Logon único do ADFS

É possível integrar sua instância do Active Directory Federation Services (ADFS) para ajudar a gerenciar o logon único sem contratempos dos membros.

Observação: O ADFS sozinho não é compatível com o desprovisionamento automático por meio da API do SCIM do Slack. Depois que um membro for desprovisionado no IDP, certifique-se de desativá-lo também no Slack se você não tiver implementado uma solução de provisionamento de SCIM fora do ADFS.


Etapa 1: configurar o ADFS para Slack

Criar um novo usuário de confiança

  1. Entre no servidor onde o ADFS foi instalado. Se precisar de ajuda para implementar o ADFS, consulte este guia.
  2. Abra o console de gerenciamento do ADFS, selecione Relações de confiança e, em seguida, Usuários de confiança na árvore de console à esquerda.
  3. Clique em Adicionar usuário de confiança no menu de ação à direita.
  4. Na etapa Selecionar fonte de dados, marque a opção Inserir dados sobre o usuário de confiança manualmente.  Selecione a etapa Fonte de Dados, com a opção selecionada de inserir os dados sobre o usuário de confiança manualmente
  5. Em seguida, especifique o nome exibido da solicitação na guia Especificar nome para exibição. Sugerimos algo como Nome da empresa - Slack. Se quiser, adicione comentários.
  6. Na guia Escolher perfil, selecione Perfil ADFS.
  7. Na aba Configurar certificado, não altere as configurações padrão.
  8. Na guia Configurar URL, selecione a caixa Habilitar suporte para o protocolo WebSSO do SAML 2.0 e insira o ponto de extremidade de serviço SAML

    •  Plano Business+:
    https://yourdomain.slack.com/sso/saml
    •  Enterprise Grid: https://yourdomain.enterprise.slack.com/sso/saml
    Na etapa Configurar URL, com a opção selecionada de habilitar suporte para o protocolo WebSSO do SAML 2.0
  9. Na guia Configurar identificadores, digite https://slack.com e clique em Adicionar. Observação: Se você decidir especificar uma URL do workspace exclusiva https://[workspacename].slack.com), o valor deverá ser o mesmo que está no campo Emissor do provedor de serviços no Slack.
  10. Adicione autenticação multifator opcional.
  11. Selecione Permitir que todos os usuários acessem este usuário confiável, depois clique em Próximo e confira as configurações
  12. Marque a opção Abrir a caixa de diálogo Editar regras de declaração ao fechar o assistente e selecione Fechar.
  13. Em seguida, você criará regras ou solicitações de declaração para o usuário de confiança: neste caso, o workspace Slack ou o Enterprise Grid. O Slack só recebe atributos e valores para tipos de solicitações de saída, então a lista de atributos pode ser diferente. Lembre-se, você precisará de duas solicitações: uma para Atributos Slack e outra para NameID.
  14. Clique em Adicionar regra.
    Lista de regras para os Atributos Slack e NameID, com botões para adicionar, editar ou remover regra
  15. Crie uma regra para enviar atributos LDAP como solicitações. Apenas o tipo de solicitação de saída User.Email é necessário, mas também é bom incluir first_name, last_name, e User.Username. Lembre-se, os tipos de solicitação de saída diferenciam minúsculas de maiúsculas. 

    Observação: o valor indicado para User.Username é correspondente a um nome de usuário. Esse valor deve ser exclusivo para cada usuário e não deve ser reutilizado.
    Configure a etapa Reivindicar regra, mostrando uma lista de atributos LDAP e Tipos de reivindicações de saída
  16. Em seguida, crie outra regra para transformar uma solicitação recebida.
  17. Abra a regra de solicitação obrigatória NameID e altere o formato da ID de nome de saída para Persistent Identifier. Em seguida, clique em OK para salvar.
    Regra de reivindicar NameID, mostrando menus suspensos para tipo de reivindicação de entrada e tipo de reivindicação de saída

Observação: se decidir assinar o AuthnRequest no Slack, você precisará fazer upload do certificado gerado pelo Slack na guia Assinatura no ADFS. Você também precisará selecionar o algoritmo de hash seguro SHA-1 na aba Avançado


Etapa 2: integrar o Slack ao seu IdP

Plano Business+

Enterprise Grid do Slack

Em seguida, adicione os dados do ADFS às configurações de autenticação do workspace Slack:

  1. No computador, clique no nome do workspace na parte superior à esquerda.
  2. No menu, selecione Configurações e administração. Depois clique em Configurações do workspace.
  3. Clique em Autenticação e em Configurar ao lado de Autenticação SAML (OneLogin, Okta ou sua solução personalizada do SAML 2.0).
  4. Insira a URL do ponto de extremidade SAML 2.0 (ponto de extremidade da URL SAML 2.0/W-Federation). A instalação padrão é /adfs/ls/.
    URL de SSO do SAML e caixa de texto com URL inserida
  5. Insira o emissor do provedor de identidade. Se você tiver dúvidas sobre esses pontos de extremidade, execute PS C:/> Get-AdfsEndpoint no Powershell, no dispositivo onde o ADFS está instalado.Emissor do Provedor de Identidade e caixa de texto com ID de Entidade IdP para o serviço que você utiliza inserido
  6. Na guia Criptografia do ADFS, copie todo o certificado de assinatura de token x.509 e cole no campo Certificado público. Guia Criptografia do ADFS com o campo token-signing selecionado
  7. Para configurar mais de um usuário de confiança no Slack, expanda o menu Opções avançadas.
  8. Além de AuthnContextClass Ref, escolha PasswordProtectedTransport and windows (use with ADFS for internal/external authentication). Em seguida, insira o emissor do provedor de serviços exclusivo. Ele deve ser igual ao identificador do usuário de confiança no ADFS.
    Opções avançadas com o menu suspenso AuthnContextClass Ref aberto
  9. Clique em Salvar.

Em seguida, será necessário adicionar os dados do ADFS às configurações de autenticação da organização Enterprise Grid:

  1. No computador, clique no nome do workspace na parte superior à esquerda.
  2. Selecione Configurações e administração no menu e, em seguida, clique em Configurações da organização.
  3. Na barra lateral esquerda, clique em  Segurança. Em seguida, selecione Configurações de SSO.
  4. Insira a URL do ponto de extremidade SAML 2.0 (ponto de extremidade da URL SAML 2.0/W-Federation). A instalação padrão é /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Insira o emissor do provedor de identidade. Se você tiver dúvidas sobre esses pontos de extremidade, execute PS C:/> Get-AdfsEndpoint no Powershell, no dispositivo onde o ADFS está instalado.Identity_Provider_Issuer__grid_.png
  6. No campo Certificado público, copie e cole todo o seu certificado x.509. adfs_clint.png
  7. É possível configurar mais de um usuário de confiança no Slack. Em AuthnContextClass Ref, selecione PasswordProtectedTransport e windows (use com ADFS para autenticação interna/externa).
  8. Insira o emissor do provedor de serviços. Ele deve ser igual ao identificador do usuário de confiança no ADFS.
    service_provider_issuer
  9. Clique em Salvar alterações.

Observação: estamos aqui para ajudar você a solucionar problemas durante a configuração, mas nem sempre podemos garantir que sua conexão funcionará com o Slack. Leia o artigo Solução de problemas de autorização SAML ou escreva para nós e faremos tudo o que for possível para ajudar.

Quem pode usar este recurso?
  • Proprietários de workspaces e proprietários de organizações
  • Business+Enterprise Grid