Segui questi parametri per configurare la connessione SAML personalizzata.
Provisioning
Slack supporta i flussi inizializzati dai provider di identità (IDP) e dai provider di servizi (SP), il provisioning Just-In-Time e il provisioning automatico attraverso l’API SCIM.
Per Single Sign-On inizializzato dal provider di servizi, vai su https://iltuodominio.slack.com.
URL SSO dopo backup
https://iltuodominio.slack.com/sso/saml (Conosciuto anche come URL del servizio consumer di asserzione)
ID entità
https://slack.com
Nota: Slack non supporta il punto di disconnessione singolo né la durata della sessione configurata nell’IDP. In alternativa, puoi impostare una durata della sessione per limitare il tempo in cui i membri rimangono connessi a Slack.
Considerazioni
Slack supporta il binding HTTP POST e non il binding HTTP REDIRECT. È necessario configurare i binding HTTP POST nei metadati dell’IDP.
L’IDP deve assicurarsi che un utilizzatore sia autenticato e autorizzato prima di inviare un’asserzione. Se un utente non è autorizzato, le asserzioni non dovrebbero essere inviate. Consigliamo al provider di identità di reindirizzare gli utenti a una pagina HTTP 403 o a una pagina simile.
Nota: per soddisfare le specifiche SAML, il NameID deve essere unico, pseudo-casuale e non deve cambiare nel corso del tempo, ad esempio il numero ID di un dipendente.
Slack richiede che la risposta SAML sia firmata e che venga incollato un certificato X.509 .pem valido per verificare l’identità. Questo certificato è diverso dal certificato SSL.
Chiave di crittografia end-to-end
Se hai bisogno di una chiave di crittografia end-to-end per l’IDP, puoi trovare un certificato cliccando sul tasto Opzioni avanzate situato nelle impostazioni SSO dell’area di lavoro. Poi seleziona la preferenza Firma AuthnRequest per rivelare la chiave di crittografia pubblica di Slack.
Nota: se desideri collegare l’istanza Active Directory Federation Services (ADFS), consulta Single Sign-On ADFS per scoprirne di più.
Chi può utilizzare questa funzione?
Solo i proprietari dell’area di lavoro possono accedere a questa funzione
Disponibile per i piani Business+ ed Enterprise Grid