Logon único do ADFS

É possível integrar sua instância do Active Directory Federation Services (ADFS) para ajudar a gerenciar o logon único sem contratempos dos membros.

Atenção: o ADFS sozinho não é compatível com o desprovisionamento automático por meio da API do SCIM do Slack. Quando os membros forem desprovisionados no IDP, não se esqueça de desativá-los manualmente no Slack se você não tiver implementado uma solução de provisionamento de SCIM fora do ADFS.


Etapa 1: configurar o ADFS para Slack

Criar um novo usuário de confiança

  1. Entre no servidor em que o ADFS está instalado. Se precisar de ajuda para implementar o ADFS, confira este guia.
  2. Abra o console de gerenciamento do ADFS e selecione Relações de confiança, depois Usuários de confiança na árvore de console à esquerda.
  3. Clique em Adicionar usuário de confiança no menu de ação à direita.
  4. Na etapa Selecionar fonte de dados, marque a opção Inserir dados sobre o usuário de confiança manualmente.  Select_Data_Source_tab.png
  5. Em seguida, especifique o nome exibido da solicitação na aba Especificar nome para exibição. Sugerimos algo como Nome da empresa - Slack. Se quiser, adicione comentários.
  6. Na aba Escolher perfil, selecione Perfil ADFS.
  7. Na aba Configurar certificado, não altere as configurações padrão.
  8. Na aba Configurar URL, marque a caixa Habilitar suporte para o protocolo WebSSO do SAML 2.0 e insira o ponto de extremidade de serviço SAML

    •  Plano Plus: 
    https://seudominio.slack.com/sso/saml
    •  Enterprise Grid: https://seudominio.enterprise.slack.com/sso/saml
    Configure_URL_tab.png
  9. Na aba Configurar identificadores, digite https://slack.com e clique em Adicionar. Atenção: se você decidir especificar uma URL de workspace (https://[nomedoworkspace].slack.com), o valor deve ser o mesmo que está no campo Emissor do provedor de serviços no Slack.
  10. Adicionar autenticação multifator opcional.
  11. Selecione Permitir que todos os usuários acessem este usuário confiável, depois clique em Próximo e confira as configurações
  12. Marque a opção Abrir a caixa de diálogo Editar regras de declaração ao fechar o assistente e selecione Fechar.
  13. Em seguida, você criará regras ou solicitações de declaração para o usuário de confiança: neste caso, o workspace Slack ou o Enterprise Grid. O Slack só recebe atributos e valores para tipos de solicitações de saída, então a lista de atributos pode ser diferente. Lembre-se, você precisará de duas solicitações: uma para Atributos Slack e outra para NameID.
  14. Clique em Adicionar regra.
    valores_atributos
  15. Crie uma regra para enviar atributos LDAP como solicitações. Apenas o tipo de solicitação de saída User.Email é necessário, mas também é bom incluir first_name, last_name, e User.Username. Lembre-se, os tipos de solicitação de saída diferenciam minúsculas de maiúsculas. 

    Atenção: o valor indicado para User.Username é correspondente a um nome de usuário. Esse valor deve ser exclusivo para cada usuário e não deve ser reutilizado
    Add_rule_tab.png
  16. Em seguida, crie outra regra para transformar uma solicitação recebida.
    regra_de_solicitação_recebida
  17. Abra a regra de solicitação obrigatória NameID e altere o formato da ID de nome de saída para Persistent Identifier. Em seguida, clique em OK para salvar.
    Edit_rule_tab.png

Atenção: se decidir assinar o AuthnRequest no Slack, você precisará fazer upload do certificado gerado pelo Slack na aba Assinatura no ADFS. Você também precisará selecionar o algoritmo de hash seguro SHA-1 na aba Avançado


Etapa 2 — Integrar o Slack ao seu IdP

Plano Plus

Slack Enterprise Grid

Em seguida, adicione os dados do ADFS às configurações de autenticação do workspace Slack:

  1. No computador, clique no nome do workspace na parte superior esquerda.
  2. Selecione Administração e depois Configurações do workspace no menu.
  3. Clique em Autenticação e em Configurar ao lado de Autenticação SAML (OneLogin, Okta ou sua solução personalizada do SAML 2.0).
  4. Insira a URL do ponto de extremidade SAML 2.0 (ponto de extremidade da URL SAML 2.0/W-Federation). A instalação padrão é /adfs/ls/.
    SAML_SSO_URL__plus_.png
  5. Insira o emissor do provedor de identidade. Identity_Provider_Issuer__Plus_.png
  6. Na guia Criptografia do ADFS, copie todo o certificado de assinatura de token x.509 e cole no campo Certificado público.
  7. Para configurar mais de um usuário de confiança no Slack, expanda o menu Opções avançadas.
  8. Além de AuthnContextClass Ref, escolha PasswordProtectedTransport e windows (use com ADFS para autenticação interna/externa). Em seguida, insira o emissor do provedor de serviços exclusivo. Ele deve ser igual ao identificador do usuário de confiança no ADFS.
    provedor_de_serviços
  9. Clique em Salvar.

Em seguida, será necessário adicionar os dados do ADFS às configurações de autenticação da organização Enterprise Grid:

  1. No computador, clique no nome do workspace na parte superior esquerda.
  2. Selecione Administração, depois Configurações da organização no menu.
  3. Acesse a página  Segurança do painel do administrador.
  4. Em Autenticação, insira a URL do ponto de extremidade SAML 2.0 (ponto de extremidade da URL SAML 2.0/W-Federation). A instalação padrão é /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Insira o emissor do provedor de identidade. Identity_Provider_Issuer__grid_.png
  6. No campo Certificado público , copie e cole todo o seu certificado x.509. 
  7. É possível configurar mais de um usuário de confiança no Slack. Em AuthnContextClass Ref, selecione PasswordProtectedTransport e windows (use com ADFS para autenticação interna/externa).
  8. Insira o emissor do provedor de serviços exclusivo. Ele deve ser igual ao identificador do usuário de confiança no ADFS.
    emissor_do_provedor_de_serviços
  9. Clique em Salvar alterações.

Observação: estamos aqui para ajudar você a solucionar problemas durante a configuração, mas nem sempre podemos garantir que sua conexão funcionará com o Slack. Leia o artigo Solução de problemas de autorização SAML ou escreva para nós e faremos tudo o que for possível!

Quem pode usar este recurso?
  • Proprietários de workspaces e proprietários de organizações
  • PlusEnterprise Grid