Single Sign-On di ADFS

Puoi integrare l’istanza Active Directory Federation Services (ADFS) per consentire ai tuoi membri una gestione ottimale del Single Sign-On.

Nota: di per sé, ADFS non supporta il deprovisioning automatico attraverso API SCIM di Slack. Dopo il deprovisioning di un membro nel tuo IDP, assicurati di disattivarlo anche su Slack se non hai implementato una soluzione di provisioning SCIM al di fuori di ADFS.


Passaggio 1: configurare ADFS per Slack

Creare una nuova attendibilità del componente

  1. Accedi al server in cui è installato ADFS. Se hai bisogno di una mano per distribuire ADFS, consulta questa guida.
  2. Apri la console di gestione di ADFS e seleziona Relazioni di attendibilità e poi Attendibilità componente nell’albero della console a sinistra.
  3. Clicca su Aggiungi attendibilità componente dal menu Azioni a destra.
  4. Nel passaggio Seleziona origine dati, tocca l’opzione Immetti dati sul componente manualmente.  Passaggio Seleziona origine dati con l’opzione per inserire manualmente i dati del componente selezionata
  5. Successivamente, specifica il nome visualizzato per l’applicazione nella scheda Specifica nome visualizzato. Ti consigliamo di scegliere un nome del tipo Nome dell’azienda: Slack. Aggiungi eventuali note supplementari.
  6. Nella scheda Scegli profilo, seleziona Profilo ADFS.
  7. Nella scheda Configura certificato, lascia invariate le impostazioni predefinite del certificato.
  8. Nella scheda Configura URL, seleziona la casella Abilita supporto del protocollo SAML 2.0 WebSSO e accedi all’endpoint di servizio SAML

    •  Piano Business+: 
    https://yourdomain.slack.com/sso/saml
    •  Enterprise Grid: https://iltuodominio.enterprise.slack.com/sso/saml
    Passaggio di configurazione dell’URL, con l’opzione per abilitare il supporto al protocollo SAML 2.0 WebSSO selezionata
  9. Nella scheda Configura identificatori, inserisci https://slack.com e clicca su Aggiungi. Attenzione: se scegli di specificare un URL dell’area di lavoro univoco (https://[workspacename].slack.com), assicurati di inserire lo stesso valore nel campo Emittente del provider di servizi su Slack.
  10. Aggiungi l’autenticazione a più fattori facoltativa.
  11. Seleziona Consenti a tutti gli utenti l’accesso a questo componente, poi clicca su Avanti e ricontrolla le impostazioni
  12. Assicurati di aver attivato la funzione Apri la finestra di dialogo Modifica regole attestazione per l’attendibilità del componente alla chiusura della procedura guidata e seleziona Chiudi.
  13. Successivamente, crea delle regole o attestazioni di asserzione per l’attendibilità del componente, in questo caso, per l’area di lavoro Slack o Enterprise Grid. Slack riceve solo gli attributi e i valori dei tipi di attestazioni in uscita, quindi la lista degli attributi potrebbe risultare diversa. Ricorda che avrai bisogno di due attestazioni: una per Slack Attributes e una per NameID.
  14. Clicca su Aggiungi regola.
    Elenco di regole per Slack Attributes e NameID, con pulsanti per aggiungerle, modificarle o rimuoverle
  15. Crea una regola per inviare gli attributi LDAP come attestazioni. È richiesto solo il tipo di attestazione in uscita User.Email, ma ti consigliamo di includere first_name, last_name e User.Username. Ricordati che i tipi di attestazione in uscita rilevano la differenza tra maiuscole e minuscole. 

    Attenzione: il valore inviato per User.Username corrisponderà al nome utente di un utente. Assicurati che questo valore sia unico per ogni utente e che non venga riutilizzato.
    Passaggio della regola di attestazione, che mostra l’elenco degli attributi LDAP e dei tipi di attestazione in uscita
  16. Successivamente, crea un’altra regola per trasformare un’attestazione in ingresso.
  17. Apri la regola di attestazione obbligatoria NameID e modifica il formato dell’ID del nome in uscita in Identificatore permanente. Clicca su OK per salvare.
    Regola di attestazione NameID, che mostra i menu a discesa dei tipi di attestazione in entrata e in uscita

Nota: se decidi di firmare l’AuthnRequest su Slack, dovrai caricare il certificato Slack generato nella scheda Firma in ADFS. Dovrai anche assicurarti di aver selezionato l’algoritmo hash sicuro SHA-1 nella scheda Avanzate.


