SAML 单点登录

基于 SAML 的单点登录 (SSO) 可让成员通过所选择的身份提供商 (IDP) 访问 Slack。

备注:如果在设置 SAML 单点登录时遇到困难,请参阅排除 SAML 授权错误文章。

小窍门:工作区拥有者和组织拥有者可使用登录页面底部的链接,通过电子邮件地址和密码登录,从而绕过 SSO 身份验证。这可确保即使你的 IDP 出现了问题也能访问你的工作区或组织。


步骤 1:配置你的身份提供商

要开始配置,你需要用你的 IDP 为 Slack 设置连接(或连接器)。与我们合作的多家提供商已创建了帮助页面,以便用 Slack 启用 SAML。

:我们还提供指导,以便帮助你设置自定义 SAML 单点登录G Suite 单点登录ADFS 单点登录


步骤 2: 为 Slack 设置 SAML SSO

升级套餐

企业网格套餐

在你配置了身份提供商 (IDP) 后,工作区拥有者便可启用 SSO。

  1. 在桌面上,单击左上方的工作区名称。
  2. 从菜单中选择设置和管理,然后单击工作区设置
  3. 单击身份验证标签。
  4. SAML 身份验证旁边,单击配置
  5. 在右上角,打开测试模式。
  6. SAML SSO 网址旁边,输入你的 SAML 2.0 端点网址 (HTTP)。(这来自于设置你的连接器。如果 Okta 是 IDP,可根据需要将 IDP 网址包括在内)
  7. 身份提供商颁发者旁边,输入你的 IDP 实体 ID
  8. 从身份提供商复制完整的 x.509 证书,并将其粘贴到公共证书字段。
  9. 高级选项旁边,单击展开。选择你的 IDP 的 SAML 回复的签名方式。如需端到端加密密钥,请勾选签署 AuthnRequest 旁边的复选框,以显示证书。
  10. 设置下方,确定在 SSO 启用后成员能否编辑个人档案信息(例如电子邮件或显示名)。你还可选择 SSO 是否为必选、部分必选* 或可选。
  11. 自定义下方,输入登录按钮标签
  12. 选择保存配置,完成操作。

*如果你有访客帐户,我们建议你选择部分必需 SSO 的选项,以便访客仍可使用电子邮件地址和密码登录。

在你配置了身份提供商 (IDP) 后,组织拥有者便可为你的 Enterprise Grid 组织启用 SSO:

  1. 在桌面上,单击左上方的工作区名称。
  2. 从菜单中选择设置和管理,然后单击组织设置
  3. 从左侧栏单击安全。 
  4. 单击SSO 设置
  5. 输入 SAML 2.0 端点网址(这来自于早前设置你的连接器。) 这是来自 Slack 的身份验证请求将发送到的位置。
  6. 输入你的身份提供商颁发者网址(也称为实体 ID)。
  7. 服务提供商颁发者网址默认设置为 https://slack.com。此字段应与你在 IDP 中设置的内容匹配。
  8. 从身份提供商复制完整的x.509 证书
  9. 选择 SAML 响应和断言是否已经签署。如需 IDP 端到端加密密钥,请勾选签署 AuthnRequest 旁边的复选框,以显示证书。你还可为 AuthnContextClassRef 值选择选项。
  10. 单击测试配置。我们将告知你更改是否成功,或者是否需要进行进一步更改。
  11. 当你准备就绪,请单击打开 SSO

小窍门:  设置 SSO 之后,了解如何在组织中将 IDP 组连接到工作区


SSO 启用后的预期情况

设置 SSO 之后,工作区或组织的每个成员都会收到一封电子邮件。电子邮件会提示成员将其 Slack 帐户与你的 IDP 绑定。成员将有 72 小时的时间绑定其帐户,之后其链接会失效。

SSO 启用后已经登录的任何成员将保持已登录状态。 以后,所有成员将通过他们的 IDP 帐户登录 Slack。如果你选择需要 SSO,你的成员将先看到登录页面,然后才能访问你的工作区。

小窍门: 为简化成员管理,Slack 支持 SCIM 配置标准。如需了解更多信息,请访问通过 SCIM 配置来管理成员

哪些人员可以使用此功能?
  • 工作区拥有者组织拥有者
  • 升级套餐和 Enterprise Grid 套餐