Единый вход на основе ADFS

Пользователь может интегрировать свой экземпляр служб федерации Active Directory (ADFS), чтобы упростить управление единым входом для участников.

Примечание. Компонент ADFS сам по себе не поддерживает автоматическое удаление пользователей через API SCIM в Slack. Удалив участника в поставщике учетных данных, не забудьте отключить его в Slack (если не реализовано решение добавления пользователей на основе SCIM вне ADFS).


Шаг 1. Настройка ADFS для Slack

Создание нового отношения доверия с проверяющей стороной

  1. Войдите на сервер, на котором установлен компонент ADFS. Если нужна помощь в развертывании ADFS, ознакомьтесь с этим руководством.
  2. Откройте консоль управления ADFS и выберите в левом дереве консоли Отношения доверия, а затем Отношения доверия с проверяющей стороной.
  3. В правом меню «Действия» нажмите Добавить отношение доверия с проверяющей стороной.
  4. На этапе Выберите источник данных включите параметр Ввод данных о проверяющей стороне вручную.  Шаг «Выберите источник данных» с выбранной вручную опцией указания данных об отвечающей стороне
  5. Затем задайте отображаемое имя для своего приложения на вкладке Укажите отображаемое имя. Предлагаем создать имя по принципу Название компании — Slack. Добавьте любые нужные примечания (необязательно).
  6. На вкладке Выберите профиль выберите Профиль ADFS.
  7. На вкладке Настройка сертификата оставьте настройки сертификата без изменений.
  8. На вкладке Настройка URL-адреса установите флажок Включить поддержку протокола SAML 2.0 WebSSO и введите конечную точку службы SAML

    • План Business+:
    https://yourdomain.slack.com/sso/saml
    • Enterprise Grid: https://yourdomain.enterprise.slack.com/sso/saml
    Шаг конфигурации URL-адреса с опцией активации поддержки выбранного протокола SAML 2.0 WebSSO
  9. На вкладке Настройка идентификаторов введите https://slack.com и нажмите Добавить. Примечание. Если вы хотите задать уникальный URL-адрес рабочего пространства (https://[workspacename].slack.com), обязательно введите это же значение в поле Издатель поставщика услуг в Slack.
  10. Добавьте многофакторную аутентификацию (необязательно).
  11. Выберите Разрешить доступ к этой проверяющей стороне всем пользователям, затем нажмите Далее и проверьте настройки.
  12. Включите параметр Открыть диалоговое окно «Изменить правила утверждений» для этого отношения доверия с проверяющей стороной после закрытия мастера и выберите Закрыть.
  13. Затем нужно создать правила, или утверждения, для отношений доверия с проверяющей стороной — в данном случае это рабочее пространство Slack или Enterprise Grid. Slack получает только атрибуты и значения типа исходящего утверждения, поэтому список атрибутов может отличаться. Обратите внимание, вам понадобятся два утверждения: одно для Атрибутов Slack, второе для NameID.
  14. Нажмите Добавить правило.
    Список правил для атрибутов Slack и NameID с кнопками для добавления, редактирования или удаления правила
  15. Создайте правило для отправки атрибутов LDAP в виде утверждений. Обязателен только тип исходящего утверждения User.Email, но можно также включить first_name, last_name, и User.Username. Не забывайте: типы исходящих утверждений чувствительны к регистру. 

    Примечание. Значение, отправленное для User.Username, будет соответствовать имени пользователя. Это значение должно быть уникальным для каждого пользователя и не может использоваться повторно.
    Шаг конфигурации правила утверждения со списком атрибутов LDAP и типов исходящих утверждений
  16. Затем создайте другое правило для преобразования входящего утверждения.
  17. Откройте обязательное правило утверждения NameID и измените формат ИД исходящего имени на Постоянный идентификатор. Затем нажмите ОК, чтобы сохранить изменения.
    Правило утверждения NameID с раскрывающимися меню для типа входящих утверждений и типа исходящих утверждений

Примечание. Если вы захотите подписывать AuthnRequest в Slack, нужно загрузить сформированный сертификат Slack на вкладку Подпись в ADFS. Кроме того, на вкладке Дополнительно нужно выбрать алгоритм SHA-1.


