Samouczek: konfigurowanie usługi Slack na potrzeby automatycznej aprowizacji użytkowników
Uwaga
Integracja z usługą Slack z aplikacją niestandardową/BYOA nie jest obsługiwana. Korzystanie z aplikacji galerii zgodnie z opisem w tym samouczku jest obsługiwane. Aplikacja galerii została dostosowana do pracy z serwerem SCIM v1 usługi Slack.
Celem tego samouczka jest pokazanie kroków, które należy wykonać w usługach Slack i Microsoft Entra ID w celu automatycznego aprowizowania i anulowania aprowizacji kont użytkowników z usługi Microsoft Entra ID do usługi Slack. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.
Obsługiwane funkcje
- Tworzenie użytkowników w usłudze Slack
- Usuwanie użytkowników z usługi Slack, gdy już nie potrzebują dostępu
- Zachowywanie synchronizacji atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i usługą Slack
- Aprowizowanie grup i członkostwa w grupach w usłudze Slack
- Logowanie jednokrotne w usłudze Slack (zalecane)
Wymagania wstępne
W scenariuszu opisanym w tym samouczku założono, że masz już następujące elementy:
- Dzierżawa firmy Microsoft Entra.
- Jedną z następujących ról: Administrator aplikacji, Administrator aplikacji w chmurze lub Właściciel aplikacji.
- Dzierżawę usługi Slack z włączonym planem Plus lub wyższym.
- Konto użytkownika w usłudze Slack z uprawnieniami Team Admin (administratora zespołu).
Uwaga
Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.
Krok 1. Planowanie wdrożenia aprowizacji
- Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
- Określ, kto znajdzie się w zakresie aprowizacji.
- Ustal, jakie dane mają być mapowanie między identyfikatorem Entra firmy Microsoft i usługą Slack.
Krok 2. Dodawanie usługi Slack z galerii aplikacji Microsoft Entra
Dodaj usługę Slack z galerii aplikacji Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze Slack. Jeśli wcześniej skonfigurowano usługę Slack dla logowania jednokrotnego, możesz użyć tej samej aplikacji. Zalecane jest jednak utworzenie osobnej aplikacji na potrzeby początkowych testów integracji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.
Krok 3. Definiowanie, kto będzie w zakresie aprowizacji
Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto będzie aprowizować na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika/grupy. Jeśli zdecydujesz się na określenie zakresu aprowizacji w aplikacji na podstawie przypisania, możesz skorzystać z następujących instrukcji w celu przypisania użytkowników i grup do aplikacji. Jeśli zdecydujesz się na określenie zakresu aprowizacji wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtra zakresu zgodnie z opisem zamieszczonym tutaj.
Zacznij od mniejszej skali. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. W przypadku ustawienia zakresu aprowizacji na przypisanych użytkowników i grupy możesz w tym celu przypisać do aplikacji jednego czy dwóch użytkowników bądź jedną lub dwie grupy. W przypadku ustawienia zakresu na wszystkich użytkowników i wszystkie grupy, możesz określić filtrowanie zakresu na podstawie atrybutów.
Jeśli potrzebujesz dodatkowych ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.
Krok 4. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze Slack
Ta sekcja przeprowadzi Cię przez proces łączenia identyfikatora entra firmy Microsoft z interfejsem API aprowizacji konta użytkownika usługi Slack oraz konfigurowania usługi aprowizacji w celu tworzenia, aktualizowania i wyłączania przypisanych kont użytkowników w usłudze Slack na podstawie przypisania użytkowników i grup w usłudze Microsoft Entra ID.
Aby skonfigurować automatyczną aprowizację konta użytkownika w usłudze Slack w usłudze Microsoft Entra ID:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do aplikacji dla przedsiębiorstw usługi Identity Applications>>
Na liście aplikacji wybierz pozycję Slack.
Wybierz kartę Aprowizacja.
Ustaw Tryb aprowizacji na Automatyczny.
W sekcji Poświadczenia administratora kliknij pozycję Autoryzuj. To spowoduje otwarcie okna dialogowego autoryzacji usługi Slack w nowym oknie przeglądarki.
W tym nowym oknie zaloguj się do usługi Slack przy użyciu konta administratora zespołu. W wyświetlonym oknie dialogowym autoryzacji wybierz zespół usługi Slack, dla którego chcesz włączyć aprowizację, a następnie wybierz pozycję Authorize (Autoryzuj). Po wykonaniu tych czynności wróć do witryny Azure Portal, aby dokończyć konfigurowanie aprowizacji.
Wybierz pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z aplikacją Slack. Jeśli połączenie nie powiedzie się, sprawdź, czy użyte konto usługi Slack ma uprawnienia Team Admin i ponownie spróbuj wykonać krok dotyczący autoryzacji.
W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.
Wybierz pozycję Zapisz.
W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z usługą Slack.
