Logon único do ADFS

É possível integrar sua instância do Active Directory Federation Services (ADFS) para ajudar a gerenciar o logon único sem contratempos dos membros.

Observação: O ADFS sozinho não é compatível com o desprovisionamento automático por meio da API do SCIM do Slack. Depois que um membro for desprovisionado no IDP, certifique-se de desativá-lo também no Slack se você não tiver implementado uma solução de provisionamento de SCIM fora do ADFS.


Etapa 1: configurar o ADFS para Slack

Criar um novo usuário de confiança

  1. Entre no servidor onde o ADFS foi instalado. Se precisar de ajuda para implementar o ADFS, consulte este guia.
  2. Abra o console de gerenciamento do ADFS, selecione Relações de confiança e, em seguida, Usuários de confiança na árvore de console à esquerda.
  3. Clique em Adicionar usuário de confiança no menu de ação à direita.
  4. Na etapa Selecionar fonte de dados, marque a opção Inserir dados sobre o usuário de confiança manualmente.  Select_Data_Source_tab.png
  5. Em seguida, especifique o nome exibido da solicitação na guia Especificar nome para exibição. Sugerimos algo como Nome da empresa - Slack. Se quiser, adicione comentários.
  6. Na guia Escolher perfil, selecione Perfil ADFS.
  7. Na aba Configurar certificado, não altere as configurações padrão.
  8. Na guia Configurar URL, selecione a caixa Habilitar suporte para o protocolo WebSSO do SAML 2.0 e insira o ponto de extremidade de serviço SAML

    •  Plano Plus:
    https://yourdomain.slack.com/sso/saml
    •  Enterprise Grid: https://yourdomain.enterprise.slack.com/sso/saml
    Configure_URL_tab.png
  9. Na guia Configurar identificadores, digite https://slack.com e clique em Adicionar. Observação: se você decidir especificar uma URL de workspace exclusivo (https://[nomedoworkspace].slack.com), o valor deverá ser o mesmo que está no campo Emissor do provedor de serviços no Slack.
  10. Adicione autenticação multifator opcional.
  11. Selecione Permitir que todos os usuários acessem este usuário confiável, depois clique em Próximo e confira as configurações
  12. Marque a opção Abrir a caixa de diálogo Editar regras de declaração ao fechar o assistente e selecione Fechar.
  13. Em seguida, você criará regras ou solicitações de declaração para o usuário de confiança: neste caso, o workspace Slack ou o Enterprise Grid. O Slack só recebe atributos e valores para tipos de solicitações de saída, então a lista de atributos pode ser diferente. Lembre-se, você precisará de duas solicitações: uma para Atributos Slack e outra para NameID.
  14. Clique em Adicionar regra.
    attributes_values
  15. Crie uma regra para enviar atributos LDAP como solicitações. Apenas o tipo de solicitação de saída User.Email é necessário, mas também é bom incluir first_name, last_name, e User.Username. Lembre-se, os tipos de solicitação de saída diferenciam minúsculas de maiúsculas. 

    Observação: o valor indicado para User.Username é correspondente a um nome de usuário. Esse valor deve ser exclusivo para cada usuário e não deve ser reutilizado.
    Add_rule_tab.png
  16. Em seguida, crie outra regra para transformar uma solicitação recebida.
  17. Abra a regra de solicitação obrigatória NameID e altere o formato da ID de nome de saída para Persistent Identifier. Em seguida, clique em OK para salvar.
    Edit_rule_tab.png

Observação: se decidir assinar o AuthnRequest no Slack, você precisará fazer upload do certificado gerado pelo Slack na guia Assinatura no ADFS. Você também precisará selecionar o algoritmo de hash seguro SHA-1 na aba Avançado


Etapa 2: integrar o Slack ao seu IdP

Plano Plus

Enterprise Grid do Slack

Em seguida, adicione os dados do ADFS às configurações de autenticação do workspace Slack:

  1. No computador, clique no nome do workspace na parte superior à esquerda.
  2. No menu, selecione Configurações e administração. Depois clique em Configurações do workspace.
  3. Clique em Autenticação e em Configurar ao lado de Autenticação SAML (OneLogin, Okta ou sua solução personalizada do SAML 2.0).
  4. Insira a URL do ponto de extremidade SAML 2.0 (ponto de extremidade da URL SAML 2.0/W-Federation). A instalação padrão é /adfs/ls/.
    SAML_SSO_URL__plus_.png
  5. Insira o emissor do provedor de identidade. Se você tiver dúvidas sobre esses pontos de extremidade, execute PS C:/> Get-AdfsEndpoint no Powershell, no dispositivo onde o ADFS está instalado.Identity_Provider_Issuer__Plus_.png
  6. Na guia Criptografia do ADFS, copie todo o certificado de assinatura de token x.509 e cole no campo Certificado público.adfs_clint.png
  7. Para configurar mais de um usuário de confiança no Slack, expanda o menu Opções avançadas.
  8. Além de AuthnContextClass Ref, escolha PasswordProtectedTransport and windows (use with ADFS for internal/external authentication). Em seguida, insira o emissor do provedor de serviços exclusivo. Ele deve ser igual ao identificador do usuário de confiança no ADFS.
    service_provider
  9. Clique em Salvar.

Em seguida, será necessário adicionar os dados do ADFS às configurações de autenticação da organização Enterprise Grid:

  1. No computador, clique no nome do workspace na parte superior à esquerda.
  2. Selecione Configurações e administração no menu e, em seguida, clique em Configurações da organização.
  3. Na barra lateral esquerda, clique em  Segurança. Em seguida, selecione Configurações de SSO.
  4. Insira a URL do ponto de extremidade SAML 2.0 (ponto de extremidade da URL SAML 2.0/W-Federation). A instalação padrão é /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Insira o emissor do provedor de identidade. Se você tiver dúvidas sobre esses pontos de extremidade, execute PS C:/> Get-AdfsEndpoint no Powershell, no dispositivo onde o ADFS está instalado.Identity_Provider_Issuer__grid_.png
  6. No campo Certificado público, copie e cole todo o seu certificado x.509. adfs_clint.png
  7. É possível configurar mais de um usuário de confiança no Slack. Em AuthnContextClass Ref, selecione PasswordProtectedTransport e windows (use com ADFS para autenticação interna/externa).
  8. Insira o emissor do provedor de serviços. Ele deve ser igual ao identificador do usuário de confiança no ADFS.
    service_provider_issuer
  9. Clique em Salvar alterações.

Observação: estamos aqui para ajudar você a solucionar problemas durante a configuração, mas nem sempre podemos garantir que sua conexão funcionará com o Slack. Leia o artigo Solução de problemas de autorização SAML ou escreva para nós e faremos tudo o que for possível para ajudar.

Quem pode usar este recurso?
  • Proprietários de workspaces e proprietários de organizações
  • PlusEnterprise Grid