自定义 SAML 单点登录
如果你首选的身份提供商与 Slack 之间没有连接,则可以使用自定义 SAML 连接。
注意:我们很乐意帮助你设置,但我们不能保证你的连接适用于 Slack。请阅读排除 SAML 授权错误文章,或向我们发送通知,我们将全力协助。
参数
按照这些参数配置你的自定义 SAML 连接。
配置
- Slack 通过 SCIM API 支持身份提供商 (IDP) 发起的流、服务提供商 (SP) 发起的流、及时配置和自动配置。
- 对于服务提供商 (SP) 发起的单点登录,请转到 https://yourdomain.slack.com。
SSO 发布备份网址
- https://yourdomain.slack.com/sso/saml
(也称为断言使用者服务网址)
实体 ID
- https://slack.com
注意: Slack 不支持在 IDP 中配置的单次登出或会话持续时间。作为一种替代方法,你可以设置会话持续时间来限制成员登录 Slack 的时长。
考虑事项
- Slack 支持 HTTP POST 绑定,而非 HTTP REDIRECT。必须在 IDP 元数据中配置 HTTP POST 绑定。
- 在发送断言之前,IDP 必须确保用户经过身份验证和授权。如果用户未被授权,则不应该发送断言。我们建议身份提供商将人员重定向到 HTTP 403 页面或类似页面。
设置应包括
NameID(必填)
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Your Unique Identifier</saml:NameID>
</saml:Subject>
注意:为满足 SAML 规范,NameID必须是惟一的、伪随机的,并且不会随时间而改变——就像员工 ID 号一样。
电子邮件属性(必填)
<saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>
用户名属性(选填)
<saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>
名字属性(选填)
<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>
姓氏属性(选填)
<saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>
证书
公共证书
Slack 要求签署 SAML 响应,并且你需要粘贴一个有效的 X.509 .pem 证书,以便验证身份。这不同于你的 SSL 证书。
端到端加密密钥
如果需要为 IDP 提供端到端加密密钥,你可以通过单击位于工作区 SSO 设置中的高级选项按钮,找到证书。随后,你可勾选签署 AuthnRequest 选项,以显示 Slack 的公钥。
注意: 如要连接你的 Active Directory 联合服务 (ADFS) 示例,请阅读ADFS 单点登录,以获取详情。
哪些人员可以使用此功能?
- 只有工作区拥有者可使用此功能
- 企业增强套餐和 Enterprise Grid 套餐中提供此功能