Udostępnij za pośrednictwem


Konfigurowanie usługi Slack na potrzeby logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować usługę Slack z usługą Microsoft Entra ID. Po zintegrowaniu usługi Slack z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do usługi Slack.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do usługi Slack przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Subskrypcja aplikacji Slack z obsługą logowania jednokrotnego.

Uwaga

Jeśli musisz zintegrować z więcej niż jedną instancją usługi Slack w ramach jednej dzierżawy, identyfikator każdej aplikacji może być zmienną.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz SSO Microsoft Entra w środowisku testowym.

  • Slack obsługuje jednokrotne logowanie (SSO) inicjowane przez dostawcę usług.
  • Usługa Slack obsługuje aprowizowanie użytkowników "Just In Time".
  • Usługa Slack obsługuje automatyczną aprowizację użytkowników.

Uwaga

Identyfikator tej aplikacji jest stałym ciągiem znaków, dlatego w jednej dzierżawie można skonfigurować tylko jedno wystąpienie.

Aby skonfigurować integrację usługi Slack z usługą Microsoft Entra ID, musisz dodać usługę Slack z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodaj z galerii wpisz Slack w polu wyszukiwania.
  4. Wybierz pozycję Slack z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, podczas gdy aplikacja jest dodawana do Twojej dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o kreatorach Microsoft 365.

Konfiguracja i testowanie logowania jednokrotnego Microsoft Entra dla usługi Slack

Skonfiguruj i przetestuj Microsoft Entra SSO z usługą Slack przy użyciu użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem Slacka.

Aby skonfigurować i przetestować Microsoft Entra SSO z Slack, wykonaj następujące kroki:

  1. Skonfiguruj jednokrotne logowanie Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Utwórz użytkownika testowego Microsoft Entra — aby przetestować logowanie jednokrotne w Microsoft Entra przy użyciu B.Simon.
    2. Przypisz testowego użytkownika Microsoft Entra — aby umożliwić B.Simon korzystanie z jednokrotnego logowania Microsoft Entra.
  2. Konfigurowanie logowania jednokrotnego w usłudze Slack — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Tworzenie użytkownika testowego usługi Slack — aby mieć w usłudze Slack odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie Microsoft Entra SSO

Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Entra ID>Enterprise apps>Slack>Single sign-on (logowanie jednokrotne).

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę edycji/pióra dla pozycji Podstawowa konfiguracja protokołu SAML , aby edytować ustawienia.

    Zrzut ekranu przedstawiający sposób edytowania podstawowej konfiguracji protokołu SAML.

  5. W sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

    a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL: https://slack.com

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, używając jednego z następujących wzorców:

    Adres URL odpowiedzi
    https://<DOMAIN NAME>.slack.com/sso/saml
    https://<DOMAIN NAME>.enterprise.slack.com/sso/saml

    c. W polu tekstowym Adres URL logowania wpisz adres URL, używając jednego z następujących wzorców:

    Adres URL do logowania
    https://<DOMAIN>.slack.com
    https://<DOMAIN>.enterprise.slack.com

    Uwaga

    To nie są rzeczywiste wartości. Należy zaktualizować te wartości przy użyciu rzeczywistego adresu URL logowania i adresu URL odpowiedzi. Aby uzyskać wartość, skontaktuj się z zespołem pomocy technicznej usługi Slack . Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML .

    Uwaga

    Wartość dla Identyfikator (ID jednostki) może być zmienną, jeśli masz więcej niż jedno wystąpienie Slacka, które musisz zintegrować z klientem. Użyj wzorca https://<DOMAIN NAME>.slack.com. W tym scenariuszu musisz także sparować z innym ustawieniem w usłudze Slack, używając tej samej wartości.

  6. Aplikacja Slack oczekuje asercji SAML w określonym formacie, co wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych.

    Zrzut ekranu przedstawiający obraz konfiguracji atrybutów.

  7. Oprócz powyższych, aplikacja Slack oczekuje, że niektóre dodatkowe atrybuty zostaną zwrócone w odpowiedzi SAML, co pokazano poniżej. Te atrybuty są również wstępnie wypełnione, ale można je przejrzeć według swoich potrzeb.

    Zrzut ekranu przedstawiający wymagane oświadczenia.

  8. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź pozycję Certyfikat (Base64) i wybierz pozycję Pobierz , aby pobrać certyfikat i zapisać go na komputerze.

    Zrzut ekranu przedstawia link pobierania certyfikatu.

  9. W sekcji Konfigurowanie usługi Slack skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Zrzut ekranu pokazuje kopiowanie adresów URL konfiguracji.

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku "Szybki start: tworzenie i przypisywanie konta użytkownika" , aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfigurowanie logowania jednokrotnego usługi Slack

  1. W innym oknie przeglądarki internetowej zaloguj się do firmowej witryny usługi Slack jako administrator

  2. wybierz nazwę obszaru roboczego w lewym górnym rogu, a następnie przejdź do pozycji Ustawienia i administracja>Ustawienia obszaru roboczego.

