Собственный единый вход на основе SAML

Если у вашего поставщика удостоверений нет соединителя для Slack, можно использовать собственное подключение SAML.

Примечание. Мы будем рады помочь с настройкой, но не можем гарантировать, что это подключение будет работать со Slack. Прочтите статью Устранение неполадок с авторизацией на основе SAML или напишите нам, и мы сделаем все, что в наших силах.


Параметры

Задайте эти параметры, чтобы настроить собственное подключение SAML.

Добавление пользователей

  • Slack поддерживает процедуры, инициируемые поставщиком удостоверений (IDP) и поставщиком услуг (SP), добавление пользователей при регистрации и автоматическое добавление пользователей посредством API SCIM.
  • Для единого входа, инициируемого SP, перейдите по адресу https://yourdomain.slack.com.

Обратный URL-адрес SSO

  • https://yourdomain.slack.com/sso/saml
    (Также известен под названием «URL-адрес службы обработчика утверждений».)

ИД организации

  • https://slack.com

Конечная точка выхода SAML

  •  https://yourdomain.slack.com/sso/saml/logout  

Обратите внимание: Slack не поддерживает единый выход или настройки продолжительности сеанса на уровне IDP.

Особенности

  • Slack поддерживает привязку HTTP POST, а не HTTP REDIRECT. Привязки HTTP POST следует настраивать в метаданных IDP.
  • Ваш IDP должен обеспечить аутентификацию и авторизацию пользователя, прежде чем отправлять утверждение. Если пользователь не авторизован, утверждения отправлять не следует. Рекомендуется, чтобы ваш поставщик удостоверений перенаправлял пользователей на страницу HTTP 403 или аналогичную.


Необходимые настройки

NameID (обязательно)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Ваш уникальный идентификатор</saml:NameID>
</saml:Subject>

Примечание. Чтобы соответствовать спецификациям SAML, параметр NameID должен быть уникальным, псевдослучайным и не меняться в дальнейшем для данного пользователя, как идентификационный номер сотрудника.

Атрибут Email (обязательно)

 <saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>


Атрибут Username (необязательно)

 <saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>


Атрибут First Name (необязательно)

<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>


Атрибут Last Name (необязательно)

  <saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>


Сертификаты

Общедоступный сертификат

Slack требует, чтобы ответ SAML был подписан, и для проверки вашей личности необходимо вставить действительный сертификат X.509 .pem. Он отличается от сертификата SSL.

Ключ межабонентского шифрования 

Если для вашего IDP требуется ключ межабонентского шифрования, нажмите кнопку Дополнительные параметры в настройках SSO рабочего пространства, чтобы найти сертификат. Затем можно установить флажок Подписывать AuthnRequest, чтобы показать открытый ключ шифрования Slack.

Примечание. Если вы хотите подключить свой экземпляр служб федерации Active Directory (ADFS), дополнительные сведения см. в статье Единый вход с использованием ADFS.

Кто может использовать эту возможность?
  • Доступ к этой возможности есть только у владельцев рабочего пространства.
  • Планы Business+ и Enterprise Grid