为 Slack 设置 SAML 单点登录
谁可以使用此功能?
- 工作区拥有者和组织拥有者
- 在企业增强套餐和企业套餐中提供
- 如果已将 Salesforce 组织连接到 Slack,则在免费套餐和专业套餐中提供
基于 SAML 的单点登录 (SSO) 可让成员通过所选择的身份提供商 (IDP) 访问 Slack。
注意:如果在设置 SAML SSO 时遇到困难,请访问解决 SAML 授权错误以获取帮助。
小窍门:工作区拥有者和组织拥有者可绕过 SSO 身份验证,通过电子邮件地址和密码进行登录。这可确保即使你的 IDP 出现了问题也能访问 Slack。
步骤 1:配置你的身份提供商
要开始配置,你需要在你的 IDP 与 Slack 之间建立连接。与我们合作的多家提供商都制作了相关说明,指导你如何为 Slack 启用 SAML:
注意:我们还提供了一些指南,以帮助你设置自定义 SAML SSO、Google Workspace SSO 或 ADFS SSO。
步骤 2:设置 SAML SSO
在你配置 IDP 后,工作区拥有者便可启用 SSO。
- 在桌面上,单击左上方的工作区名称。
- 将鼠标悬停在工具和设置上,然后单击工作区设置。
- 在左侧栏中的管理下方,单击 SSO 和身份验证。
- 在身份提供商或自定义 SAML 旁边,单击配置 SAML。
- 在右上角,打开测试模式。
- 在 SAML SSO 网址旁边,输入你的 SAML 2.0 端点网址。(这来自于之前的设置你的连接器。)如果 Okta 是 IDP,可根据需要将 IDP 网址包括在内。
- 在身份提供商颁发者旁边,输入你的 IDP 实体 ID。
- 从身份提供商复制完整的 x.509 证书,并将其粘贴到公共证书字段。
- 在高级选项旁边,单击展开。选择你的 IDP 的 SAML 回复的签名方式。如需端到端加密密钥,请勾选签署 AuthnRequest 旁边的复选框,以显示证书。
- 在设置下方,确定 SSO 启用后成员能否编辑个人档案信息(例如电子邮件或显示名)。你还可选择 SSO 是必选、部分必选还是可选。
- 在自定义下方,输入登录按钮标签。
- 单击保存配置完成操作。
在你配置 IDP 后,组织拥有者便可启用 SSO。
- 在桌面版中,单击左上角的组织名称。
- 从菜单中选择工具和设置,然后单击组织设置。
- 从侧栏单击 安全,然后单击 SSO 设置。
- 输入你的 SSO 名称。
- 输入 SAML 2.0 端点网址(这来自于之前的设置你的连接器。)以配置来自 Slack 的身份验证请求将发送到的位置。
- 输入你的身份提供商颁发者网址。
- 默认情况下,服务提供商颁发者网址设置为 https://slack.com。此字段应与你在 IDP 中设置的内容匹配。
- 从 IDP 复制完整的 x.509 证书。
- 选择 SAML 响应和断言是否已经签署。如需 IDP 端到端加密密钥,请勾选签署 AuthnRequest 旁边的复选框,以显示证书。你还可为 AuthnContextClassRef 值选择选项。
- 单击测试配置。我们将告知你更改是否成功,或者是否需要进行进一步更改。
- 单击开启 SSO 或添加 SSO。
设置额外的 SSO 配置
你可以添加最多 11 个额外的 SSO 配置,以让人员从你选择的 IDP 登录 Slack。
- 在桌面版中,单击左上角的组织名称。
- 将鼠标悬停在工具和设置处,然后单击组织设置。
- 从左侧栏单击 安全,然后单击 SSO 设置。
- 单击右上角的添加 SSO 配置。
小窍门:如果你的工作区或组织中有访客,我们建议选择部分必选 SSO 选项,以便他们仍然可以使用自己的电子邮件地址和密码登录。
注意: 设置 SSO 后,你可以管理 SSO 设置并了解如何在组织中将 IDP 组连接到工作区。
SSO 启用后的预期情况
设置 SSO 之后,需要使用 SSO 进行登录的成员会收到一封电子邮件。电子邮件会提示成员将其 Slack 帐户与你的 IDP 绑定。成员将有 72 小时的时间绑定其帐户,之后其链接会失效。
SSO 启用时已经登录的任何成员将保持已登录状态。 以后,所有成员将通过他们的 IDP 帐户登录 Slack。如果你选择需要 SSO,你的成员将先看到登录页面,然后才能访问 Slack。
注意: 为简化成员管理,Slack 支持 SCIM 配置标准。