    Zrzut ekranu przedstawiający konfigurowanie logowania jednokrotnego dla aplikacji Microsoft Entra ID.

  3. W sekcji Ustawienia i uprawnienia wybierz kartę Uwierzytelnianie , a następnie wybierz przycisk Konfiguruj w metodzie uwierzytelniania SAML.

    Zrzut ekranu z konfiguracją jednokrotnego logowania w ustawieniach zespołu.

  4. W oknie dialogowym Konfigurowanie uwierzytelniania SAML dla platformy Azure wykonaj następujące kroki:

    a. W prawym górnym rogu przełącz tryb testowy .

    b. W polu tekstowym SAML SSO URL wklej wartość Login URL.

    c. W polu tekstowym Wystawca dostawcy tożsamości wklej wartość Identyfikator Microsoft Entra.

    d. Otwórz pobrany plik certyfikatu w Notatniku, skopiuj jego zawartość do schowka, a następnie wklej ją w polu tekstowym Certyfikat publiczny .

  5. Rozwiń opcje zaawansowane i wykonaj poniższe kroki:

    Zrzut ekranu przedstawiający konfigurowanie opcji zaawansowanych logowania jednokrotnego po stronie aplikacji.

    a. Jeśli potrzebujesz kompleksowego klucza szyfrowania, zaznacz pole Sign AuthnRequest , aby wyświetlić certyfikat.

    b. Wprowadź https://slack.com w polu tekstowym Wystawca dostawcy usług.

    c. Wybierz sposób podpisania odpowiedzi SAML przez Twojego dostawcę tożsamości spośród dwóch opcji.

    Uwaga

    Aby skonfigurować konfigurację dostawcy usług (SP), musisz wybrać pozycję Rozwiń obok pozycji Opcje zaawansowane na stronie konfiguracji PROTOKOŁU SAML. W polu Usługodawca wystawca wprowadź adres URL obszaru roboczego. Wartość domyślna to slack.com.

    Uwaga

    Ustaw wartość AuthnContextClassRef na Nie wysyłaj tej wartości , aby rozwiązać problem z komunikatem o błędzie "Error — AADSTS75011 metoda uwierzytelniania, za pomocą której użytkownik uwierzytelniony w usłudze nie jest zgodny z żądaną metodą uwierzytelniania AuthnContextClassRef".

  6. W obszarze Ustawienia określ, czy członkowie mogą edytować swoje informacje o profilu (takie jak adres e-mail lub nazwa wyświetlana) po włączeniu logowania jednokrotnego. Możesz również wybrać, czy jednokrotne logowanie jest wymagane, częściowo wymagane, czy opcjonalne.

    Zrzut ekranu przedstawiający konfigurację ustawień zapisania logowania jednokrotnego po stronie aplikacji.

  7. Wybierz pozycję Zapisz konfigurację.

    Uwaga

    Jeśli masz więcej niż jedno wystąpienie Slacka, które trzeba zintegrować z Microsoft Entra ID, ustaw https://<DOMAIN NAME>.slack.com na Wystawca dostawcy usług, aby mogło zostać sparowane z ustawieniem Identyfikator aplikacji Azure.

Tworzenie użytkownika testowego usługi Slack

Celem tej sekcji jest utworzenie użytkownika o nazwie B.Simon w usłudze Slack. Usługa Slack obsługuje aprowizację typu just in time, która jest domyślnie włączona. Nie masz żadnych zadań do wykonania w tej sekcji. Nowy użytkownik jest tworzony podczas próby uzyskania dostępu do usługi Slack, jeśli jeszcze nie istnieje. Usługa Slack obsługuje również automatyczną aprowizację użytkowników. Więcej szczegółów można znaleźć tutaj , aby dowiedzieć się, jak skonfigurować automatyczną aprowizację użytkowników.

Uwaga

Jeśli musisz ręcznie utworzyć użytkownika, musisz skontaktować się z zespołem pomocy technicznej usługi Slack.

Uwaga

Microsoft Entra Connect to narzędzie do synchronizacji, które może synchronizować lokalne tożsamości usługi Active Directory z identyfikatorem Entra firmy Microsoft, a następnie synchronizowani użytkownicy mogą również używać aplikacji, podobnie jak inni użytkownicy w chmurze.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego (SSO) Microsoft Entra z następującymi opcjami.

  • Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do adresu URL logowania usługi Slack, w którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania usługi Slack i zainicjuj przepływ logowania z tego miejsca.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po wybraniu kafelka Slack w obszarze Moje aplikacje ta opcja przekierowuje do adresu URL logowania usługi Slack. Aby uzyskać więcej informacji na temat moich aplikacji, zobacz Introduction to the My Apps( Wprowadzenie do aplikacji My Apps).

Po skonfigurowaniu usługi Slack możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.