Logon único SAML

O logon único (SSO) baseado em SAML permite que membros acessem o Slack por um provedor de identidade (IdP) de sua escolha.

Atenção: se não conseguir configurar o logon único SAML, consulte o artigo Solução de problemas de autorização SAML.


Etapa 1: configurar o provedor de identidade

Para começar, será preciso configurar uma conexão (ou um conector) do Slack com o IdP. Muitos provedores com os quais trabalhamos criaram páginas de ajuda para ativar SAML com o Slack:

Observação: também oferecemos guias para ajudar você a configurar o logon único SAML personalizadoo logon único do G Suite ou o logon único ADFS.


Etapa 2: configurar SSO SAML para Slack

Plano Plus

Plano Enterprise Grid

Agora que você configurou seu provedor de identidade (IdP), um proprietário do workspace pode ativar o recurso de SSO no Slack.

  1. No computador, clique no nome do workspace na parte superior esquerda.
  2. Selecione Administração e depois Configurações do workspace no menu.
  3. Clique na guia Autenticação.
  4. Clique em Configurar, ao lado da autenticação SAML.
  5. Na parte superior, ative o modo Teste.
  6. Ao lado de URL de SSO do SAML, insira a URL do ponto de extremidade SAML 2.0 (HTTP). Ela foi obtida durante a configuração do conector. Se o provedor de identidade for o Okta, será possível incluir o URL do IdP se você quiser.
  7. Insira sua ID de entidade do IdP ao lado do emissor do provedor de identidade
  8. Copie o Certificado x.509 inteiro do provedor de identidade e cole-o no campo Certificado público.
  9. Clique em Expandir , ao lado de Opções avançadas. Escolha como a resposta SAML do seu IdP será assinada. Se você precisar de uma chave de criptografia de ponta a ponta, marque a caixa ao lado de Assinar AuthnRequest para mostrar o certificado.
  10. Em Configurações, decida se os membros poderão editar as informações de perfil, como e-mail ou nome exibido, após a ativação do SSO. Também é possível escolher se o SSO será obrigatório, parcialmente obrigatório* ou opcional.
  11. Em Personalizar, insira o Rótulo do botão Entrar.
  12. Selecione Salvar configuração para terminar.

*Se você tiver contas de convidado, recomendamos escolher a opção em que o SSO é parcialmente obrigatório para que os convidados ainda possam entrar usando seus endereços de e-mail e senhas.

Dica: saiba mais sobre as configurações de logon único.

Agora que você configurou seu provedor de identidade (IdP), um proprietário da organização pode ativar o recurso de SSO na organização do Enterprise Grid:

  1. No computador, clique no nome do workspace na parte superior esquerda.
  2. Selecione Administração e depois Configurações da organização no menu.
  3. Clique em Segurança na coluna à esquerda.
  4. Na seção Configuração de SSO, clique em Configurar SSO.
  5. Insira o URL do ponto de extremidade SAML 2.0 (que foi obtido durante a configuração do conector). As solicitações de autenticação do Slack serão enviadas para esse endereço.
  6. Insira o URL do emissor do provedor de identidade (também conhecido como o ID da entidade). 
  7. Por padrão, o URL do emissor do provedor de serviços é definido para https://slack.com. Esse campo deve corresponder ao que você definiu no IdP.
  8. Copie todo o Certificado x.509 do seu provedor de identidade.
  9. Selecione se as respostas e as declarações SAML serão assinadas. Se você solicitar uma chave de criptografia de ponta a ponta para seu IdP, marque a caixa de seleção ao lado de Assinar AuthnRequest para mostrar o certificado. Também é possível selecionar suas preferências de valores para AuthnContextClassRef
  10. Clique em Testar configuração. Você será informado se as alterações foram realizadas com sucesso ou se precisará fazer outras.
  11. Quando estiver pronto, clique em Ativar SSO.

Dica: agora que você já configurou o SSO, saiba como conectar grupos de IdP aos workspaces na sua organização.


O que esperar quando o SSO for ativado

Depois que você configurar o SSO, cada membro do workspace ou da organização receberá um e-mail. O e-mail solicitará aos membros que conectem, ou associem, suas contas do Slack ao IdP. Eles terão 72 horas para associar as contas antes que o link expire.

Os membros que já tiverem entrado quando o SSO for ativado continuarão conectados. A partir de agora, todos os membros precisarão fazer login no Slack com a conta do IDP. Se você decidir exigir o SSO, os membros verão uma página de login quando acessarem o workspace.

Dica: para simplificar o gerenciamento de membros, o Slack é compatível com o padrão de provisionamento SCIM. Visite Gerenciar membros com o provisionamento SCIM para saber mais.

Quem pode usar este recurso?
  • Proprietários de workspaces e proprietários de organizações
  • PlusEnterprise Grid