ADFS 單次登入

你可以整合 Active Directory Federation Services (ADFS) 執行個體,以協助為成員提供流暢的單次登入。

備註:ADFS 本身並不支援透過 Slack SCIM API 自動取消佈建。在 IDP 中取消佈建成員後,如果你尚未在 ADFS 之外實作 SCIM 佈建解決方案,務必同時在 Slack 中停用成員。


步驟 1:設定 Slack 的 ADFS

建立新的依存方信任

  1. 登入安裝了 ADFS 的伺服器。如需部署 ADFS 上的協助,請查看本指南
  2. 開啟 ADFS 管理控制台,並選取信任關係,然後從左側的控制台樹中選取依存方信任
  3. 按一下右側動作功能表中的「新增依存方信任」。
  4. 選取資料來源步驟中,開啟手動輸入依存方資料的選項。Select_Data_Source_tab.png
  5. 接著,在指定顯示名稱標籤中指定應用程式的顯示名稱。建立將其取名為公司名稱 – Slack 之類的名稱。加入你可能需要的任何選用註記。
  6. 選擇個人檔案標籤中,選取 ADFS 個人檔案
  7. 設定認證標籤上,保留認證設定的預設值
  8. 設定網址標籤中,選取啟用 SAML 2.0 WebSSO 通訊協定的支援方塊並輸入 SAML 服務端點。 

    •  Business+ 方案:
    https://yourdomain.slack.com/sso/saml
    •  Enterprise Grid:https://yourdomain.enterprise.slack.com/sso/saml
    Configure_URL_tab.png
  9. 設定識別碼標籤中,輸入 https://slack.com,然後按一下「新增」。備註:如果你選擇要指定唯一的工作空間網址 (https://[workspacename].slack.com),務必將相同的值輸入 Slack 中的服務提供者核發者欄位。
  10. 新增選用的多因素認證
  11. 選取「允許所有使用者存取此依存方」,接著按一下「下一步」並檢閱設定
  12. 確定切換在精靈關閉時開啟此依存方信任的編輯宣告規則對話方塊,然後選取「關閉」。
  13. 接著你將為依存方信任建立規則或判斷提示宣告,在此例中為 Slack 工作空間或 Enterprise Grid。Slack 只會收到傳出的宣告類型屬性和值,因此屬性清單看起來可能不相同。請注意,你需要兩個宣告:一個用於 Slack 屬性,另一個用於 NameID
  14. 按一下「新增規則」。
    attributes_values
  15. 建立規則,將 LDAP 屬性作為宣告傳送。只需要傳出的宣告類型 User.Email,但你也可以加入 first_namelast_nameUser.Username。記住,傳出的宣告類型需區分大小寫。 

    備註:User.Username 的傳送值將對應至使用者的使用者名稱。請確定每位使用者的此數值都是唯一的,且不會重複使用。
    Add_rule_tab.png
  16. 接著,建立另一個規則,以轉移傳入的宣告。
  17. 開啟必要的 NameID 宣告規則,並將傳出的名稱 ID 格式變更為永久識別碼。接著按一下「確定」儲存。
    Edit_rule_tab.png

備註:如果你選擇在 Slack 中簽署 AuthnRequest,你需要將產生的 Slack 認證上傳至 ADFS 中的簽章標籤。你也需要確保已在進階標籤中選取加密雜湊演算法 SHA-1。


步驟 2:將 Slack 整合至 IDP

Business+ 方案

Slack Enterprise Grid

接著,將 ADFS 詳細資料新增至 Slack 工作空間的認證設定:

  1. 從桌面按一下左上角的工作空間名稱。
  2. 從功能表選取「設定與管理」,然後按一下「工作空間設定」。
  3. 按一下認證標籤,接著按一下 SAML 認證 (OneLogin、Okta 或你自訂的 SAML 2.0 解決方案) 旁的設定
  4. 輸入你的 SAML 2.0 端點網址 (SAML 2.0/W-Federation 網址端點)。預設安裝為 /adfs/ls/
    SAML_SSO_URL__plus_.png
  5. 輸入你的身分提供者核發者。如果你不確定這些端點,請在安裝了 ADFS 的裝置的 Powershell 上執行 PS C:/> Get-AdfsEndpointIdentity_ Pro vider_Issuer__Plus_.png
  6. 在 ADFS 的加密標籤上,複製整個權杖簽署的 x.509 認證並貼入公開認證欄位。adfs_clint.png
  7. 若要在 Slack 設定一個以上的依存方信任,請展開進階選項功能表。
  8. AuthnContextClass Ref 旁,選擇 Password Pro tectedTransport 和視窗 (搭配 ADFS 用於內部/外部認證)。然後輸入你唯一的服務提供者核發者。 其應符合你在 ADFS 中的依存方識別碼。
    service_provider
  9. 按一下「儲存

接著,你需要將 ADFS 詳細資料新增至 Enterprise Grid 組織的認證設定:

  1. 從桌面按一下左上角的工作空間名稱。
  2. 從功能表選取「設定與管理」,然後按一下「組織設定」。
  3. 在左側欄按一下  安全性,然後選取「SSO 設定」。
  4. 輸入你的 SAML 2.0 端點網址 (SAML 2.0/W-Federation 網址端點)。預設安裝為 /adfs/ls/
    SAML_2.0_Endpoint_URL__Grid_.png
  5. 輸入你的身分提供者核發者。如果你不確定這些端點,請在安裝了 ADFS 的裝置的 Powershell 上執行 PS C:/> Get-AdfsEndpointIdentity_ Pro vider_Issuer__grid_.png
  6. 公開認證欄位中,複製並貼上整個 x.509 認證。adfs_clint.png
  7. 你可在 Slack 中設定一個以上的依存方信任。在 AuthnContextClass Ref 下方,選擇 Password Pro tectedTransport 和視窗 (搭配 ADFS 用於內部/外部認證)。
  8. 輸入你唯一的服務提供者核發者。 其應符合你在 ADFS 中的依存方識別碼。
    service_provider_issuer
  9. 按一下「儲存變更」。

備註:我們很樂意協助你設定,但無法保證連線方式一定能與 Slack 搭配運作。若有問題,請參閱 SAML 授權錯誤疑難排解一文,或是傳送訊息給我們,我們將盡力提供協助。

誰可以使用此功能?
  • 工作空間擁有者組織擁有者
  • Business+Enterprise Grid 方案