordProtectedTransport and windows (utiliser avec ADFS pour l’authentification interne/externe).
  8. Saisissez votre émetteur du fournisseur de service unique. Le champ devrait correspondre à votre Identifiant de service de relais dans ADFS.
    émetteur_fournisseur_de_services
  9. Cliquez sur Enregistrer les modifications.

Remarque : nous serons heureux de vous assister dans la résolution des problèmes liés à la configuration, mais sachez que nous ne pouvons pas garantir le fonctionnement de la connexion avec Slack. Lisez notre article Résoudre les erreurs d’autorisation SAML ou envoyez-nous un message et nous ferons tout notre possible pour vous aider !

Qui peut utiliser cette fonctionnalité ?
  • Les propriétaires de l’espace de travail et les propriétaires de l’organisation.
  • Forfaits Business+ et Enterprise Grid