Einmaliges Anmelden mit ADFS

Du kannst deine Active Directory Federation Services (ADFS)-Instanz integrieren, damit sich das Einmalige Anmelden für deine Team-Mitglieder nahtlos verwalten lässt.

Hinweis: ADFS allein unterstützt derzeit nicht das automatische Entziehen der Zugriffsrechte über die Slack-SCIM-API. Nachdem Mitgliedern in deinem IDP die Zugriffsrechte entzogen wurden, denke daran, sie in Slack manuell zu deaktivieren, wenn du keine SCIM-Bereitstellungslösung außerhalb von ADFS implementiert hast.


Schritt 1: ADFS für Slack einrichten

Erstellung einer neuen Vertrauensstellung der vertrauenden Seite

  1. Melde dich bei dem Server an, auf dem ADFS installiert ist. Wenn du bei der Bereitstellung von ADFS Hilfe brauchst, findest du in diesem Guide weitere Informationen.
  2. Öffne die Management-Konsole von ADFS und wähle Vertrauensstellungen. Gehe dann links zu Vertrauensstellungen der vertrauenden Seite.
  3. Klicke im Aktionsmenü auf der rechten Seite auf Vertrauensstellung der vertrauenden Seite hinzufügen.
  4. Schalte im Schritt Datenquelle auswählen die Option Daten über die vertrauende Seite manuell eingeben.  Schritt „Datenquelle auswählen“, wobei die Option, Daten über die vertrauende Seite manuell einzugeben, ausgewählt ist
  5. Gib anschließend auf der Registerkarte Anzeigename angeben den Anzeigenamen für deine Anwendung an. Wir empfehlen einen Namen wie Unternehmensname – Slack. Füge alle optionalen Notizen hinzu, die du benötigst.
  6. Wähle auf der Registerkarte Profil auswählen die Option ADFS-Profil aus.
  7. Verwende auf der Registerkarte Configure Certificate als Zertifikatseinstellungen die Standardauswahl.
  8. Wähle auf dem Tab URL konfigurieren das Dialogfeld Unterstützung für das SAML 2.0 WebSSO-Protokoll aus und gib den SAML-Service-Endpunkt ein

    •  Business+ Plan:
    https://yourdomain.slack.com/sso/saml
    •  Enterprise Grid: https://yourdomain.enterprise.slack.com/sso/saml
    Schritt „URL konfigurieren“, wobei die Option zur Aktivierung der Unterstützung für das SAML 2.0 WebSSO-Protokoll ausgewählt ist
  9. Gib auf dem Tab Bezeichner konfigurieren https://slack.com ein und klicke auf Hinzufügen. Hinweis: Wenn du eine eindeutige Workspace-URL angeben möchtest (https://[workspacename].slack.com), stelle bitte sicher, dass du den gleichen Wert in das Feld Service-Provider-Aussteller in Slack eingibst.
  10. Füge eine optionale Multi-Faktor-Authentifizierung hinzu.
  11. Wähle Permit all users to access this relying party aus, klicke dann auf Next und überprüfe deine Einstellungen.
  12. Stelle sicher, dass du die Option Dialogfeld Anspruchsregeln bearbeiten für diese Vertrauensstellung der vertrauenden Seite öffnen, wenn der Assistent geschlossen wird aktiviert hast und wähle anschließend Schließen.
  13. Anschließend erstellst du Regeln – oder Anspruchsregeln – für die Relying Party-Vertrauensstellung (in diesem Fall dein Slack-Workspace oder Enterprise Grid). Slack empfängt nur abgehende Anspruchstyp-Attribute und -Werte, daher kann die Liste mit den Attributen anders aussehen. Denk daran, dass du zwei Ansprüche brauchst: einen für Slack-Attribute und einen für NameID.
  14. Klicke auf Regel hinzufügen.
    Liste der Regeln für Slack-Attribute und NameID, mit Buttons zum Hinzufügen, Bearbeiten oder Entfernen von Regeln
  15. Erstelle eine Regel, um LDAP-Attribute als Ansprüche zu versenden. Es ist nur der ausgehende Anspruchstyp User.Email erforderlich. Du kannst aber auch first_name, last_name und User.Username einschließen. Bitte beachte, dass bei abgehenden Anspruchstypen Groß- und Kleinschreibung berücksichtigt werden muss. 

