Google Workspace 单点登录
通过 Google Workspace 单点登录 (SSO),工作区的所有成员可使用自己的 Google 帐户登录 Slack。这可通过两种方式设置:对于 Google 身份验证使用 OAuth 2.0,或者对于 Google SAML 使用 SAML 2.0。
注意:如果在设置 SAML 单点登录时遇到困难,请参阅排除 SAML 授权错误文章。
小窍门:工作区拥有者和组织拥有者可使用登录页面底部的链接,通过电子邮件地址和密码登录,从而绕过 SSO 身份验证。这可确保即使你的 IDP 出现了问题也能访问你的工作区或组织。
Google 身份验证与Google SAML
阅读下表,了解每个 SSO 设置支持的内容。
| Google 身份验证 | Google SAML | |
| 个人档案同步* | ✓ | ✓ |
| 及时配置 | ✓ | ✓ |
| 使用多个电子邮件域进行身份验证** | ✓ | ✓ |
| 预配置 | ✓ | |
| 自定义 SCIM 个人档案字段 | ✓ | |
| 用户自动注销 | ✓ | |
| 身份提供商中基于规则的访问 | ✓ | |
| 兼容 Enterprise Grid 套餐 | ✓ |
* Google 身份验证只同步电子邮件地址和显示名称。Google SAML 可同步电子邮件地址、显示姓名以及姓和名。
** 在使用 Google 身份验证时,需要手动添加其他域。Google SAML 自动执行这一过程。
设置 Google 身份验证
专业套餐和企业增强套餐
Enterprise Grid 套餐
工作区拥有者可以访问和配置 Google 身份验证 SSO 设置。其方法如下:
- 在桌面版中,单击侧栏中的工作区名称。
- 从菜单中选择工具和设置,然后单击工作区设置。
- 单击身份验证标签。
- 在 Google Apps 身份验证旁边,单击配置。
- 选择你的身份验证设置。更多信息请访问单点登录设置指南。
- 单击保存配置。
- 系统会要求你使用 Google 帐户进行身份验证。
Enterprise Grid 套餐不支持 Google 身份验证。
小窍门: 若需批准更多的域,供成员创建帐户,请向我们发送通知。如果你需要,我们可以帮助添加新的域,或移除其他域。
设置 Google SAML
企业增强套餐
Enterprise Grid 套餐
步骤 1:配置身份提供商
- 工作区拥有者需要使用 Google Workspace 管理员帐户启用 Slack SAML 应用,以配置身份提供程序。
- 成员将需要在你的工作区中已经设置帐户,才能使用他们的 Google 帐户登录。
步骤 2:为你的工作区设置 SSO
- 在桌面版中,单击侧栏中的工作区名称。
- 从菜单中选择工具和设置,然后单击工作区设置。
- 在 SAML 身份验证旁边,单击配置。
步骤 1:配置身份提供商
- 组织拥有者和管理员需要使用 Google Workspace 管理员帐户启用 Slack SAML 应用,以配置身份提供程序。
- 成员将需要在你的 Enterprise Grid 组织中已经设置帐户,才能使用他们的 Google 帐户登录。
注意: 如果要求提供 ACS 网址,请输入 Enterprise Grid 组织的网址(例如:https://domain.enterprise.slack.com/sso/saml)。
步骤 2:为你的组织配置 SSO
- 在桌面版中,单击侧栏中的工作区名称。
- 从菜单中选择工具和设置,然后单击组织设置。
- 在左侧栏单击安全,然后选择SSO 设置。
注意: 启用 SSO 会禁用所有其他工作区登录设置。 启用 SSO 后已登录的任何成员仍将保持登录,并且以后可以使用 SSO 登录 Slack。
启用 Google Workspace SSO 后
启用 Google Workspace SSO 之后,成员即可继续访问你的工作区网址进行登录。成员会遇到以下两种情况:
-
新成员
如果新成员使用来批准域的电子邮件地址,他们可以为你的工作区创建一个帐户。如需开始创建,他们可以单击创建帐户。
-
现有成员
现有成员将收到一封 SSO 绑定电子邮件,用以对他们的帐户进行身份验证。完成绑定后,他们即可使用自己的 Google Workspace 凭据登录你的工作区。
💡如需了解更多信息,请访问将你的 SSO 帐户连接到 Slack。
管理 Google Workspace 单点登录
切换 Google Workspace 域
无论你是更改了电子邮件域,还是从一个 Google Workspace 实例切换到了另一个实例,你都可以按照以下步骤更新 Google Workspace 域。
专业套餐和企业增强套餐
Enterprise Grid 套餐
- 在桌面版中,单击侧栏中的工作区名称。
- 从菜单中选择工具和设置,然后单击工作区设置。
- 单击身份验证标签。
- 选择更改设置。你可能被要求用 Google 帐户登录。
- 选择切换域。
- 你将被从新定向到 Google 登录页面,你可以使用新的 Google 域登录。
- 工作区的所有成员都将收到绑定电子邮件,用以对他们的帐户进行身份验证。
组织拥有者和管理员可以通过他们的身份提供程序,使用 Google 管理员帐户更改其 Google Workspace 域。
切换域时出现问题? 你可能有多个已批准的域。 请联系我们,我们将会移除你不再需要的域。
更改电子邮件地址
工作区拥有者和组织拥有者可以编辑和管理成员的电子邮件地址。 首先,他们需要调整自己的工作区设置来允许此操作。
专业套餐和企业增强套餐
Enterprise Grid 套餐
- 在桌面版中,单击侧栏中的工作区名称。
- 从菜单中选择工具和设置,然后单击工作区设置。
- 单击身份验证标签。
- 在 Google 身份验证设置旁边,单击更改设置。
- 在设置右侧单击展开。
- 打开允许用户更改他们的电子邮件地址。
- 单击保存配置。
现在,可在成员页面更新电子邮件地址。
- 在桌面版中,单击侧栏中的工作区名称。
- 从菜单中选择工具和设置,然后单击组织设置。
- 从左侧栏单击安全,然后单击 SSO 设置。
- 在允许用户更改他们的电子邮件地址旁边,单击启用。
- 在次单击启用进行确认。
现在,可在成员页面更新电子邮件地址。
小窍门:如需批量更改电子邮件地址,请联系我们。我们乐意提供帮助!
配置和撤销配置
采用基于 SAML 的 SSO 的 Google Workspace 管理员可从 Slack SAML 应用控制成员配置。这可在 Google 管理员控制台中的应用下方看到。
-
配置
Slack 支持及时配置。这可让成员在第一次使用 Google Workspace 身份验证登录 Slack 时创建新帐户。 -
撤销配置
如果有人退出你的工作区或组织,将自动注销其帐户。工作区拥有者也可以在 成员页面中手动注销帐户。
- 工作区拥有者和组织拥有者
- 在付费套餐中可用