1. Centre d'assistance Slack
  2. Administration de l’espace de travail
  3. Configurer l’accès et la sécurité
    4. Authentification unique avec ADFS

Authentification unique avec ADFS

Intégrez le protocole Active Directory Federation Services (ADFS) à Slack pour gérer efficacement l’authentification unique de votre équipe.

Remarque : le composant ADFS à lui tout seul ne permet pas de désactiver automatiquement des utilisateurs via l’API SCIM de Slack. Après avoir désactivé des membres dans votre fournisseur d’identité, vous devez également les désactiver dans Slack si vous n’avez pas mis en œuvre une solution de gestion SCIM en dehors du composant ADFS.


Étape 1 : configurer ADFS pour Slack

Créer un nouveau service de relais

  1. Connectez-vous au serveur sur lequel ADFS est installé. Si vous avez besoin d’aide pour déployer ADFS, consultez ce guide.
  2. Accédez à la console de gestion ADFS, puis sélectionnez l’onglet Relations de confiance, puis sur Services de relais dans l’arbre de la console à gauche.
  3. Cliquez sur Ajouter un nouveau service de relais à partir du menu Actions sur la droite.
  4. À l’étape Sélectionner une source de données, activez manuellement l’option Saisissez les données concernant le service de relais.  Select Data Source step, with option to enter data about the replying party manually selected
  5. Ensuite, spécifiez le nom d’affichage de votre application dans l’onglet Spécifier le nom d’affichage. Nous vous suggérons de choisir un nom de ce type : Nom de la société - Slack. Ajoutez toutes les notes facultatives dont vous pourriez avoir besoin.
  6. Dans l’onglet Choisir le profil, sélectionnez Profil ADFS.
  7. Dans l’onglet Configurer le certificat, conservez les paramètres par défaut du certificat.
  8. Dans l’onglet Configurer l’URL, cochez la case Activer l’assistance pour le protocole SAML 2.0 WebSSO et saisissez le point de terminaison SAML

    •  Forfait Business+ :     https://yourdomain.slack.com/sso/saml
    •  Forfaits Enterprise : https://yourdomain.enterprise.slack.com/sso/saml
    Configure URL step, with option to enable support for the SAML 2.0 WebSSO protocol selected
  9. Dans l’onglet Configurer les identifiants, saisissez https://slack.com, puis cliquez sur Ajouter. Remarque : si vous choisissez de spécifier l’URL d’un espace de travail unique (https://[workspacename].slack.com), assurez-vous que vous avez entré la même valeur dans le champ Émetteur du fournisseur de services dans Slack.
  10. Ajoutez une authentification multifacteurs facultative.
  11. Sélectionnez Autoriser tous les utilisateurs à accéder à ce service de relais, puis cliquez sur Suivant et consultez vos paramètres.
  12. Assurez-vous d’avoir activé Ouvrir la boîte de dialogue Modifier les règles de requête pour ce service de relais à la fermeture de l’assistant et sélectionnez Fermer.
  13. Ensuite, vous allez créer des règles, ou des requêtes d’assertion pour la relation d’approbation des parties utilisatrices — dans ce cas, votre espace de travail Slack ou organisation Enterprise. Slack ne reçoit que les attributs et les valeurs de type requête sortante, et par conséquent la liste des attributs peut sembler différente. Notez bien que vous aurez besoin de deux requêtes : une première pour Slack Attributes et une deuxième pour NameID.
  14. Cliquez sur Ajouter une règle.
    List of rules for Slack Attributes and NameID, with buttons to add, edit, or remove rule
  15. Créez une règle pour envoyer les attributs LDAP en tant que requêtes. Seule l’adresse User.Email de type requête sortante est requise, mais vous voudrez peut-être inclure first_name, last_name, et User.Username. Souvenez-vous que les requêtes sortantes sont sensibles à la casse. 

    Remarque : la valeur envoyée pour User.Username correspondra au nom d’un utilisateur. Assurez-vous que cette valeur est unique pour chacun des utilisateurs et qu’elle ne sera pas réutilisée.
    Configure Claim Rule step, showing list of LDAP Attributes and Outgoing Claim Types
  16. Ensuite, créez une autre règle pour transformer une requête entrante.
  17. Accédez à la règle de requête du NameID requise et remplacez le format de l’identifiant du nom sortant par Persistent Identifier. Cliquez ensuite sur OK pour enregistrer la règle.
    Règle de requête NameID, avec des menus déroulants pour le type de requête entrante et sortante

Remarque : si vous choisissez de signer l’AuthnRequest dans Slack, vous devrez télécharger le certificat Slack généré à partir de l’onglet Signature dans ADFS. Vous devrez également vous assurer que vous avez sélectionné l’algorithme de hachage sécurisé SHA-1 dans l’onglet Avancé.


