Esercitazione: Integrazione dell'accesso Single Sign-On di Azure AD con Slack

  • Articolo

Questa esercitazione descrive come integrare Slack con Azure Active Directory (Azure AD). Integrando Slack con Azure AD, è possibile:

  • Controllare in Azure AD chi può accedere a Slack.
  • Abilitare gli utenti per l'accesso automatico a Slack con gli account Azure AD personali.
  • Gestire gli account in un'unica posizione centrale: il portale di Azure.

Prerequisiti

Per iniziare, sono necessari gli elementi seguenti:

  • Una sottoscrizione di Azure AD. Se non si ha una sottoscrizione, è possibile ottenere un account gratuito.
  • Sottoscrizione di Slack abilitata per l'accesso Single Sign-On (SSO).

Nota

Se è necessario eseguire l'integrazione con più di un'istanza di Slack in un tenant, l'identificatore di ogni applicazione può essere una variabile.

Nota

È possibile usare questa integrazione anche dall'ambiente cloud US Government di Azure AD. Questa applicazione è disponibile nella raccolta di applicazioni cloud US Government di Azure AD e la procedura di configurazione è analoga a quella eseguita dal cloud pubblico.

Descrizione dello scenario

In questa esercitazione vengono eseguiti la configurazione e il test dell'accesso Single Sign-On di Azure AD in un ambiente di test.

  • Slack supporta l'accesso SSO avviato da SP (provider di servizi ).
  • Slack supporta il provisioning utenti JIT .
  • Slack supporta il provisioning utenti automatizzato.

Nota

Dal momento che l'identificatore di questa applicazione è un valore stringa fisso, è possibile configurare una sola istanza in un solo tenant.

Per configurare l'integrazione di Slack in Azure AD, è necessario aggiungere Slack dalla raccolta all'elenco di app SaaS gestite.

  1. Accedere al portale di Azure con un account aziendale o dell'istituto di istruzione oppure con un account Microsoft personale.
  2. Nel riquadro di spostamento a sinistra selezionare il servizio Azure Active Directory.
  3. Passare ad Applicazioni aziendali e quindi selezionare Tutte le applicazioni.
  4. Per aggiungere una nuova applicazione, selezionare Nuova applicazione.
  5. Nella sezione Aggiungi dalla raccolta digitare Slack nella casella di ricerca.
  6. Selezionare Slack nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.

In alternativa, è anche possibile usare la Creazione guidata Configurazione app organizzazione. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché eseguire la configurazione dell'accesso Single Sign-On. Altre informazioni sulle procedure guidate di Office 365 sono disponibili qui.

Configurare e testare l'accesso Single Sign-On di Azure AD per Slack

Configurare e testare l'accesso SSO di Azure AD con Slack usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Azure AD e l'utente correlato in Slack.

Per configurare e testare l'accesso SSO di Azure AD con Slack, seguire questa procedura:

  1. Configurare l'accesso Single Sign-On di Azure AD : per consentire agli utenti di usare questa funzionalità.
    1. Creare un utente di test di Azure AD : per testare l'accesso Single Sign-On di Azure AD con l'utente B.Simon.
    2. Assegnare l'utente di test di Azure AD : per abilitare B.Simon all'uso dell'accesso Single Sign-On di Azure AD.
  2. Configurare l'accesso Single Sign-On di Slack : per configurare le impostazioni di Single Sign-On sul lato applicazione.
    1. Creare l'utente di test di Slack : per avere una controparte di B.Simon in Slack collegata alla rappresentazione dell'utente in Azure AD.
  3. Testare l'accesso Single Sign-On : per verificare se la configurazione funziona.

Configurare l'accesso SSO di Azure AD

Per abilitare l'accesso Single Sign-On di Azure AD nel portale di Azure, seguire questa procedura.

  1. Nella pagina di integrazione dell'applicazione Slack del portale di Azure individuare la sezione Gestione e selezionare Single Sign-On.

