Single Sign-On di ADFS

Puoi integrare l’istanza Active Directory Federation Services (ADFS) per consentire ai tuoi membri una gestione ottimale del Single Sign-On.

Nota: di per sé, ADFS non supporta il deprovisioning automatico attraverso API SCIM di Slack. Dopo il deprovisioning di un membro nel tuo IDP, assicurati di disattivarlo anche su Slack se non hai implementato una soluzione di provisioning SCIM al di fuori di ADFS.


Passaggio 1: configurare ADFS per Slack

Creare una nuova attendibilità del componente

  1. Accedi al server in cui è installato ADFS. Se hai bisogno di una mano per distribuire ADFS, consulta questa guida.
  2. Apri la console di gestione di ADFS e seleziona Relazioni di attendibilità e poi Attendibilità componente nell’albero della console a sinistra.
  3. Clicca su Aggiungi attendibilità componente dal menu Azioni a destra.
  4. Nel passaggio Seleziona origine dati, attiva l’opzione Inserisci manualmente i dati sul componente.  Seleziona il passaggio Origine dati, con l'opzione di inserire i dati sul componente manualmente selezionati
  5. Successivamente, specifica il nome visualizzato per l’applicazione nella scheda Specifica nome visualizzato. Ti consigliamo di scegliere un nome del tipo Nome dell’azienda: Slack. Aggiungi eventuali note supplementari.
  6. Nella scheda Scegli profilo, seleziona Profilo ADFS.
  7. Nella scheda Configura certificato, lascia invariate le impostazioni predefinite del certificato.
  8. Nella scheda Configura URL, seleziona la casella Abilita supporto del protocollo SAML 2.0 WebSSO e inserisci l’endpoint del servizio SAML

    •  Piano Business+:
    https://yourdomain.slack.com/sso/saml
    •  Piani Enterprise: https://yourdomain.enterprise.slack.com/sso/saml
    Configura passaggio URL, con l'opzione di abilitare il supporto per il protocollo SAML 2.0 WebSSO selezionato
  9. Nella scheda Configura identificatori, inserisci https://slack.com e clicca su Aggiungi. Attenzione: se scegli di specificare un URL dell’area di lavoro univoco (https://[workspacename].slack.com), assicurati di inserire lo stesso valore nel campo Emittente del provider di servizi su Slack.
  10. Aggiungi l’autenticazione a più fattori facoltativa.
  11. Seleziona Consenti a tutti gli utenti l’accesso a questo componente, poi clicca su Avanti e ricontrolla le impostazioni
  12. Assicurati di aver attivato la funzione Apri la finestra di dialogo Modifica regole attestazione per l’attendibilità del componente alla chiusura della procedura guidata e seleziona Chiudi.
  13. Successivamente, crea delle regole o attestazioni di asserzione per l’attendibilità del componente, in questo caso l’area di lavoro di Slack o l’organizzazione Enterprise. Slack riceve solo gli attributi e i valori dei tipi di attestazioni in uscita, quindi l’elenco degli attributi potrebbe risultare diverso. Tieni presente che avrai bisogno di due attestazioni: una per Slack Attributes e una per NameID.
  14. Clicca su Aggiungi regola.
    List of rules for Slack Attributes and NameID, with buttons to add, edit, or remove rule
  15. Crea una regola per inviare gli attributi LDAP come attestazioni. È richiesto solo il tipo di attestazione in uscita User.Email, ma ti consigliamo di includere first_name, last_name e User.Username. Ricordati che i tipi di attestazione in uscita rilevano la differenza tra maiuscole e minuscole. 

    Nota: il valore inviato per User.Username corrisponderà al nome utente di un utente. Assicurati che questo valore sia univoco per ogni utente e che non venga riutilizzato.
    Configure Claim Rule step, showing list of LDAP Attributes and Outgoing Claim Types
  16. Successivamente, crea un’altra regola per trasformare un’attestazione in ingresso.
  17. Apri la regola di attestazione obbligatoria NameID e modifica il formato dell’ID del nome in uscita in Identificatore permanente. Quindi clicca su OK per salvare.
    Regola di attestazione NameID, che mostra i menu a discesa dei tipi di attestazione in entrata e in uscita

Nota: se decidi di firmare l’AuthnRequest su Slack, dovrai caricare il certificato Slack generato nella scheda Firma in ADFS. Dovrai anche assicurarti di aver selezionato l’algoritmo hash sicuro SHA-1 nella scheda Avanzate.