Étape 2 : Intégrer Slack au fournisseur d’identité

Forfait Business+

Forfaits Enterprise

Ajoutez ensuite les informations ADFS aux paramètres d’authentification de votre espace de travail Slack :

  1. Sur votre ordinateur, cliquez sur le nom de votre espace de travail dans la barre latérale.
  2. Sélectionnez Outils et paramètres dans le menu, puis cliquez sur Paramètres de l’espace de travail.
  3. Cliquez sur l’onglet Authentification, puis cliquez sur Configurer en regard d’Authentification SAML (OneLogin, Okta, ou votre solution d’authentification personnalisée SAML 2.0).
  4. Saisissez l’URL de votre point d’accès SAML 2.0 (URL du point d’accès SAML 2.0/W-Federation). L’installation par défaut est /adfs/ls/.
    SAML SSO URL and text box with URL entered
  5. Indiquez votre Émetteur du fournisseur d’identité. Si vous ne connaissez pas ce point de terminaison, exécutez PS C:/> Get-AdfsEndpoint avec Powershell sur l’appareil où ADFS est installé.Identity Provider Issuer and text box with IdP Entitiy ID for the service you use entered
  6. Dans l’onglet Chiffrement du composant ADFS, copiez l’intégralité de votre certificat x.509 de signature de jeton et collez-le dans le champ Certificat public.ADFS's Encryption tab with token-signing field selected
  7. Si vous souhaitez configurer plusieurs services de relais avec Slack, développez le menu Options avancées.
  8. En regard de AuthnContextClass Ref, sélectionnez PasswordProtectedTransport et Windows (utiliser avec ADFS pour l’authentification interne/externe). Saisissez ensuite l’émetteur du fournisseur de service unique. Le champ devrait correspondre à votre Identifiant de service de relais dans ADFS.
    Advanced options with AuthnContextClass Ref dropdown menu open
  9. Cliquez sur Enregistrer.

Vous devez ensuite ajouter les informations ADFS aux paramètres d’authentification de votre organisation Enterprise :

  1. Sur votre ordinateur, cliquez sur le nom de votre espace de travail dans la barre latérale.
  2. Sélectionnez Outils et paramètres dans le menu, puis cliquez sur Paramètres de l’organisation.
  3. Dans la barre latérale gauche, cliquez sur Sécurité  , puis sélectionnez Paramètres d’authentification unique.  
  4. Saisissez l’URL de votre point d’accès SAML 2.0 (URL du point d’accès SAML 2.0/W-Federation). L’installation par défaut est /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Indiquez votre Émetteur du fournisseur d’identité. Si vous ne connaissez pas ce point de terminaison, exécutez PS C:/> Get-AdfsEndpoint avec Powershell sur l’appareil où ADFS est installé.Identity_Provider_Issuer__grid_.png
  6. Dans le champ Certificat public, copiez-collez votre certificat x.509. adfs_clint.png
  7. Vous pouvez configurer plusieurs services de relais avec Slack. Sous AuthnContextClass Ref, sélectionnez PasswordProtectedTransport and windows (utiliser avec ADFS pour l’authentification interne/externe).
  8. Indiquez votre émetteur du fournisseur de service unique. Le champ devrait correspondre à votre identifiant de service de relais dans ADFS.
    émetteur_fournisseur_de_services
  9. Cliquez sur Enregistrer les modifications.

Remarque : nous serons heureux de vous assister dans la résolution des problèmes liés à la configuration, mais sachez que nous ne pouvons pas garantir le fonctionnement de la connexion avec Slack. Lisez notre article Résoudre les erreurs d’autorisation SAML ou envoyez-nous un message et nous ferons tout notre possible pour vous aider !

Qui peut utiliser cette fonctionnalité ?
  • Les propriétaires de l’espace de travail et les propriétaires de l’organisation.
  • Forfaits Business+ et Enterprise

Parfait !

Merci beaucoup pour votre feedback !

Si vous désirez qu’un des membres de notre équipe d’assistance vous réponde, veuillez contacter feedback@slack.com.

Cet article vous a-t-il été utile ?Oui, merci !Pas vraiment
Désolés ! Qu’est-ce qui vous a déplu dans cet article ?
0/600
Envoyer les commentaires de l’article

Si vous désirez qu’un des membres de notre équipe d’assistance vous réponde, veuillez contacter feedback@slack.com.

Oups ! Nous rencontrons quelques difficultés. Veuillez réessayer plus tard.