    Hinweis: Der für User.Username gesendete Wert entspricht dem Benutzernamen eines Benutzers. Stelle sicher, dass dieser Wert eindeutig für jeden Benutzer ist und nicht erneut verwendet wird.
    Schritt „Anspruchsregel konfigurieren“, der eine Liste von LDAP-Attributen und ausgehenden Anspruchstypen zeigt
  16. Erstelle anschließend eine weitere Regel, um einen eingehenden Anspruch umzuwandeln.
  17. Öffne die erforderliche NameID-Anspruchsregel und ändere das Format für die ausgehende Namens-ID in Persistent Identifier. Klicke dann auf OK, um die Einstellung zu speichern.
    NameID-Anspruchsregel, die Dropdown-Menüs für eingehende und ausgehende Anspruchstypen zeigt

Hinweis: Wenn du dich für die Signierung des AuthnRequest in Slack entscheidest, musst du das generierte Slack-Zertifikat in der Registerkarte Signatur in ADFS hochladen. Du musst auch sicherstellen, dass du den sicheren Hash-Algorithmus SHA-1 in der Registerkarte Advanced ausgewählt hast.


Schritt 2: Slack mit deinem Identitäts-Provider integrieren

Business+ Plan

Enterprise Grid von Slack

Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deines Slack-Workspace hinzu:

  1. Klicke auf dem Desktop in der Seitenleiste auf deinen Workspace-Namen.
  2. Wähle im Menü die Option Tools und Einstellungen aus und klicke dann auf Workspace-Einstellungen.
  3. Klicke auf den Tab Authentifizierung und anschließend auf Konfigurieren neben der SAML-Authentifizierung (OneLogin, Okta oder deine benutzerdefinierte SAML 2.0-Lösung).
  4. Gib deine SAML 2.0 Endpoint-URL ein (SAML 2.0/W-Federation URL-Endpunkt). Die Standardinstallation ist /adfs/ls/.
    SAML SSO-URL und Textfeld mit eingegebener URL
  5. Gib deinen Identitäts-Provider-Aussteller ein. Wenn du dir bei diesen Endpunkten nicht sicher bist, führe PS C:/> Get-AdfsEndpoint in Powershell auf dem Gerät aus, auf dem ADFS installiert ist.Identitäts-Provider-Aussteller und Textfeld mit eingegebener Entitäts-ID des IdP des verwendeten Service
  6. Kopiere aus dem Tab „Verschlüsselung“ von ADFS dein gesamtes x.509-Zertifikat zur Token-Signierung und füge es in das Feld Öffentliches Zertifikat ein.Tab „Verschlüsselung“ von ADFS mit ausgewähltem Feld „Token-Signierung“
  7. Wenn du mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten möchtest, zeige das Menü Erweiterte Optionen an.
  8. Wähle neben AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus. Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein. Dieser sollte mit deinem Bezeichner der vertrauenden Seite in ADFS übereinstimmen.
    Erweiterte Optionen mit geöffnetem AuthnContextClass Ref-Dropdown-Menü
  9. Klicke auf Speichern.

Füge als Nächstes ADFS-Details zu den Authentifizierungseinstellungen deiner Enterprise Grid-Organisation hinzu:

  1. Klicke auf dem Desktop in der Seitenleiste auf deinen Workspace-Namen.
  2. Wähle im Menü Tools und Einstellungen aus und klicke auf Organisationseinstellungen.
  3. Klicke in der linken Seitenleiste auf Sicherheit. Wähle dann Einstellungen für einmaliges Anmelden aus.
  4. Gib deine SAML 2.0 Endpoint-URL ein (SAML 2.0/W-Federation URL-Endpunkt). Die Standardinstallation ist /adfs/ls/.
    SAML_2.0_Endpoint_URL__Grid_.png
  5. Gib deinen Identitäts-Provider-Aussteller ein. Wenn du dir bei diesen Endpunkten nicht sicher bist, führe PS C:/> Get-AdfsEndpoint in Powershell auf dem Gerät aus, auf dem ADFS installiert ist.Identity_Provider_Issuer__grid_.png
  6. Kopiere dein komplettes x.509-Zertifikat in das Feld Öffentliches Zertifikat. adfs_clint.png
  7. Du kannst mehr als eine Vertrauensstellung der vertrauenden Seite mit Slack einrichten. Wähle unter AuthnContextClass Ref PasswordProtectedTransport and windows (use with ADFS for internal/external authentication) aus.
  8. Gib dann deinen eindeutig zuzuordnenden Service-Provider-Aussteller ein. Dieser sollte mit deinem Bezeichner der vertrauenden Seite in ADFS übereinstimmen.
    service_provider_issuer
  9. Klicke auf Änderungen speichern.

Hinweis: Wir helfen dir gern beim Einrichten weiter. Jedoch können wir leider nicht immer garantieren, dass deine Verbindung mit Slack funktioniert. Lies unseren Artikel zur Fehlerbehebung bei SAML-Autorisierungsfehlern oder sende uns eine Nachricht, und wir tun, was wir können!

Wer kann diese Funktion benutzen?
  • Workspace-Inhaberinnen und -Inhaber und Organisationsinhaberinnen und -inhaber
  • Business+ Pläne und Enterprise Grid-Pläne