解决 SAML 授权错误
基于 SAML 的单点登录 (SSO) 可让成员通过你选择的身份提供程序 (IDP) 来访问 Slack。如果你无法设置,请查看下方表格中的错误消息,了解如何解决该问题。
小窍门:如果下表中未显示错误消息或者问题仍然存在,请联系我们的客服获取帮助。如果你需要帮助,请单击此页面顶部的联系我们。
导致 SAML 出错的原因是什么?
设置 SAML 时,如果输入的信息不全或错误,则会发生 SAML 错误。可以通过 IDP 设置解决其中大部分问题,但是对于有些问题,你还需要在 Slack 中更新 SSO 设置。
SAML 错误消息
| 错误消息 | 如何解决 |
| SAML 回复不包含正确的身份提供程序颁发者。请检查你的 [IDP] 设置中的颁发者网址是否与下面的身份提供者颁发者匹配。 | 检查你的 IDP 设置,确保复制到你的工作区的 SSO 页面的值是正确的。IDP 中的颁发者值一般指颁发者网址或实体网址/ID。 |
| SAML 回复未签名。请检查你的 [IDP] 设置。 | 取消勾选你的工作区 SSO 页面上的已签名回复复选框,或在你的 IDP 设置中启用签署回复。如果未看到这些选项,请联系你的 IDP。 |
| SAML 回复未包含正确受众。请检查你的 [IDP] 设置中的服务提供程序网址是否与下面高级选项中的服务提供程序颁发者匹配。 | 确保服务提供程序颁发者与 IDP 设置中的受众匹配。受众也可能被称为 SP 实体 ID 或依赖方标识符。我们支持 https://slack.com 和你的工作区网址(https://yourteam.slack.com)。 |
| SAML 回复的声明未签名。请检查你的 [IDP] 设置。 | 取消勾选你的工作区 SSO 页面上的已签名声明复选框,或在你的 IDP 设置中启用签署回复声明。如果未看到这些选项,请联系你的 IDP。 |
| SAML 回复未包含正确目的地,应该类似于 https://yourteam.slack.com/sso/saml。请检查你的 [IDP] 设置。 | 在你的 IDP 中更新目的地。值的名称可能不同,但一般是以下名称中的一个:Reply URL、ACS URL、Assertion Consumer Service URL、Trusted URL 或 Endpoint URL。 |
| SAML 回复缺少 ID 属性。请检查你的 [IDP] 设置。 | 确保在 IDP 中包含 NameID,以正确的(永久)格式作为声明进行发送。 |
| SAML 回复和 SAML 回复的声明均未签署。请检查你的 [IDP] 设置。 | 在你的 IDP 设置中,启用签署回复或回复声明,或者两者都启用。如果未看到这些选项,请联系你的 IDP。 |
| SAML 回复未签署(但有一份已签署并使用 EncryptedId 加密的声明)。抱歉,Slack 不支持此格式。请检查你的 [IDP] 设置。 | 我们不支持此种格式。启用签署回复,并确保按照指南来正确设置你的 SSO。 |
| SAML 回复不是 2.0 版本。请检查你的 [IDP] 设置。 | 确保在你的 IDP 中使用 SAML 2.0。 |
| SAML 回复未通过 HTTP_POST 绑定发送。请检查你的 [IDP] 设置。 | 确保你会在帖子中发送 SAML 回复。然后,确认你是否在 IDP 设置中输入了正确的 SSO 网址,且正确配置你的 IDP。 |
| 嗯,看来签名验证失败。请检查你的 [IDP] 设置中的签名证书。 | 更新你的工作区的 SSO 页面中的证书,以和 IDP 中发送的证书匹配。 |
| 糟糕,你的 SAML 设置无法解析或保存。请仔细检查,然后重试。 | SAML 标签的最大长度为 20 个字符。请检查 SAML 配置,并确保所选标签的长度少于 20 个字符。 |
哪些人员可以使用此功能?
- 工作区拥有者和组织拥有者
- 企业增强版和 Enterprise Grid 版