如果你首选的身份提供商 (IDP) 没有适用于 Slack 的连接器，则可以使用自定义 SAML 连接。

注意：如果在设置时遇到困难，请先阅读我们的解决 SAML 授权错误指南。

参数

按照这些参数配置你的自定义 SAML 连接。

配置

• Slack 通过 SCIM API 支持身份提供商 (IDP) 发起的流、服务提供商 (SP) 发起的流、及时配置和自动配置。
• 对于服务提供商 (SP) 发起的单点登录，请转到 https://yourdomain.slack.com。

SSO 发布备份网址

• https://yourdomain.slack.com/sso/saml
  （也称为断言使用者服务网址）

实体 ID

• https://slack.com

注意： Slack 不支持在 IDP 中配置的单次登出或会话持续时间。作为一种替代方法，你可以设置会话持续时间来限制成员登录 Slack 的时长。

考虑事项

• Slack 支持 HTTP POST 绑定，而非 HTTP REDIRECT。必须在 IDP 元数据中配置 HTTP POST 绑定。
• 在发送断言之前，IDP 必须确保用户经过身份验证和授权。如果用户未被授权，则不应该发送断言。我们建议身份提供商将人员重定向到 HTTP 403 页面或类似页面。

设置应包括

NameID（必填）

 Your Unique Identifier

注意：为满足 SAML 规范，NameID必须是惟一的、伪随机的，并且不会随时间而改变——就像员工 ID 号一样。

电子邮件属性（必填）

  NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
 testuser@youremail.com
 
 

用户名属性（选填）

  NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
 UserName
 
 

名字属性（选填）

 NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
 FirstName
 
 

姓氏属性（选填）

   NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
 LastName
 
 

证书

公共证书

Slack 要求签署 SAML 响应，并且你需要粘贴一个有效的 X.509 .pem 证书，以便验证身份。这不同于你的 SSL 证书。

端到端加密密钥

如果需要为 IDP 提供端到端加密密钥，你可以通过单击位于工作区 SSO 设置中的高级选项按钮，找到证书。随后，你可勾选签署 AuthnRequest 选项，以显示 Slack 的公钥。

注意： 如要连接你的 Active Directory 联合服务 (ADFS) 示例，请阅读ADFS 单点登录，以获取详情。