更改你的单点登录提供商
是否要更改你的单点登录 (SSO) 提供商?本指南将帮助你实现无缝过渡。请记住,你需要预留一些时间,以便一次性完成该过程。
小窍门:使用企业套餐的组织拥有者最多可以添加 11 个额外的 SSO 配置,以便将 SSO 与多个身份提供商 (IDP) 配合使用。
更改你的 SSO 提供商
免费套餐、专业套餐和企业增强套餐
企业套餐
步骤 1:更改 SSO 配置
- 单击侧栏中的工作区名称。
- 将鼠标悬停在工具和设置上,然后单击工作区设置。
- 在左侧栏中的管理下方,单击 SSO 和身份验证。
- 单击页面右上角的禁用 SSO 配置。
- 选择是否向你的成员发送电子邮件,以告知他们 SSO 已关闭,然后单击禁用 SSO。
在你禁用 SSO 时已登录 Slack 的任何人都将保持登录状态。
步骤 2:设置新的 SSO 配置
- 单击侧栏中的工作区名称。
- 将鼠标悬停在工具和设置上,然后单击工作区设置。
- 在左侧栏中的管理下方,单击 SSO 和身份验证。
- 在身份提供商或自定义 SAML 旁边,单击配置 SAML。
- 在右上角,打开测试模式。
- 在 SAML SSO 网址旁,输入你的 SAML 2.0 端点网址 (HTTP)。(这来自于之前的“设置你的连接器”。)如果 Okta 是 IDP,可根据需要将 IDP 网址包括在内。
- 在身份提供商颁发者旁边,输入你的 IDP 实体 ID。
- 从 IDP 复制完整的 x.509 证书,并将其粘贴到公共证书字段。
- 在高级选项旁边,单击展开。选择你的 IDP 的 SAML 回复的签名方式。如需端到端加密密钥,请勾选签署 AuthnRequest 旁边的复选框,以显示证书。
- 在设置下方,确定在 SSO 启用后成员能否编辑个人档案信息(例如电子邮件或显示名)。你还可选择 SSO 是必选、部分必选还是可选。
- 在自定义下方,输入登录按钮标签。
- 单击保存配置完成操作。
成员将收到一封电子邮件,要求他们将现有的 Slack 帐户与其已更新 IDP 中的个人档案相关联。成员需要在 72 小时内单击 SSO 绑定电子邮件,但管理员可以从管理成员页面重新发送这些电子邮件。
- 单击侧栏中的组织名称。
- 将鼠标悬停在工具和设置上,然后单击组织设置。
- 从侧栏单击 安全,然后单击 SSO 设置。
- 单击当前 IDP 旁边的编辑配置。
- 将 SAML 2.0 端点网址替换为设置连接器时 IDP 提供的新值。
- 替换你的身份提供商颁发者网址。
- 如果你的 IDP 中已设置服务提供商颁发者网址,请替换它。默认情况下,该值设定为 https://slack.com。
- 从身份提供商复制完整的 x.509 证书,并粘贴到公共证书字段。
- 选择 SAML 响应和断言是否已经签署。你还可以更改 AuthnContextClassRef 值的首选项。
- 单击测试配置。我们将告知你更改是否成功,或者是否需要进行进一步更改。
- 当你准备就绪后,单击应用更改。
小窍门:如果你的工作区或组织中有访客,我们建议选择部分必选 SSO 选项,以便他们仍然可以使用自己的电子邮件地址和密码登录。
转换的小窍门
请记住以下几点,以确保更改顺利进行。
- 备妥密码:如果你不知道自己的 Slack 密码,请申请密码重置电子邮件,以便在 SSO 关闭时登录工作区,或在登录时绕过 SSO。当 SSO 关闭时,拥有者和管理员可能会被退出登录,并被要求配置双重认证。
- 提前规划: 确保 Slack 中的电子邮件地址与 IDP 中的主要电子邮件地址匹配。
- 告知更改: 使用 #全体频道或其他公告频道让成员了解即将发生的变化。
- 检查你的配置设置: 如果你使用自动配置管理成员,请检查你的配置设置是否仍然有效。
哪些人员可以使用此功能?
- 工作区拥有者和组织拥有者
- 在企业增强套餐和企业套餐中提供
- 如果已将 Salesforce 组织连接到 Slack,则在免费套餐和专业套餐中提供