Automatize o provisionamento de usuários no Slack com o Microsoft Entra ID

Nota

A integração com o Slack com um aplicativo personalizado / BYOA não é suportada. Há suporte para o uso do aplicativo de galeria conforme descrito neste artigo. O aplicativo de galeria foi personalizado para funcionar com o servidor SCIM v1 do Slack.

O objetivo deste artigo é mostrar as etapas que você precisa executar no Slack e no Microsoft Entra ID para provisionar e desprovisionar automaticamente contas de usuário do Microsoft Entra ID para o Slack. Para obter detalhes importantes sobre o que esse serviço faz, como funciona e perguntas frequentes, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Capacidades suportadas

• Criar utilizadores no Slack
• Remover usuários no Slack quando eles não precisarem mais de acesso
• Manter os atributos do usuário sincronizados entre o Microsoft Entra ID e o Slack
• Aprovisionar grupos e associações a grupos no Slack
• Início de sessão único no Slack (recomendado)

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes itens:

• Um locatário do Microsoft Entra.
• Uma das seguintes funções: Administrador de Aplicativos, Administrador de Aplicativos na Nuvem ou Proprietário de Aplicativos.
• Um inquilino Slack apenas com o plano Business+ . Os clientes da Enterprise Grid devem seguir as instruções do Slack .
• Uma conta de utilizador no Slack com permissões de Administrador de Equipa.

Nota

Essa integração também está disponível para uso no ambiente Microsoft Entra US Government Cloud. Pode encontrar esta aplicação na Microsoft Entra US Government Cloud Application Gallery e configurá-la da mesma forma que faz a partir da nuvem pública.

Etapa 1: Planejar a implantação do provisionamento

1. Saiba como funciona o serviço de aprovisionamento.
2. Determine quem está incluído no escopo de para o provisionamento de.
3. Determine quais dados mapear entre o Microsoft Entra ID e o Slack.

Etapa 2: Adicionar o Slack da galeria de aplicativos do Microsoft Entra

Adicione o Slack da galeria de aplicativos do Microsoft Entra para começar a gerenciar o provisionamento no Slack. Se você configurou anteriormente o Slack para SSO, poderá usar o mesmo aplicativo. No entanto, recomendamos que você crie um aplicativo separado ao testar a integração inicialmente. Saiba mais sobre como adicionar uma aplicação a partir da galeria aqui.

Etapa 3: Definir quem está no escopo do provisionamento

O serviço de provisionamento do Microsoft Entra permite definir o escopo de quem é provisionado com base na atribuição ao aplicativo ou com base nos atributos do usuário ou grupo. Se você optar por definir o escopo de quem é provisionado para seu aplicativo com base na atribuição, poderá usar as etapas para atribuir usuários e grupos ao aplicativo. Se você optar por definir o escopo de quem é provisionado com base apenas nos atributos do usuário ou grupo, poderá usar um filtro de escopo.

• Comece pequeno. Teste com um pequeno conjunto de utilizadores e grupos antes de implementar para todos. Quando o âmbito do aprovisionamento está definido para os utilizadores e os grupos atribuídos, pode controlar isto ao atribuir um ou dois utilizadores ou grupos à aplicação. Quando o âmbito está definido para todos os utilizadores e grupos, pode especificar um filtro de âmbito baseado em atributos.

• Se você precisar de funções extras, poderá atualizar o manifesto do aplicativo para adicionar novas funções.

Etapa 4: Configurar o provisionamento automático de usuários para o Slack

Esta seção orienta você na conexão de sua ID do Microsoft Entra à API de provisionamento de conta de usuário do Slack e na configuração do serviço de provisionamento para criar, atualizar e desabilitar contas de usuário atribuídas no Slack com base na atribuição de usuário e grupo na ID do Microsoft Entra.

Para configurar o provisionamento automático de conta de usuário para o Slack no Microsoft Entra ID:

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue para Entra ID>Aplicações empresariais

   

3. Na lista de aplicações, selecione Slack.

   

4. Selecione o separador Aprovisionamento.

   

5. Selecione + Nova configuração.

   

6. No campo URL do Inquilino, introduza o URL do Inquilino do Slack e o Token Secreto. Selecione Test Connection para garantir que Microsoft Entra ID pode ligar-se ao Slack. Se a ligação falhar, certifique-se de que a sua conta Slack tem as permissões de administrador necessárias e tente novamente.

   

7. Na nova janela, inicie sessão no Slack com a sua conta de Administrador de Equipa. No diálogo de autorização resultante, selecione a equipa do Slack para a qual quer ativar o provisionamento e depois selecione Autorizar. Depois de concluído, regresse ao centro de administração Microsoft Entra para concluir a configuração de provisionamento.

   

8. Selecione Criar para criar a sua configuração.

9. Selecione Propriedades na página de Visão Geral.

10. No campo Email de notificação , digite o endereço de e-mail de uma pessoa que deve receber as notificações de erro de provisionamento e marque a caixa de seleção Enviar uma notificação por e-mail quando ocorrer uma falha .

