更改你的单点登录提供商
是否要更改你的单点登录 (SSO) 提供商?本指南将帮助你实现无缝过渡。请记住,你需要预留一些时间,以便一次性完成该过程。
小窍门:使用 Enterprise Grid 的组织拥有者最多可以添加 11 个额外的 SSO 配置,以便将 SSO 与多个身份提供程序配合使用。
更改你的 SSO 提供商
企业增强套餐
Enterprise Grid 套餐
步骤 1:更改 SSO 配置
- 单击侧栏中的工作区名称。
- 将鼠标悬停在工具和设置上,然后单击工作区设置。
- 单击身份验证标签。
- 选择关闭 SSO。
- 单击关闭,然后选择是否向你的团队发送电子邮件,以通知他们 SSO 已关闭。任何当时已登录 Slack 的成员将保持登录状态。
步骤 2:设置新的 SSO 配置
- 单击侧栏中的工作区名称。
- 将鼠标悬停在工具和设置上,然后单击工作区设置。
- 单击身份验证标签。
- 选择 SAML 身份验证旁边的配置。
- 在 SAML SSO 网址旁,输入你的 SAML 2.0 端点网址 (HTTP)。(这来自于设置你的连接器。如果选择 Okta 作为身份提供商 (IDP),可根据需要将 IDP 网址包括在内。)
- 在身份提供商颁发者旁边,输入你的 IDP 实体 ID。
- 从身份提供商复制完整的 x.509 证书,并粘贴到公共证书字段。
- 单击高级选项旁边的展开。选择你的 IDP 的 SAML 回复的签名方式。如需端到端加密密钥,请勾选签署 AuthnRequest 旁边的复选框,以显示证书。
- 在设置下方,确定在 SSO 启用后成员能否编辑个人档案信息(例如电子邮件或显示名)。你还可选择 SSO 是否为必选、部分必选* 或可选。
- 在自定义下方,输入登录按钮标签。
- 选择保存配置,完成操作。
*如果你有访客帐户,我们建议你选择部分必需 SSO 的选项,以便访客仍可登录其有访问权限的工作区。
完成后,成员将收到一封电子邮件,要求他们将现有的 Slack 帐户与其已更新 IDP 中的个人档案相关联。成员需要在 72 小时内单击 SSO 绑定电子邮件,但管理员可以从管理成员页面重新发送这些电子邮件。
- 单击侧栏中的组织名称。
- 将鼠标悬停在工具和设置上,然后单击组织设置。
- 单击左列中的安全,然后单击 SSO 设置。
- 选择右上角的编辑。
- 设置连接器时,将 SAML 2.0 端点网址替换为身份提供商提供的新值。
- 替换你的身份提供商颁发者网址。
- 如果你的 IDP 中已设置服务提供商颁发者网址,请替换它。默认情况下,该值设定为 https://slack.com。
- 从身份提供商复制完整的 x.509 证书,并粘贴到公共证书字段。
- 选择 SAML 响应和断言是否已经签署。你还可为 AuthnContextClassRef 值更改设置。
- 单击测试配置。我们将告知你更改是否成功,或者是否需要进行进一步更改。
- 当你准备就绪后,单击确认更新。
转换的小窍门
请记住以下几点,以确保更改顺利进行。
- 备妥密码:如果你不知道自己的 Slack 密码,请申请密码重置电子邮件,以便在 SSO 关闭时登录工作区,或在登录时绕过 SSO。当 SSO 关闭时,拥有者和管理员可能会被退出登录,并被要求配置双重认证。
- 提前规划: 确保 Slack 中的电子邮件地址与身份提供商中的主要电子邮件地址匹配。
- 传达更改:使用 #全体频道发布公告,让成员知道接下来的情况。
- 检查你的配置设置: 如果你使用自动配置管理成员,请检查你的配置设置是否仍然有效。
小窍门:你可能需要批准 slack.com 域,以使电子邮件不会被移至成员的垃圾邮件文件夹中。
哪些人员可以使用此功能?
- 工作区拥有者和组织拥有者
- 企业增强和 Enterprise Grid 套餐