Единый вход на основе SAML

Единый вход (SSO) на основе SAML дает участникам возможность получать доступ к Slack через выбранного поставщика удостоверений (IDP).

Примечание. Если возникли проблемы с настройкой единого входа на основе SAML, см. статью Устранение проблем с авторизацией на основе SAML.

Совет. Владельцы рабочего пространства и владельцы организаций могут обходить аутентификацию SSO. Для этого нужно перейти по ссылке в нижней части страницы входа в систему и ввести адрес электронной почты и пароль. Это гарантирует доступ к рабочему пространству или организации даже в случае проблем у IDP.


Шаг 1. Настройка поставщика удостоверений

Чтобы начать работу, необходимо настроить соединение (или соединитель) для Slack в системе IDP. Многие поставщики, с которыми мы сотрудничаем, создали страницы справки по активации SAML для Slack:

Примечание. Мы также предлагаем руководства по настройке собственного единого входа на основе SAMLединого входа с использованием G Suite или единого входа с использованием ADFS.


Шаг 2. Настройка единого входа на основе SAML для Slack

План Business+

План Enterprise Grid

После настройки поставщика удостоверений (IDP) владелец рабочего пространства может включить SSO.

  1. На компьютере нажмите имя рабочего пространства в левом верхнем углу.
  2. Выберите в меню вариант Настройки и администрирование, а затем нажмите Настройки рабочего пространства.
  3. Перейдите на вкладку Аутентификация.
  4. Рядом с пунктом Аутентификация SAML нажмите Настроить.
  5. В правом верхнем углу включите режим Тест.
  6. В пункте URL-адрес единого входа SAML введите URL-адрес конечной точки SAML 2.0(HTTP), который вы получили при настройке соединителя. Если выбран поставщик Okta, по желанию вместо этого адреса можно использовать URL-адрес IDP.
  7. В пункте Издатель поставщика удостоверений введите свой ИД субъекта IDP
  8. Скопируйте полностью сертификат x.509 от поставщика удостоверений и вставьте его в поле Общедоступный сертификат.
  9. Рядом с пунктом Дополнительные параметры нажмите Развернуть. Выберите способ подписи ответа SAML от вашего IdP. Если нужен ключ межабонентского шифрования, установите флажок Подписывать AuthnRequest, чтобы показать сертификат.
  10. В разделе Настройки укажите, смогут ли участники редактировать информацию в своем профиле (например, адрес электронной почты или отображаемое имя) после включения единого входа. Можно также выбрать, будет ли единый вход обязательным, отчасти обязательным* или необязательным.
  11. В разделе Настроить заполните Подпись кнопки входа.
  12. Для завершения процедуры нажмите Сохранить конфигурацию.

* Если предусмотрены гостевые аккаунты, рекомендуется выбрать для SSO вариант «ограниченно обязательно», чтобы гости могли входить в систему по своему адресу электронной почты и паролю.

После настройки поставщика удостоверений владелец организации может включить SSO для организации с планом Enterprise Grid.

  1. На компьютере нажмите имя рабочего пространства в левом верхнем углу.
  2. Выберите в меню вариант Настройки и администрирование, а затем нажмите Настройки организации.
  3. В левой боковой панели нажмите Безопасность
  4. Нажмите Настройки единого входа.
  5. Введите URL-адрес конечной точки SAML 2.0, который вы получили при настройке соединителя. На этот адрес Slack будет отправлять запросы на аутентификацию.
  6. Введите URL-адрес издателя поставщика удостоверений (его также называют «ИД субъекта»). 
  7. В поле URL-адрес поставщика услуг (отправителя) по умолчанию указывается адрес https://slack.com. Значение в этом поле должно совпадать с настройками IDP.
  8. Скопируйте полностью сертификат x.509 от поставщика удостоверений.
  9. Выберите, нужна ли подпись для ответов и утверждений SAML. Если нужен ключ межабонентского шифрования для IDP, установите флажок Подписывать AuthnRequest, чтобы показать сертификат. Можно также выбрать настройку для значений AuthnContextClassRef.
  10. Нажмите Протестировать конфигурацию. Мы сообщим, корректны ли внесенные изменения или требуются дополнительные правки.
  11. Когда будете готовы, нажмите Включить единый вход.

Совет.  После настройки SSO узнайте, как подключать группы IDP к рабочим пространствам в своей организации.


Что произойдет после включения SSO

После настройки SSO все участники вашего рабочего пространства или организации получат электронное письмо. В этом письме участникам будет предложено привязать свои аккаунты Slack к вашему IDP. Участники должны будут сделать это в течение 72 часов. По истечении этого срока ссылка деактивируется.

Участники, уже вошедшие в систему на момент активации SSO, останутся подключенными. В дальнейшем все участники будут входить в Slack с использованием своих аккаунтов IDP. Если единый вход обязателен, участники будут попадать на страницу входа, прежде чем получить доступ к вашему рабочему пространству.

Совет. Slack поддерживает стандарт добавления пользователей SCIM, что упрощает управление участниками. Подробнее — статье Управление участниками на основе SCIM.

Кто может использовать эту возможность?
  • Владельцы рабочего пространства и владельцы организации
  • Планы Business+ и Enterprise Grid