W sekcji Mapowania atrybutów przejrzyj atrybuty użytkownika, które zostaną zsynchronizowane z identyfikatora Entra firmy Microsoft do usługi Slack. Zwróć uwagę, że atrybuty wybrane jako właściwości dopasowywania będą używane do dopasowywania kont użytkowników w usłudze Slack na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić zmiany.
| Atrybut | Typ |
|---|---|
| aktywne | Wartość logiczna |
| externalId | String |
| displayName | String |
| name.familyName | String |
| name.givenName | String |
| title | String |
| emails[type eq "work"].value | String |
| userName | String |
| nickName | String |
| addresses[type eq "untyped"].streetAddress | String |
| addresses[type eq "untyped"].locality | String |
| addresses[type eq "untyped"].region | String |
| addresses[type eq "untyped"].postalCode | String |
| addresses[type eq "untyped"].country | String |
| phoneNumbers[type eq "mobile"].value | String |
| phoneNumbers[type eq "work"].value | String |
| roles[primary eq "True"].value | String |
| ustawienia regionalne | String |
| name.honorificPrefix | String |
| photos[type eq "photo"].value | String |
| profileUrl | String |
| timezone | String |
| userType | String |
| preferredLanguage | String |
| urn:scim:schemas:extension:enterprise:1.0.department | String |
| urn:scim:schemas:extension:enterprise:1.0.manager | Odwołanie |
| urn:scim:schemas:extension:enterprise:1.0.employeeNumber | String |
| urn:scim:schemas:extension:enterprise:1.0.costCenter | String |
| urn:scim:schemas:extension:enterprise:1.0.organization | String |
| urn:scim:schemas:extension:enterprise:1.0.division | String |
W sekcji Mapowania wybierz pozycję Synchronizuj grupy firmy Microsoft z usługą Slack.
W sekcji Mapowania atrybutów przejrzyj atrybuty grupy, które zostaną zsynchronizowane z identyfikatora Entra firmy Microsoft do usługi Slack. Zwróć uwagę, że atrybuty wybrane jako właściwości dopasowywania będą używane do dopasowywania grup w usłudze Slack na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić zmiany.
Atrybut Typ displayName String członkowie Odwołanie Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.
Aby włączyć usługę aprowizacji firmy Microsoft dla usługi Slack, zmień stan aprowizacji na Wł. w sekcji Ustawienia
Zdefiniuj użytkowników i/lub grupy do aprowizacji w usłudze Slack, wybierając odpowiednie wartości w obszarze Zakres w sekcji Ustawienia.
Gdy wszystko będzie gotowe do rozpoczęcia aprowizacji, kliknij pozycję Zapisz.
Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.
Krok 5. Monitorowanie wdrożenia
Po skonfigurowaniu aprowizacji możesz skorzystać z następujących zasobów, aby monitorować wdrożenie:
- Użyj dzienników aprowizacji, aby określić, których użytkowników udało się lub nie udało aprowizować
- Sprawdź pasek postępu, aby zapoznać się ze stanem cyklu aprowizacji i czasem pozostałym do jego zakończenia
- Jeśli konfiguracja aprowizacji jest w złej kondycji, aplikacja przejdzie w stan kwarantanny. Więcej informacji o stanach kwarantanny znajdziesz tutaj.
Porady dotyczące rozwiązywania problemów
Podczas konfigurowania atrybutu displayName usługi Slack pamiętaj o następujących zagadnieniach związanych z jego działaniem:
Wartości nie są całkowicie unikatowe (na przykład 2 użytkownicy mogą mieć taką samą nazwę wyświetlaną)
Obsługiwane są znaki spoza alfabetu angielskiego, spacje i wielkie litery.
Dozwolone znaki interpunkcyjne obejmują kropki, podkreślenia, łączniki, apostrofy, nawiasy kwadratowe (na przykład ) i separatory (na przykład
( [ { } ] ), / ;).Właściwość displayName nie może zawierać znaku „@”. Jeśli zawiera znak „@”, w dziennikach aprowizacji może pojawić się pominięte zdarzenie z opisem „AttributeValidationFailed” (Niepowodzenie walidacji atrybutu).
Wartość zostanie zaktualizowana tylko w przypadku skonfigurowania następujących dwóch ustawień w organizacji/miejscu pracy w usłudze Slack — Profile syncing is enabled (Włączono synchronizację profili) oraz Users cannot change their display name (Użytkownicy nie mogą zmienić swojej nazwy wyświetlanej).
Atrybut userName usługi Slack musi być unikatowy i nie może mieć więcej niż 21 znaków.
Usługa Slack umożliwia dopasowanie tylko do atrybutów userName i email.
Typowe kody błędów są udokumentowane w oficjalnej dokumentacji usługi Slack — https://api.slack.com/scim#errors
Dziennik zmian
- 2020-06-16 — zmodyfikowano atrybut DisplayName, tak aby był aktualizowany tylko podczas tworzenia nowego użytkownika.
Dodatkowe zasoby
- Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
- Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?