  2. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  3. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona Modifica (la penna) relativa a Configurazione SAML di base per modificare le impostazioni.

    Modificare la configurazione SAML di base

  4. Nella sezione Configurazione SAML di base immettere i valori per i campi seguenti:

    a. Nella casella di testo URL di accesso digitare un URL nel formato seguente: https://<DOMAIN NAME>.slack.com/sso/saml/start

    b. Nella casella di testo Identificatore (ID entità) digitare l'URL: https://slack.com

    c. Per URL di risposta immettere un URL in uno dei formati seguenti:

    URL di risposta
    https://<DOMAIN NAME>.slack.com/sso/saml
    https://<DOMAIN NAME>.enterprise.slack.com/sso/saml

    Nota

    Poiché questi non sono i valori reali, è necessario aggiornarli con l'URL di accesso e l'URL di risposta effettivi. Per ottenere tale valore, contattare il team di supporto clienti di Slack. È anche possibile fare riferimento ai modelli mostrati nella sezione Configurazione SAML di base del portale di Azure.

    Nota

    Il valore di Identificatore (ID entità) può essere una variabile se è necessario integrare più di un'istanza di Slack con il tenant. Usare il modello https://<DOMAIN NAME>.slack.com. In questo scenario è necessario associare anche un'altra impostazione in Slack usando lo stesso valore.

  5. L'applicazione Slack prevede un formato specifico per le asserzioni SAML. È quindi necessario aggiungere mapping di attributi personalizzati alla configurazione degli attributi del token SAML. Lo screenshot seguente mostra l'elenco degli attributi predefiniti.

    image

  6. Oltre quelli elencati in precedenza, l'applicazione Slack prevede il passaggio di altri attributi nella risposta SAML. Tali attributi sono indicati di seguito. Anche questi attributi vengono prepopolati, ma è possibile esaminarli in base ai requisiti. È necessario aggiungere anche l'attributo email. Se l'utente non ha un indirizzo di posta elettronica, eseguire il mapping di emailaddress e user.userprincipalname e di email a user.userprincipalname.

    Nome Attributo di origine
    emailaddress user.userprincipalname
    email user.userprincipalname

    Nota

    Per configurare la configurazione del provider di servizi (SP), è necessario fare clic su Espandi accanto a Opzioni avanzate nella pagina di configurazione SAML. Nella casella Service Provider Issuer (Autorità di certificazione del provider di servizi) immettere l'URL dell'area di lavoro. Il valore predefinito è slack.com.

  7. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare Certificato (Base64) e selezionare Scarica per scaricare il certificato e salvarlo nel computer.

    Collegamento di download del certificato

  8. Nella sezione Configura Slack copiare gli URL appropriati in base alle esigenze.

    Copiare gli URL di configurazione

Creare un utente di test di Azure AD

In questa sezione verrà creato un utente di test di nome B.Simon nel portale di Azure.

  1. Nel riquadro sinistro del portale di Azure selezionare Azure Active Directory, Utenti e quindi Tutti gli utenti.
  2. Selezionare Nuovo utente in alto nella schermata.
  3. In Proprietà utente seguire questa procedura:
    1. Nel campo Nome immettere B.Simon.
    2. Nel campo Nome utente immettere username@companydomain.extension. Ad esempio: B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
    4. Fare clic su Crea.

Assegnare l'utente di test di Azure AD

In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On di Azure concedendole l'accesso a Slack.

  1. Nel portale di Azure selezionare Applicazioni aziendali e quindi Tutte le applicazioni.

  2. Nell'elenco delle applicazioni selezionare Slack.

  3. Nella pagina di panoramica dell'app trovare la sezione Gestione e selezionare Utenti e gruppi.

  4. Selezionare Aggiungi utente e quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.

  5. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.

  6. Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".

  7. Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.

Configurare l'accesso Single Sign-On di Slack

  1. In un'altra finestra del Web browser accedere al sito aziendale di Slack come amministratore

  2. Fare clic sul nome dell'area di lavoro in alto a sinistra, quindi passare a Impostazioni & amministrazione ->Impostazioni area di lavoro.

