Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nota
L'integrazione con Slack con un'applicazione personalizzata/BYOA non è supportata. L'uso dell'app Galleria come descritto in questo articolo è supportato. L'applicazione Galleria è stata personalizzata per funzionare con il server SCIM v1 di Slack.
L'obiettivo di questo articolo è illustrare i passaggi da eseguire in Slack e Microsoft Entra ID per effettuare automaticamente il provisioning e il deprovisioning degli account utente da Microsoft Entra ID a Slack. Per informazioni dettagliate sulle caratteristiche e sul funzionamento di questo servizio e per le domande frequenti, consultare la sezione Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.
Capacità supportate
- Creare utenti in Slack
- Rimuovere gli utenti in Slack quando non richiedono più l'accesso
- Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e Slack
- Configurare gruppi e iscrizioni a gruppi in Slack
- Accesso Single Sign-On a Slack (scelta consigliata)
Prerequisiti
Lo scenario descritto in questo articolo presuppone che siano già presenti gli elementi seguenti:
- Un tenant di Microsoft Entra.
- Uno dei ruoli seguenti ruoli: Amministratore di applicazioni, Amministratore di applicazione cloud o Proprietario dell'applicazione.
- Un tenant di Slack solo con il piano Business+ . I clienti di Enteprise Grid devono invece seguire le istruzioni di Slack .
- Un account utente in Slack con autorizzazioni di amministratore di team.
Nota
Questa integrazione è disponibile anche per l'uso dall'ambiente cloud US Government di Microsoft Entra. È possibile trovare questa applicazione nella raccolta di applicazioni cloud US Government di Microsoft Entra e configurarla con la stessa procedura usata dal cloud pubblico.
Passaggio 1: Pianificare la distribuzione del provisioning
- Scopri come funziona il servizio di provisioning.
- Determinare chi si trova nell'ambito per l'approvvigionamento.
- Determinare quali dati mappare tra Microsoft Entra ID e Slack.
Passaggio 2: Aggiungere Slack dalla raccolta di applicazioni Microsoft Entra
Aggiungi Slack dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning su Slack. Se Slack è stato configurato in precedenza per l'accesso SSO, è possibile usare la stessa applicazione. Tuttavia, è consigliabile creare un'app separata durante il test iniziale dell'integrazione. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, fare clic qui.
Passaggio 3: Definire chi rientra nel provisioning
Il servizio di provisioning di Microsoft Entra consente di delimitare chi viene fornito in base all'assegnazione all'applicazione o in base agli attributi degli utenti o dei gruppi. Se si sceglie di definire l'ambito dell'app in base all'assegnazione, è possibile utilizzare i passaggi per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito per cui viene effettuato il provisioning esclusivamente in base agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito.
Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.
Se sono necessari ruoli aggiuntivi, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.
Passaggio 4: Configurare il provisioning automatico degli utenti in Slack
Questa sezione illustra come connettere l'ID Microsoft Entra all'API di provisioning dell'account utente di Slack e configurare il servizio di provisioning per creare, aggiornare e disabilitare gli account utente assegnati in Slack in base all'assegnazione di utenti e gruppi in Microsoft Entra ID.
Per configurare il provisioning automatico degli account utente su Slack in Microsoft Entra ID:
Accedere al portale di amministrazione di Microsoft Entra almeno come Amministratore delle applicazioni cloud.
Accedi alle Entra ID>applicazioni aziendali
Nell'elenco delle applicazioni selezionare Slack.
Selezionare la scheda Provisioning.
Selezionare + Nuova configurazione.
Nel campo URL tenant, immettere l'URL del tenant di Slack e il Token Segreto. Selezionare Test Connection per assicurarsi che Microsoft Entra ID possa connettersi a Slack. Se la connessione non riesce, verificare che l'account Slack disponga delle autorizzazioni di amministratore necessarie e riprovare.
Nella nuova finestra accedere a Slack con l'account di amministratore di team. Nella finestra di dialogo di autorizzazione risultante selezionare il team slack per cui si vuole abilitare il provisioning e quindi selezionare Autorizza. Al termine, tornare al Interfaccia di amministrazione di Microsoft Entra per completare la configurazione del provisioning.
Selezionare Crea per creare la configurazione.
Selezionare Proprietà nella pagina Panoramica .