Passaggio 2: integrare Slack con l’IDP

Piano Business+

Enterprise Grid di Slack

Successivamente, aggiungi i dettagli ADFS alle impostazioni di autenticazione dell’area di lavoro di Slack:

  1. Dal desktop, clicca sul nome della tua area di lavoro nella barra laterale.
  2. Seleziona Strumenti e impostazioni dal menu, quindi clicca su Impostazioni area di lavoro.
  3. Clicca sulla scheda Autenticazione, poi clicca su Configura accanto ad autenticazione SAML (OneLogin, Okta o la tua soluzione SAML 2.0 personalizzata).
  4. Inserisci l’URL dell’endpoint SAML 2.0 (URL dell’endpoint SAML 2.0/W-Federation). L’installazione predefinita è /adfs/ls/.
    URL SAML SSO e casella di testo con l’URL inserito
  5. Inserisci l’emittente del provider di identità. In caso di incertezze su questi endpoint, esegui PS C:/> Get-AdfsEndpoint in Powershell sul dispositivo in cui è installato ADFS.Emittente del provider di identità e casella di testo con l’ID dell’entità IDP del servizio utilizzato inserita
  6. Alla scheda Crittografia ADFS, copia l’intero certificato x.509 di firma del token e incollalo nel campo Certificato pubblico.Scheda Crittografia ADFS con il campo token di firma selezionato
  7. Per configurare più di una attendibilità del componente con Slack, espandi il menu Opzioni avanzate.
  8. Accanto a AuthnContextClass Ref, scegli PasswordProtectedTransport e Windows (utilizza con ADFS per l’autenticazione interna/esterna). Inserisci l’emittente del provider di servizi univoco. Questo dovrebbe corrispondere all’identificatore del componente in ADFS.
    Opzioni avanzate con il menu a discesa AuthnContextClass Ref aperto
  9. Clicca su Salva.

A questo punto, dovrai aggiungere i dettagli ADFS alle tue impostazioni di autenticazione dell’organizzazione Enterprise Grid:

  1. Dal desktop, clicca sul nome della tua area di lavoro nella barra laterale.
  2. Seleziona Strumenti e impostazioni dal menu, quindi clicca su Impostazioni organizzazione.
  3. Nella barra laterale sinistra, clicca su Sicurezza e poi seleziona Impostazioni SSO.  
  4. Inserisci l’URL dell’endpoint SAML 2.0 (URL dell’endpoint SAML 2.0/W-Federation). L’installazione predefinita è /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Inserisci l’emittente del provider di identità. In caso di incertezze su questi endpoint, esegui PS C:/> Get-AdfsEndpoint in Powershell sul dispositivo in cui è installato ADFS.Identity_Provider_Issuer__grid_.png
  6. Nel campo Certificato pubblico, copia e incolla il tuo intero certificato x.509. adfs_clint.png
  7. Con Slack, puoi impostare più di una attendibilità del componente. Sotto AuthnContextClass Ref, seleziona PasswordProtectedTransport e Windows (utilizza con ADFS per l’autenticazione interna/esterna).
  8. Inserisci l’emittente del provider di servizi univoco. Questo dovrebbe corrispondere all’identificatore del componente in ADFS.
    service_provider_issuer
  9. Clicca su Salva modifiche.

Nota: saremo lieti di aiutarti nella configurazione, ma non possiamo sempre garantire che la tua connessione funzioni con Slack. Leggi l’articolo Risoluzione degli errori di autorizzazione SAML oppure inviaci un messaggio e cercheremo di aiutarti.

Chi può utilizzare questa funzione?
  • I proprietari dell’area di lavoro e i proprietari dell’organizzazione
  • Disponibile per i piani Business+ e Enterprise Grid