Single Sign-On di ADFS
Puoi integrare l’istanza Active Directory Federation Services (ADFS) per consentire ai tuoi membri una gestione ottimale del Single Sign-On.
Nota: di per sé, ADFS non supporta il deprovisioning automatico attraverso API SCIM di Slack. Dopo il deprovisioning di un membro nel tuo IDP, assicurati di disattivarlo anche su Slack se non hai implementato una soluzione di provisioning SCIM al di fuori di ADFS.
Passaggio 1: configurare ADFS per Slack
Creare una nuova attendibilità del componente
- Accedi al server in cui è installato ADFS. Se hai bisogno di una mano per distribuire ADFS, consulta questa guida.
- Apri la console di gestione di ADFS e seleziona Relazioni di attendibilità e poi Attendibilità componente nell’albero della console a sinistra.
- Clicca su Aggiungi attendibilità componente dal menu Azioni a destra.
-
Nel passaggio Seleziona origine dati, attiva l’opzione Inserisci manualmente i dati sul componente.
- Successivamente, specifica il nome visualizzato per l’applicazione nella scheda Specifica nome visualizzato. Ti consigliamo di scegliere un nome del tipo Nome dell’azienda: Slack. Aggiungi eventuali note supplementari.
- Nella scheda Scegli profilo, seleziona Profilo ADFS.
- Nella scheda Configura certificato, lascia invariate le impostazioni predefinite del certificato.
-
Nella scheda Configura URL, seleziona la casella Abilita supporto del protocollo SAML 2.0 WebSSO e inserisci l’endpoint del servizio SAML.
• Piano Business+: https://yourdomain.slack.com/sso/saml
• Piani Enterprise: https://yourdomain.enterprise.slack.com/sso/saml - Nella scheda Configura identificatori, inserisci https://slack.com e clicca su Aggiungi. Attenzione: se scegli di specificare un URL dell’area di lavoro univoco (https://[workspacename].slack.com), assicurati di inserire lo stesso valore nel campo Emittente del provider di servizi su Slack.
- Aggiungi l’autenticazione a più fattori facoltativa.
- Seleziona Consenti a tutti gli utenti l’accesso a questo componente, poi clicca su Avanti e ricontrolla le impostazioni
- Assicurati di aver attivato la funzione Apri la finestra di dialogo Modifica regole attestazione per l’attendibilità del componente alla chiusura della procedura guidata e seleziona Chiudi.
- Successivamente, crea delle regole o attestazioni di asserzione per l’attendibilità del componente, in questo caso l’area di lavoro di Slack o l’organizzazione Enterprise. Slack riceve solo gli attributi e i valori dei tipi di attestazioni in uscita, quindi l’elenco degli attributi potrebbe risultare diverso. Tieni presente che avrai bisogno di due attestazioni: una per Slack Attributes e una per NameID.
-
Clicca su Aggiungi regola.
-
Crea una regola per inviare gli attributi LDAP come attestazioni. È richiesto solo il tipo di attestazione in uscita User.Email, ma ti consigliamo di includere first_name, last_name e User.Username. Ricordati che i tipi di attestazione in uscita rilevano la differenza tra maiuscole e minuscole.
Nota: il valore inviato per User.Username corrisponderà al nome utente di un utente. Assicurati che questo valore sia univoco per ogni utente e che non venga riutilizzato. - Successivamente, crea un’altra regola per trasformare un’attestazione in ingresso.
- Apri la regola di attestazione obbligatoria NameID e modifica il formato dell’ID del nome in uscita in Identificatore permanente. Quindi clicca su OK per salvare.
Nota: se decidi di firmare l’AuthnRequest su Slack, dovrai caricare il certificato Slack generato nella scheda Firma in ADFS. Dovrai anche assicurarti di aver selezionato l’algoritmo hash sicuro SHA-1 nella scheda Avanzate.
Passaggio 2: integrare Slack con l’IDP
Piano Business+
Piano Enterprise
Successivamente, aggiungi i dettagli ADFS alle impostazioni di autenticazione dell’area di lavoro di Slack:
- Dal desktop, clicca sul nome della tua area di lavoro nella barra laterale.
- Seleziona Strumenti e impostazioni dal menu, quindi clicca su Impostazioni area di lavoro.
- Clicca sulla scheda Autenticazione, poi clicca su Configura accanto ad autenticazione SAML (OneLogin, Okta o la tua soluzione SAML 2.0 personalizzata).
-
Inserisci l’URL dell’endpoint SAML 2.0 (URL dell’endpoint SAML 2.0/W-Federation). L’installazione predefinita è /adfs/ls/.
-
Inserisci l’emittente del provider di identità. In caso di incertezza su questi endpoint, esegui PS C:/> Get-AdfsEndpoint in Powershell sul dispositivo su cui è installato ADFS.
-
Dalla scheda Crittografia ADFS, copia l’intero certificato x.509 di firma del token e incollalo nel campo Certificato pubblico.
- Per configurare più di una attendibilità del componente con Slack, espandi il menu Opzioni avanzate.
- Accanto a AuthnContextClass Ref, scegli PasswordProtectedTransport e Windows (da utilizzare con ADFS per autenticazione interna/esterna). Inserisci l’emittente del provider di servizi univoco. Questo dovrebbe corrispondere all’identificatore del componente in ADFS.
- Clicca su Salva.
A questo punto, dovrai aggiungere i dettagli ADFS alle impostazioni di autenticazione dell’organizzazione Enterprise:
- Dal desktop, clicca sul nome della tua area di lavoro nella barra laterale.
- Seleziona Strumenti e impostazioni dal menu, quindi clicca su Impostazioni organizzazione.
- Nella barra laterale sinistra, clicca su Sicurezza e poi seleziona Impostazioni SSO.
-
Inserisci l’URL dell’endpoint SAML 2.0 (URL dell’endpoint SAML 2.0/W-Federation). L’installazione predefinita è /adfs/ls/.
-
Inserisci l’emittente del provider di identità. In caso di incertezze su questi endpoint, esegui PS C:/> Get-AdfsEndpoint in Powershell sul dispositivo in cui è installato ADFS.
-
Nel campo Certificato pubblico, copia e incolla l’intero certificato x.509.
- Con Slack, puoi impostare più di una attendibilità del componente. Sotto AuthnContextClass Ref, seleziona PasswordProtectedTransport e Windows (utilizza con ADFS per l’autenticazione interna/esterna).
- Inserisci l’emittente del provider di servizi univoco. Questo dovrebbe corrispondere all’identificatore del componente in ADFS.
- Clicca su Salva modifiche.
Nota: saremo lieti di aiutarti nella configurazione, ma non possiamo sempre garantire che la tua connessione funzioni con Slack. Leggi l’articolo Risoluzione degli errori di autorizzazione SAML oppure inviaci un messaggio e cercheremo di aiutarti.
- I proprietari dell’area di lavoro e i proprietari dell’organizzazione
- Piani Business+ ed Enterprise