Шаг 2. Интеграция Slack и IDP

План Business+

Slack Enterprise Grid

Затем добавьте сведения ADFS в настройки аутентификации рабочего пространства Slack.

  1. На компьютере нажмите имя рабочего пространства в левом верхнем углу.
  2. Выберите в меню вариант Настройки и администрирование, а затем нажмите Настройки рабочего пространства.
  3. Перейдите на вкладку Аутентификация и нажмите Настроить рядом с пунктом «Аутентификация SAML» (OneLogin, Okta или собственное решение SAML 2.0).
  4. Введите URL-адрес конечной точки SAML 2.0 (URL-адрес конечной точки SAML 2.0/W-Federation). Установка по умолчанию — /adfs/ls/.
    URL-адрес единого входа SAML и текстовое поле с указанным URL-адресом
  5. Укажите издателя поставщика удостоверений. Если вы не уверены, какую конечную точку указать, выполните команду PS C:/> Get-AdfsEndpoint в Powershell на устройстве с установленным компонентом ADFS.Издатель поставщика удостоверений и текстовое поле с указанным ИД субъекта IdP для используемого вами сервиса
  6. На вкладке «Шифрование» в ADFS скопируйте целиком сертификат для подписи маркера x.509 и вставьте его в поле Открытый сертификат.Вкладка шифрования ADFS с выбранным полем подписи маркера
  7. Чтобы задать в Slack несколько отношений доверия с проверяющей стороной, разверните меню Дополнительные параметры.
  8. Рядом с опцией AuthnContextClass Ref выберите PasswordProtectedTransport and windows (использовать с ADFS для внутренней/внешней аутентификации). Затем укажите уникального издателя поставщика услуг. Он должен соответствовать идентификатору проверяющей стороны в ADFS.
    Дополнительные параметры с открытым раскрывающимся меню AuthnContextClass Ref
  9. Нажмите Сохранить.

Затем нужно добавить сведения ADFS в настройки аутентификации организации Enterprise Grid.

  1. На компьютере нажмите имя рабочего пространства в левом верхнем углу.
  2. Выберите в меню вариант Настройки и администрирование, затем нажмите Настройки рабочего пространства.
  3. На левой боковой панели нажмите  Безопасность, а затем выберите Настройки единого входа.
  4. Введите URL-адрес конечной точки SAML 2.0 (URL-адрес конечной точки SAML 2.0/W-Federation). Установка по умолчанию — /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Укажите издателя поставщика удостоверений. Если вы не уверены, какую конечную точку указать, выполните команду PS C:/> Get-AdfsEndpoint в Powershell на устройстве с установленным компонентом ADFS.Identity_Provider_Issuer__grid_.png
  6. В поле Открытый сертификат скопируйте полностью и вставьте сертификат x.509. adfs_clint.png
  7. В Slack можно настроить несколько отношений доверия с проверяющей стороной. Под заголовком AuthnContextClass Ref выберите PasswordProtectedTransport and windows (использовать с ADFS для внутренней/внешней аутентификации).
  8. Укажите уникального Издателя поставщика услуг. Он должен соответствовать идентификатору проверяющей стороны в ADFS.
    service_provider_issuer
  9. Нажмите Сохранить изменения.

Примечание. Мы будем рады помочь с настройкой, но не можем гарантировать, что это подключение будет работать со Slack. Прочтите статью Устранение неполадок с авторизацией на основе SAML или напишите нам, и мы сделаем все, что в наших силах.

Кто может использовать эту возможность?
  • Владельцы рабочего пространства и владельцы организации
  • Business+ и Enterprise Grid