Logon único SAML personalizado

Se seu provedor de identidade preferido não tiver um conector com o Slack, você poderá usar uma conexão SAML personalizada.

Observação: estamos aqui para ajudar você a solucionar problemas durante a configuração, mas nem sempre podemos garantir que sua conexão funcionará com o Slack. Leia o artigo Solução de problemas de autorização SAML ou escreva para nós e faremos tudo o que for possível para ajudar.


Parâmetros

Siga estes parâmetros para configurar uma conexão SAML personalizada.

Provisionamento

  • O Slack é compatível com fluxos iniciados pelo provedor de identidade (IdP), fluxos iniciados pelo provedor de serviços (SP), provisionamento Just In Time e provisionamento automático por meio da API do SCIM.
  • Para logon único iniciado pelo provedor de serviços, vá para https://yourdomain.slack.com.

URL após backup de SSO

  • https://yourdomain.slack.com/sso/saml
    Também conhecido como URL da Declaração de Atendimento ao Cliente.

ID da entidade

  • https://slack.com

Observação: o Slack não é compatível com o logoff único nem com a duração da sessão configurada no seu IdP. Como alternativa, você pode configurar a duração da sessão para limitar o tempo que os membros permanecem conectados ao Slack.

Considerações

  • O Slack é compatível com a associação de HTTP POST, não com HTTP REDIRECT. Você precisa configurar associações de HTTP POST nos metadados do IdP.
  • O IdP deve garantir que um usuário seja autenticado e autorizado antes de enviar uma declaração. Se um usuário não for autorizado, as declarações não deverão ser enviadas. Recomendamos que seu provedor de identidade redirecione as pessoas para uma página HTTP 403 ou algo semelhante.


Configurações a serem incluídas

NameID (obrigatório)

 
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Your Unique Identifier</saml:NameID>
</saml:Subject>

Observação: para atender às especificações de SAML, o NameID deve ser exclusivo, pseudoaleatório e não será alterado para o usuário ao longo do tempo, como o número de ID do funcionário.

Atributo de e-mail (obrigatório)

 <saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>



Atributo nome de usuário (opcional)

<saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>


Atributo nome (opcional)

<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>


Atributo sobrenome (opcional)

 <saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>


Certificados

Certificado público

O Slack requer que a resposta SAML seja assinada, e você terá que colar um Certificado .pem X.509 válido para confirmar sua identidade. Ele é diferente do seu certificado SSL.

Chave de criptografia de ponta a ponta 

Se você precisar de uma chave de criptografia de ponta a ponta para o IdP, um certificado pode ser encontrado clicando no botão Opções avançadas, localizado nas configurações de SSO do workspace. Em seguida, verifique a preferência de Assinar a AuthnRequest para revelar a chave pública de criptografia do Slack.

Observação: se você quiser conectar sua instância do Active Directory Federation Services (ADFS), leia Logon único do ADFS para mais detalhes.

Quem pode usar este recurso?
  • Apenas proprietários de workspaces podem acessar esse recurso.
  • Disponível nos planos Business+Enterprise Grid