Kurz: Konfigurace Slacku pro automatické zřizování uživatelů
Poznámka:
Integrace se Slackem s vlastní aplikací / BYOA se nepodporuje. Použití aplikace galerie, jak je popsáno v tomto kurzu, je podporováno. Aplikace galerie je přizpůsobená tak, aby fungovala se serverem SCIM v1 společnosti Slack.
Cílem tohoto kurzu je ukázat kroky, které je potřeba provést ve Slacku a Microsoft Entra ID k automatickému zřizování a rušení zřizování uživatelských účtů z Microsoft Entra ID do Slacku. Důležité podrobnosti o tom, co tato služba dělá, jak funguje, a nejčastější dotazy najdete v tématu Automatizace zřizování a rušení zřizování uživatelů pro aplikace SaaS pomocí Microsoft Entra ID.
Podporované funkce
- Vytváření uživatelů ve Slacku
- Odebírání uživatelů ve Slacku, když už nepotřebují přístup
- Zachování synchronizace atributů uživatele mezi ID Microsoft Entra a Slack
- Zřizování skupin a členství ve skupinách ve Slacku
- Jednotné přihlašování ke Slacku (doporučeno)
Požadavky
Scénář popsaný v tomto kurzu předpokládá, že již máte následující:
- Tenant Microsoft Entra.
- Jedna z následujících rolí: Application Správa istrator, Cloud Application Správa istrator nebo Application Owner.
- Tenanta Slacku s plánem Plus nebo lepším
- Uživatelský účet ve Slacku s oprávněními správce týmu
Poznámka:
Tato integrace je také dostupná pro použití z prostředí Microsoft Entra US Government Cloud. Tuto aplikaci najdete v Galerii cloudových aplikací Microsoft Entra US Government a nakonfigurujete ji stejným způsobem jako ve veřejném cloudu.
Krok 1: Plánování nasazení zřizování
- Seznamte se s fungováním služby zřizování.
- Zjistěte, kdo bude v rozsahu zřizování.
- Určete, jaká data se mají mapovat mezi ID Microsoft Entra a Slack.
Krok 2: Přidání Slacku z galerie aplikací Microsoft Entra
Přidejte Slack z galerie aplikací Microsoft Entra a začněte spravovat zřizování pro Slack. Pokud jste dříve nastavili Slack pro jednotné přihlašování, můžete použít stejnou aplikaci. Pro účely počátečního testování integrace však doporučujeme vytvořit samostatnou aplikaci. Další informace o přidání aplikace z galerie najdete tady.
Krok 3: Definujte, kdo bude v oboru zřizování
Služba zřizování Microsoft Entra umožňuje určit rozsah, který bude zřízen na základě přiřazení k aplikaci nebo na základě atributů uživatele nebo skupiny. Pokud se rozhodnete nastavit rozsah uživatelů, kteří se zřídí pro vaši aplikaci, na základě přiřazení, můžete k aplikaci přiřadit uživatele a skupiny pomocí následujících kroků. Pokud se rozhodnete nastavit rozsah uživatelů, kteří se zřídí, pouze na základě atributů jednotlivých uživatelů nebo skupin, můžete použít filtr rozsahu, jak je popsáno tady.
Začněte v malém. Než se pustíte do zavádění pro všechny, proveďte testování s malou skupinou uživatelů a skupin. Pokud je rozsah zřizování nastavený na přiřazené uživatele a skupiny, můžete testování provést tak, že k aplikaci přiřadíte jednoho nebo dva uživatele nebo skupiny. Pokud je rozsah nastavený na všechny uživatele a skupiny, můžete určit filtr rozsahu na základě atributů.
Pokud potřebujete další role, můžete aktualizovat manifest aplikace a přidat nové role.
Krok 4: Konfigurace automatického zřizování uživatelů pro Slack
Tato část vás provede propojením ID Microsoft Entra s rozhraním API pro zřizování uživatelských účtů Slack a konfigurací služby zřizování pro vytvoření, aktualizaci a zakázání přiřazených uživatelských účtů ve Slacku na základě přiřazení uživatele a skupiny v Microsoft Entra ID.
Konfigurace automatického zřizování uživatelských účtů pro Slack v Microsoft Entra ID:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
Přejděte k podnikovým aplikacím identit>>
V seznamu aplikací vyberte Slack.
Vyberte kartu Zřizování.
Nastavte Režim zřizování na hodnotu Automaticky.
V části Přihlašovací údaje správce klikněte na Autorizovat. Tím se v novém okně prohlížeče otevře dialogové okno pro autorizaci ve Slacku.
V novém okně se přihlaste ke Slacku pomocí svého účtu správce týmu. Ve výsledném dialogovém okně pro autorizaci vyberte tým Slacku, pro který chcete povolit zřizování, a pak vyberte Authorize (Autorizovat). Po dokončení se vraťte na Azure Portal a dokončete konfiguraci zřizování.
Vyberte testovací Připojení ion a ujistěte se, že se ID Microsoft Entra může připojit k vaší aplikaci Slack. Pokud připojení selže, ujistěte se, že váš účet Slacku má oprávnění správce týmu, a zkuste znovu provést krok autorizace.