    Screenshot di Configura accesso Single Sign-On Microsoft Azure AD.

  3. Nella sezione Impostazioni & autorizzazioni fare clic sulla scheda Autenticazione e quindi fare clic sul pulsante Configura nel metodo di autenticazione SAML.

    Screenshot di Configure Single Sign-On Team Settings (Configura l'accesso Single Sign-On In Team Settings).

  4. Nella finestra di dialogo Configura autenticazione SAML per Azure seguire questa procedura:

    Screenshot di Configurare l'accesso Single Sign-On nelle impostazioni di autenticazione SAML.

    a. In alto a destra attivare o disattivare la modalità test .

    b. Nella casella di testo SAML SSO URL (URL SSO SAML) incollare il valore di URL di accesso copiato dal portale di Azure.

    c. Nella casella di testo Identity provider issuer (Autorità di certificazione provider di identità) incollare il valore di Identificatore Azure Ad copiato da portale di Azure.

    d. Aprire il certificato scaricato nel Blocco note, copiarne il contenuto negli Appunti e incollarlo nella casella di testo Certificato pubblico.

  5. Espandere le opzioni Avanzate ed eseguire i passaggi seguenti:

    Screenshot di Configura opzioni avanzate Single Sign-On Sul lato app.

    a. Se è necessaria una chiave di crittografia end-to-end, selezionare la casella Firma AuthnRequest per visualizzare il certificato.

    b. Immettere https://slack.com nella casella di testo Autorità di certificazione del provider di servizi .

    c. Scegliere la modalità di firma della risposta SAML dal provider di identità dalle due opzioni.

  6. In Impostazioni decidere se i membri possono modificare le informazioni del profilo(ad esempio il relativo indirizzo di posta elettronica o nome visualizzato) dopo l'abilitazione dell'accesso Single Sign-On. È anche possibile scegliere se l'accesso Single Sign-On è obbligatorio, parzialmente obbligatorio o facoltativo.

    Screenshot di Configure Save configuration single sign-on On On App Side.Screenshot of Configure Save configuration single sign-on On On App Side.Screenshot of Configure Save configuration single sign-on On On App Side

  7. Fare clic su Salva configurazione.

    Nota

    Se si vuole integrare più di un'istanza di Slack con Azure AD, impostare https://<DOMAIN NAME>.slack.com su Service provider issuer (Autorità di certificazione del provider di servizi) in modo che possa essere associata all'impostazione Identificatore dell'applicazione di Azure.

Creare l'utente di test di Slack

Questa sezione descrive come creare un utente di nome B.Simon in Slack. Slack supporta il provisioning JIT, abilitato per impostazione predefinita. Non è necessario alcun intervento dell'utente in questa sezione. Durante un tentativo di accesso a Slack viene creato un nuovo utente, se non esiste ancora. Slack supporta anche il provisioning utenti automatico; qui è possibile trovare altre informazioni su come configurare il provisioning utenti automatico.

Nota

Per creare un utente manualmente, è necessario contattare il team di supporto di Slack.

Nota

Azure AD Connect è lo strumento capace di sincronizzare le identità di Active Directory locali con Azure AD. Questi utenti sincronizzati possono quindi usare le applicazioni come gli altri utenti del cloud.

Testare l'accesso SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Azure AD con le opzioni seguenti.

  • Fare clic su Test this application (Testa questa applicazione) nel portale di Azure. Verrà eseguito il reindirizzamento all'URL di accesso di Slack, in cui è possibile avviare il flusso di accesso.

  • Passare direttamente all'URL di accesso di Slack e avviare il flusso di accesso da questa posizione.

  • È possibile usare App personali Microsoft. Quando si fa clic sul riquadro di Slack in App personali, verrà eseguito il reindirizzamento all'URL di accesso di Slack. Per altre informazioni su App personali, vedere l'introduzione ad App personali.

Passaggi successivi

Dopo aver configurato Slack, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.