Passaggio 2: integrare Slack con l’IDP

Piano Business+

Piano Enterprise

Successivamente, aggiungi i dettagli ADFS alle impostazioni di autenticazione dell’area di lavoro di Slack:

  1. Dal desktop, clicca sul nome della tua area di lavoro nella barra laterale.
  2. Seleziona Strumenti e impostazioni dal menu, quindi clicca su Impostazioni area di lavoro.
  3. Clicca sulla scheda Autenticazione, poi clicca su Configura accanto ad autenticazione SAML (OneLogin, Okta o la tua soluzione SAML 2.0 personalizzata).
  4. Inserisci l’URL dell’endpoint SAML 2.0 (URL dell’endpoint SAML 2.0/W-Federation). L’installazione predefinita è /adfs/ls/.
    URL SAML SSO e casella di testo con URL inserito
  5. Inserisci l’emittente del provider di identità. In caso di incertezza su questi endpoint, esegui PS C:/> Get-AdfsEndpoint in Powershell sul dispositivo su cui è installato ADFS.Emittente del provider di identità con ID entità IdP per il servizio utilizzato inserito
  6. Dalla scheda Crittografia ADFS, copia l’intero certificato x.509 di firma del token e incollalo nel campo Certificato pubblico.ADFS's Encryption tab with token-signing field selected
  7. Per configurare più di una attendibilità del componente con Slack, espandi il menu Opzioni avanzate.
  8. Accanto a AuthnContextClass Ref, scegli PasswordProtectedTransport e Windows (da utilizzare con ADFS per autenticazione interna/esterna). Inserisci l’emittente del provider di servizi univoco. Questo dovrebbe corrispondere all’identificatore del componente in ADFS.
    Opzioni avanzate con il menu a discesa AuthnContextClass Ref aperto
  9. Clicca su Salva.

A questo punto, dovrai aggiungere i dettagli ADFS alle impostazioni di autenticazione dell’organizzazione Enterprise:

  1. Dal desktop, clicca sul nome della tua area di lavoro nella barra laterale.
  2. Seleziona Strumenti e impostazioni dal menu, quindi clicca su Impostazioni organizzazione.
  3. Nella barra laterale sinistra, clicca su Sicurezza e poi seleziona Impostazioni SSO.  
  4. Inserisci l’URL dell’endpoint SAML 2.0 (URL dell’endpoint SAML 2.0/W-Federation). L’installazione predefinita è /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Inserisci l’emittente del provider di identità. In caso di incertezze su questi endpoint, esegui PS C:/> Get-AdfsEndpoint in Powershell sul dispositivo in cui è installato ADFS.Identity_Provider_Issuer__grid_.png
  6. Nel campo Certificato pubblico, copia e incolla l’intero certificato x.509. adfs_clint.png
  7. Con Slack, puoi impostare più di una attendibilità del componente. Sotto AuthnContextClass Ref, seleziona PasswordProtectedTransport e Windows (utilizza con ADFS per l’autenticazione interna/esterna).
  8. Inserisci l’emittente del provider di servizi univoco. Questo dovrebbe corrispondere all’identificatore del componente in ADFS.
    service_provider_issuer
  9. Clicca su Salva modifiche.

Nota: saremo lieti di aiutarti nella configurazione, ma non possiamo sempre garantire che la tua connessione funzioni con Slack. Leggi l’articolo Risoluzione degli errori di autorizzazione SAML oppure inviaci un messaggio e cercheremo di aiutarti.

Chi può utilizzare questa funzione?
  • I proprietari dell’area di lavoro e i proprietari dell’organizzazione
  • Piani Business+ ed Enterprise