Logon único SAML personalizado

Se seu provedor de identidade preferido não tiver um conector com o Slack, você poderá usar uma conexão SAML personalizada.

Observação: estamos aqui para ajudar você a solucionar problemas durante a configuração, mas nem sempre podemos garantir que sua conexão funcionará com o Slack. Leia o artigo Solução de problemas de autorização SAML ou escreva para nós e faremos tudo o que for possível!


Parâmetros

Siga estes parâmetros para configurar uma conexão SAML personalizada.

Provisionamento

  • O Slack é compatível com fluxos iniciados pelo provedor de identidade (IdP), fluxos iniciados pelo provedor de serviços (SP), provisionamento Just In Time e provisionamento automático por meio da API do SCIM.
  • Para logon único iniciado pelo provedor de serviços, vá para https://yourdomain.slack.com.

URL após backup de SSO

  • https://seudominio.slack.com/sso/saml
    (também conhecida como URL da Declaração de Atendimento ao Cliente)

ID da entidade

  • https://slack.com

Ponto de extremidade de logout de SAML

  •  https://yourdomain.slack.com/sso/saml/logout  

Lembre-se: o Slack não é compatível com o logoff único nem com a duração de sessão configurada no seu IdP.

Considerações

  • O Slack é compatível com a associação de HTTP POST, não com HTTP REDIRECT. Você precisa configurar associações de HTTP POST nos metadados do IdP.
  • O IdP deve garantir que um usuário seja autenticado e autorizado antes de enviar uma declaração. Se um usuário não for autorizado, as declarações não deverão ser enviadas. Recomendamos que seu provedor de identidade redirecione as pessoas para uma página HTTP 403 ou algo semelhante.


Configurações a incluir

NameID (obrigatório)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Your Unique Identifier</saml:NameID>
</saml:Subject>

Observação: para atender às especificações de SAML, o NameID deve ser exclusivo, pseudoaleatório e não deve ser alterado para o usuário ao longo do tempo — como o o número de ID do funcionário, por exemplo .

Atributo de e-mail (obrigatório)

 <saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>


Atributo nome de usuário (opcional)

 <saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>


Atributo nome (opcional)

<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>


Atributo sobrenome (opcional)

  <saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>


Certificados

Certificado público

O Slack exige que a resposta SAML seja assinada, e você terá que colar um Certificado .pem X.509 válido para confirmar sua identidade. Ele é diferente do seu certificado SSL.

Chave de criptografia de ponta a ponta 

Se você precisar de uma chave de criptografia de ponta a ponta para o IdP, é possível encontrar um certificado clicando no botão Opções avançadas, localizado nas configurações de SSO do workspace. Em seguida, verifique a preferência de Assinar a AuthnRequest para revelar a chave pública de criptografia do Slack.

Observação: se você quiser conectar sua instância do Active Directory Federation Services (ADFS), leia Logon único do ADFS para mais detalhes.

Quem pode usar este recurso?
  • Apenas os proprietários do workspace podem acessar esse recurso.
  • Business+Enterprise Grid