SAML 单点登录

基于 SAML 的单点登录 (SSO) 可让成员通过所选择的身份提供商 (IDP) 访问 Slack。

备注:如果在设置 SAML 单点登录时遇到困难,请参阅排除 SAML 授权错误文章。

小窍门:工作区拥有者和组织拥有者可使用登录页面底部的链接,通过电子邮件地址和密码登录,从而绕过 SSO 身份验证。这可确保即使你的 IDP 出现了问题也能访问你的工作区或组织。


步骤 1:配置你的身份提供商

要开始配置,你需要用你的 IDP 为 Slack 设置连接(或连接器)。与我们合作的多家提供商已创建了帮助页面,以便用 Slack 启用 SAML。

备注:我们还提供了一些指南,以帮助你设置自定义 SAML 单点登录Google Workspace 单点登录ADFS 单点登录


步骤 2: 为 Slack 设置 SAML SSO

企业增强套餐

Enterprise Grid 套餐

在你配置了身份提供商 (IDP) 后,工作区拥有者便可启用 SSO。

  1. 在桌面上,单击左上方的工作区名称。
  2. 从菜单中选择设置和管理,然后单击工作区设置
  3. 单击身份验证标签。
  4. SAML 身份验证旁边,单击配置
  5. 在右上角,打开测试模式。
  6. SAML SSO 网址旁边,输入你的 SAML 2.0 端点网址 (HTTP)。(这来自于设置你的连接器。如果 Okta 是 IDP,可根据需要将 IDP 网址包括在内)
  7. 身份提供商颁发者旁边,输入你的 IDP 实体 ID
  8. 从身份提供商复制完整的 x.509 证书,并将其粘贴到公共证书字段。
  9. 高级选项旁边,单击展开。选择你的 IDP 的 SAML 回复的签名方式。如需端到端加密密钥,请勾选签署 AuthnRequest 旁边的复选框,以显示证书。
  10. 设置下方,确定在 SSO 启用后成员能否编辑个人档案信息(例如电子邮件或显示名)。你还可选择 SSO 是否为必选、部分必选* 或可选。
  11. 自定义下方,输入登录按钮标签
  12. 选择保存配置,完成操作。

*如果你有访客帐户,我们建议你选择部分必需 SSO 的选项,以便访客仍可使用电子邮件地址和密码登录。

在你配置了身份提供商 (IDP) 后,组织拥有者便可为你的 Enterprise Grid 组织启用 SSO:

  1. 在桌面上,单击左上方的工作区名称。
  2. 从菜单中选择设置和管理,然后单击组织设置
  3. 从左侧栏单击安全。 
  4. 单击SSO 设置
  5. 输入 SAML 2.0 端点网址(这来自于早前设置你的连接器。) 这是来自 Slack 的身份验证请求将发送到的位置。
  6. 输入你的身份提供商颁发者网址(也称为实体 ID)。
  7. 服务提供商颁发者网址默认设置为 https://slack.com。此字段应与你在 IDP 中设置的内容匹配。
  8. 从身份提供商复制完整的x.509 证书
  9. 选择 SAML 响应和断言是否已经签署。如需 IDP 端到端加密密钥,请勾选签署 AuthnRequest 旁边的复选框,以显示证书。你还可为 AuthnContextClassRef 值选择选项。
  10. 单击测试配置。我们将告知你更改是否成功,或者是否需要进行进一步更改。
  11. 当你准备就绪,请单击打开 SSO

小窍门:  设置 SSO 之后,了解如何在组织中将 IDP 组连接到工作区


SSO 启用后的预期情况

设置 SSO 之后,工作区或组织的每个成员都会收到一封电子邮件。电子邮件会提示成员将其 Slack 帐户与你的 IDP 绑定。成员将有 72 小时的时间绑定其帐户,之后其链接会失效。

SSO 启用后已经登录的任何成员将保持已登录状态。 以后,所有成员将通过他们的 IDP 帐户登录 Slack。如果你选择需要 SSO,你的成员将先看到登录页面,然后才能访问你的工作区。

小窍门: 为简化成员管理,Slack 支持 SCIM 配置标准。如需了解更多信息,请访问通过 SCIM 配置来管理成员

哪些人员可以使用此功能?
  • 工作区拥有者组织拥有者
  • 企业增强Enterprise Grid