    

11. Selecione Mapeamento de Atributos no painel esquerdo e selecione utilizadores.

12. Revise os atributos do utilizador que estão sincronizados de Microsoft Entra ID para o Slack na secção Attribute-Mapping. Os atributos selecionados como propriedades correspondentes são usados para corresponder às contas de usuário no Slack para operações de atualização. Se optar por alterar o atributo alvo correspondente, precisa de garantir que a API do Slack suporta filtragem de utilizadores com base nesse atributo. Selecione o botão Salvar para confirmar as alterações.

    Atributo	Tipo
    ativo	booleano
    Id externo	Cordão
    nome de exibição	Cordão
    nome.sobrenome	Cordão
    nome.dado	Cordão
    título	Cordão
    emails[tipo = "trabalho"].valor	Cordão
    nome de utilizador	Cordão
    nickNome	Cordão
    endereços[digite eq "untyped"].streetAddress	Cordão
    endereços[digite eq "untyped"].localidade	Cordão
    endereços[digite eq "untyped"].region	Cordão
    endereços[tipo eq "não tipado"].códigoPostal	Cordão
    endereços[digite eq "untyped"].country	Cordão
    phoneNumbers[type eq "móvel"].value	Cordão
    númerosDeTelefone[tipo igual "trabalho"].valor	Cordão
    roles[primário igual "True"].valor	Cordão
    região	Cordão
    nome.prefixoHonorífico	Cordão
    fotos[tipo eq "foto"].value	Cordão
    URL de perfil	Cordão
    fuso horário	Cordão
    tipoDeUtilizador	Cordão
    linguagem preferida	Cordão
    urn:scim:schemas:extension:enterprise:1.0.departamento	Cordão
    urn:scim:schemas:extension:enterprise:1.0.manager	Referência
    urn:scim:schemas:extension:enterprise:1.0.employeeNumber	Cordão
    urn:scim:schemas:extension:enterprise:1.0.costCenter	Cordão
    urn:scim:esquemas:extensão:enterprise:1.0.organization	Cordão
    urn:scim:schemas:extension:enterprise:1.0.division	Cordão

13. Na seção Mapeamentos de Atributos , revise os atributos de grupo sincronizados do ID do Microsoft Entra para o Slack. Os atributos selecionados como propriedades correspondentes são usados para corresponder aos grupos no Slack para operações de atualização. Selecione o botão Guardar para confirmar as alterações.

    Atributo	Tipo
    nome de exibição	Cordão
    membros	Referência

14. Para configurar os filtros de escopo, consulte as instruções fornecidas no artigo sobre filtros de alcance.

15. Use provisionamento sob demanda para validar a sincronização com um pequeno número de utilizadores antes de uma implementação mais ampla na sua organização.

16. Quando estiver pronto para provisionar, selecione Iniciar Provisão na página de Visão Geral .

Etapa 5: Monitorar sua implantação

Depois de configurar o provisionamento, use os seguintes recursos para monitorar sua implantação:

1. Use os logs de provisionamento para determinar quais usuários são provisionados com ou sem êxito
2. Verifique a barra de progresso para ver o status do ciclo de provisionamento e quão perto ele está de ser concluído
3. Se a configuração de provisionamento parecer estar em um estado não íntegro, o aplicativo entrará em quarentena. Saiba mais sobre os estados de quarentena de provisionamento no artigo de status de quarentena de aplicativo de.

Dicas para resolução de problemas

• Ao configurar o atributo displayName do Slack, esteja ciente dos seguintes comportamentos:

  • Os valores não são totalmente exclusivos (como dois usuários podem ter o mesmo nome para exibição)

  • Suporta carateres não ingleses, espaços e maiúsculas/minúsculas.

  • A pontuação permitida inclui pontos, sublinhados, hífenes, apóstrofos, parênteses (por exemplo, ( [ { } ] )) e separadores (por exemplo, , / ;).

  • A propriedade displayName não pode ter um caractere '@'. Se um '@' estiver incluído, poderás encontrar um evento ignorado nos registos de provisionamento com a descrição "AttributeValidationFailed".

  • Só é atualizado se essas duas configurações estiverem definidas no local de trabalho/organização do Slack - a sincronização de perfil está habilitada e os usuários não podem alterar seu nome para exibição.

• O atributo userName do Slack deve ter menos de 21 carateres e um valor exclusivo.

• O Slack permite apenas correspondência com os atributos userName e email.

• Os códigos de erro comuns estão documentados na documentação oficial do Slack - https://api.slack.com/scim#errors

Registo de alterações

• 16/06/2020 – Atributo DisplayName modificado para ser atualizado apenas durante a criação de um novo utilizador.

Mais recursos

• Gerir o aprovisionamento de contas de utilizador para Aplicações Empresariais
• O que é acesso ao aplicativo e logon único com o Microsoft Entra ID?

Conteúdo relacionado

• Saiba como analisar os registos e obter relatórios sobre a atividade de aprovisionamento