Do pole Oznamovací e-mail zadejte e-mailovou adresu osoby nebo skupiny, na kterou by se měla odesílat oznámení o chybách zřizování, a zaškrtněte políčko Když dojde k selhání, poslat oznámení e-mailem.
Zvolte Uložit.
V části Mapování vyberte Synchronizovat uživatele Microsoft Entra do Slacku.
V části Mapování atributů zkontrolujte atributy uživatele, které budou synchronizovány z ID Microsoft Entra do Slack. Mějte na paměti, že atributy vybrané jako odpovídající vlastnosti se budou používat k porovnávání uživatelských účtů ve Slacku pro účely operací aktualizace. Výběrem tlačítka Uložit potvrďte provedené změny.
| Atribut | Typ |
|---|---|
| active | Logická hodnota |
| externalId | String |
| displayName | String |
| name.familyName | String |
| name.givenName | String |
| title | String |
| emails[type eq "work"].value | String |
| userName | String |
| nickName | String |
| addresses[type eq "untyped"].streetAddress | String |
| addresses[type eq "untyped"].locality | String |
| addresses[type eq "untyped"].region | String |
| addresses[type eq "untyped"].postalCode | String |
| addresses[type eq "untyped"].country | String |
| phoneNumbers[type eq "mobile"].value | String |
| phoneNumbers[type eq "work"].value | String |
| roles[primary eq "True"].value | String |
| národní prostředí | String |
| name.honorificPrefix | String |
| photos[type eq "photo"].value | String |
| profileUrl | String |
| timezone | String |
| userType | String |
| preferredLanguage | String |
| urn:scim:schemas:extension:enterprise:1.0.department | String |
| urn:scim:schemas:extension:enterprise:1.0.manager | Reference |
| urn:scim:schemas:extension:enterprise:1.0.employeeNumber | String |
| urn:scim:schemas:extension:enterprise:1.0.costCenter | String |
| urn:scim:schemas:extension:enterprise:1.0.organization | String |
| urn:scim:schemas:extension:enterprise:1.0.division | String |
V části Mapování vyberte Synchronizovat skupiny Microsoft Entra do Slacku.
V části Mapování atributů zkontrolujte atributy skupiny, které se budou synchronizovat z ID Microsoft Entra do Slacku. Mějte na paměti, že atributy vybrané jako odpovídající vlastnosti se budou používat k porovnávání skupin ve Slacku pro účely operací aktualizace. Výběrem tlačítka Uložit potvrďte provedené změny.
Atribut Typ displayName String členové Reference Pokud chcete nakonfigurovat filtry rozsahu, postupujte podle pokynů uvedených v kurzu k filtrům rozsahu.
Pokud chcete povolit službu zřizování Microsoft Entra pro Slack, změňte stav zřizování na Zapnuto v části Nastavení.
Výběrem požadovaných hodnot v nabídce Rozsah v části Nastavení definujte uživatele nebo skupiny, které chcete ve Slacku zřídit.
Jakmile budete připraveni na zřízení, klikněte na Uložit.
Tato operace zahájí cyklus počáteční synchronizace všech uživatelů a skupin definovaných v nabídce Rozsah v části Nastavení. Počáteční cyklus trvá déle než následné cykly, ke kterým dochází přibližně každých 40 minut, pokud je spuštěná služba zřizování Microsoft Entra.
Krok 5: Monitorování nasazení
Po dokončení konfigurace zřizování můžete své nasazení monitorovat pomocí následujících prostředků:
- S využitím protokolů zřizování můžete zjistit, kteří uživatelé se zřídili úspěšně a kteří neúspěšně.
- Pokud chcete zjistit, jaký je stav cyklu zřizování a jak blízko je dokončení, zkontrolujte indikátor průběhu.
- Pokud se zdá, že konfigurace zřizování není v pořádku, aplikace přejde do karantény. Další informace o stavech karantény najdete tady.
Tipy na řešení potíží
Při konfiguraci atributu displayName Slacku mějte na paměti následující chování:
Hodnoty nejsou zcela jedinečné (například 2 uživatelé můžou mít stejný zobrazovaný název).
Podporují se neanglické znaky, mezery a velká písmena.
Povolená interpunkce zahrnuje tečky, podtržítka, pomlčky, apostrofy, hranaté závorky (například
( [ { } ] )) a oddělovače (například, / ;).Vlastnost displayName nesmí obsahovat znak @. Pokud obsahuje znak @, může se v protokolech zřizování zobrazit přeskočená událost s popisem AttributeValidationFailed.
Aktualizuje se pouze v případě, že jsou v pracovišti nebo organizaci Slacku nakonfigurovaná tato dvě nastavení – Synchronizace profilů je povolená a Uživatelé nemůžou změnit své zobrazované jméno.
Hodnota atributu userName Slacku musí být jedinečná a kratší než 21 znaků.
Slack umožňuje porovnávání pouze s atributy userName a email.
Běžné kódy chyb jsou zdokumentované v oficiální dokumentaci ke Slacku – https://api.slack.com/scim#errors
Protokol změn
- 16. 6. 2020 – Úprava atributu DisplayName tak, aby se aktualizoval pouze při vytvoření nového uživatele
Další materiály
- Správa zřizování uživatelských účtů pro podnikové aplikace
- Co je přístup k aplikacím a jednotné přihlašování pomocí Microsoft Entra ID?