Nel campo Email di notifica immettere l'indirizzo di posta elettronica di una persona che deve ricevere le notifiche di errore di fornitura e selezionare la casella di controllo Invia una notifica di posta elettronica quando si verifica un errore.
Selezionare Mapping attributi nel pannello sinistro e selezionare utenti.
Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a Slack nella sezione Attribute-Mapping. Gli attributi selezionati come proprietà corrispondenti vengono usati per corrispondere agli account utente in Slack nelle operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente, è necessario assicurarsi che l'API Slack supporti il filtro degli utenti in base a tale attributo. Selezionare il pulsante Salva per confermare le modifiche.
Attributo Tipo attivo Booleano Id esterno Stringa nome visualizzato Stringa nome.cognome Stringa nome.nomeDato Stringa titolo Stringa email[type eq "work"].valore Stringa nome utente Stringa soprannome Stringa addresses[type eq "non tipizzato"].streetAddress Stringa indirizzi[tipologia eq "non tipizzato"].località Stringa indirizzi[tipo eq "non tipizzato"].regione Stringa indirizzi[tipo eq "non tipizzato"].codicePostale Stringa addresses[type eq "untyped"].paese Stringa phoneNumbers[tipo uguale a "mobile"].valore Stringa phoneNumbers[type eq "lavoro"].value Stringa roles[principale eq "Vero"].valore Stringa localizzazione Stringa nome.prefissoOnorifico Stringa foto[type eq "foto"].value Stringa url del profilo Stringa fuso orario Stringa tipo di utente Stringa linguaPreferita Stringa urn:scim:schemas:extension:enterprise:1.0.dipartimento Stringa urn:scim:schemas:extension:enterprise:1.0.manager Riferimento urn:scim:schemas:extension:enterprise:1.0.numeroDipendente Stringa urn:scim:schemas:extension:enterprise:1.0.costCenter Stringa urn:scim:schemas:extension:enterprise:1.0.organization Stringa urn:scim:schemas:extension:enterprise:1.0.divisione Stringa Nella sezione Mapping degli attributi , esaminare gli attributi del gruppo sincronizzati da Microsoft Entra ID a Slack. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in Slack per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Attributo Tipo nome visualizzato Stringa membri Riferimento Per configurare i filtri di ambito, vedere le istruzioni fornite nell'articolo Filtro di ambito.
Usare il provisioning su richiesta per convalidare la sincronizzazione con un numero ridotto di utenti prima di distribuire in modo più ampio nell'organizzazione.
Quando si è pronti per procedere al provisioning, selezionare Avvia il provisioning nella pagina Panoramica.
Passaggio 5: monitorare la distribuzione
Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:
- Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning correttamente o in modo non riuscito
- Controlla la barra di progresso per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento.
- Se la configurazione del provisioning sembra essere in cattivo stato, l'applicazione entra in quarantena. Per saperne di più sugli stati di quarantena, consulta l'articolo relativo al provisioning delle applicazioni con stato di quarantena.
Suggerimenti per la risoluzione dei problemi
Durante la configurazione dell'attributo displayName di Slack, tenere presente i seguenti comportamenti:
I valori non sono completamente univoci (ad esempio due utenti possono avere lo stesso nome visualizzato)
Supporta caratteri non inglesi, spazi, maiuscole/minuscole.
La punteggiatura consentita include punti, caratteri di sottolineatura, trattini, apostrofi, parentesi quadre (ad esempio,
( [ { } ] )) e separatori (ad esempio,, / ;).la proprietà displayName non può avere un carattere '@'. Se è incluso un '@', è possibile trovare un evento ignorato nei log di provisioning con la descrizione "AttributeValidationFailed".
Solo gli aggiornamenti se queste due impostazioni sono configurate nell'area di lavoro o nell'organizzazione di Slack. La sincronizzazione dei profili è abilitata e Gli utenti non possono modificare il nome visualizzato.
L'attributo userName di Slack deve essere inferiore a 21 caratteri e avere un valore univoco.
Slack consente solo la corrispondenza con gli attributi userName e email.
I codici di errore comuni sono documentati nella documentazione ufficiale di Slack - https://api.slack.com/scim#errors
Registro modifiche
- 16/06/2020 - Modificato l'attributo DisplayName perché venga aggiornato solo durante la creazione di nuovi utenti.
Altre risorse
- Gestione del provisioning degli account utente per le applicazioni aziendali
- Che cos'è l'accesso alle applicazioni e Single Sign-On con Microsoft Entra ID?