Single Sign-On SAML personalizzato

Se il provider di identità che hai scelto non dispone di un connettore per Slack, puoi utilizzare una connessione SAML personalizzata.

Attenzione: siamo felici di aiutarti con la configurazione, ma non possiamo garantire che la connessione a Slack funzioni sempre. Leggi l’articolo Risoluzione degli errori di autorizzazione SAML oppure inviaci un messaggio e cercheremo di aiutarti.


Parametri

Segui questi parametri per configurare la connessione SAML personalizzata.

Provisioning

  • Slack supporta i flussi inizializzati dai provider di identità (IDP) e dai provider di servizi (SP), il provisioning Just-In-Time e il provisioning automatico attraverso l’API SCIM.
  • Per Single Sign-On inizializzato dal provider di servizi, vai su https://iltuodominio.slack.com.

URL SSO dopo backup

  • https://iltuodominio.slack.com/sso/saml
    (Conosciuto anche come URL del servizio consumer di asserzione)

ID entità

  • https://slack.com

Endpoint disconnessione SAML

  •  https://iltuodominio.slack.com/sso/saml/logout  

Ricorda: Slack non supporta il punto di disconnessione singolo né la durata della sessione configurata nell’IDP.

Considerazioni

  • Slack supporta il binding HTTP POST e non il binding HTTP REDIRECT. È necessario configurare i binding HTTP POST nei metadati dell’IDP.
  • L’IDP deve assicurarsi che un utilizzatore sia autenticato e autorizzato prima di inviare un’asserzione. Se un utente non è autorizzato, le asserzioni non dovrebbero essere inviate. Consigliamo al provider di identità di reindirizzare gli utenti a una pagina HTTP 403 o a una pagina simile.


Impostazioni da includere

NameID (obbligatorio)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Your Unique Identifier</saml:NameID>
</saml:Subject>

Attenzione: per soddisfare le specifiche SAML, il NameID deve essere unico, pseudo-casuale e non deve cambiare nel corso del tempo, ad esempio il numero ID di un dipendente.

Attributo e-mail (obbligatorio)

 <saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>


Attributo nome utente (opzionale)

 <saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>


Attributo nome (opzionale)

<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>


Attributo cognome (opzionale)

  <saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>


Certificati

Certificato pubblico

Slack richiede che la risposta SAML sia firmata e che venga incollato un certificato X.509 .pem valido per verificare l’identità. Questo certificato è diverso dal certificato SSL.

Chiave di crittografia end-to-end

Se hai bisogno di una chiave di crittografia end-to-end per l’IDP, puoi trovare un certificato cliccando sul tasto Opzioni avanzate situato nelle impostazioni SSO dell’area di lavoro. Poi seleziona la preferenza Firma AuthnRequest per rivelare la chiave di crittografia pubblica di Slack.

Attenzione: se desideri collegare l’istanza Active Directory Federation Services (ADFS), consulta Single Sign-On ADFS per scoprirne di più.

Chi può utilizzare questa funzione?
  • Solo i proprietari dell’area di lavoro possono accedere a questa funzione.
  • Disponibile per le aree di lavoro con i piani Plus e Enterprise Grid di Slack.