設定 Slack 的 SAML 單一登入
SAML 型單次登入 (SSO) 可讓成員透過你選擇的身分提供者 (IDP) 存取 Slack。
注意:如果在設定 SAML SSO 時發生問題,請造訪「SAML 授權錯誤疑難排解」尋求協助。
提示:工作空間擁有者與組織擁有者可略過 SSO 認證程序,並透過電子郵件地址和密碼登入。這個方法可確保在你的 IDP 發生問題的情況下,仍能存取 Slack。
步驟 1:設定身分提供者
一開始時,你需要在 IDP 與 Slack 之間建立連線。許多與我們合作的提供者都有相關內容,以引導你瞭解如何啟用 Slack 的 SAML:
備註:我們另提供其他實用指南,有助你設定自訂 SAML SSO、Google Workspace SSO 或 ADFS SSO。
步驟 2:設定 SAML SSO
免費版、Pro 版和 Business+ 方案
企業版方案
IDP 設定完成後,工作空間擁有者即可啟用 SSO。
- 從桌面按一下側欄中的「管理員」。如果未顯示這個選項,請按一下你的工作空間名稱以存取工作空間設定。
- 選取功能表中的「工作空間設定」。
- 按一下「安全性」,然後選取 「SSO 和認證」。
- 在「身分提供者或自訂 SAML」旁邊,按一下「設定 SAML」。
- 在畫面右上角開啟「測試」模式。
- 在「SAML SSO 網址」旁,輸入你的「SAML 2.0 端點網址」。(這裡指的是先前設定連接器時產生的網址)。如果你的 IDP 是 Okta,則可視需要改為加入「IDP 網址」。
- 在「身分提供程式核發者」旁,輸入你的IDP 實體識別碼。
- 完整複製身分提供程式提供的 x.509 認證,然後將其貼到「公開認證」欄位。
- 在「進階選項」旁,按一下「展開」。選擇如何簽署來自 IDP 的 SAML 回應。如果你需要端對端加密金鑰,請勾選「簽署 AuthnRequest」旁的方塊,系統即會顯示認證。
- 在「設定」下方,你可以決定成員是否能在 SSO 啟用後編輯個人檔案資訊 (如電子郵件地址或顯示名稱)。你也可以選擇將 SSO 設定為必要項目、部分需要項目或選用項目。
- 在「自訂」下方,輸入「登入按鈕標籤」。
- 按一下「儲存組態」以完成設定。
IDP 設定完成後,組織擁有者即可啟用 SSO。
- 從桌面按一下左上角的組織名稱。
- 從功能表選取「工具與設定」,然後按一下「組織設定」。
- 在側欄按一下「安全性」,然後按一下「SSO 設定」。
- 輸入你的 SSO 名稱。
- 輸入「SAML 2.0 端點網址」(這裡指的是先前設定連接器時產生的網址) 以設定傳送 Slack 認證要求的目的地。
- 輸入你的身分提供者核發者網址。
- 預設情況下,「身分提供者核發者網址」為 https://slack.com,但此欄位的內容應符合 IDP 中的設定。
- 完整複製 IDP 的「x.509 認證」。
- 選擇是否要簽署 SAML 回應和判斷提示。如果你需要 IDP 的端對端加密金鑰,請勾選「簽署 AuthnRequest」旁的核取方塊,系統即會顯示認證。你也可以選取「AuthnContextClassRef」值的偏好設定。
- 按一下「測試組態」。當變更成功或需要變更其他設定時,系統會通知你。
- 按一下「開啟 SSO」或「新增 SSO」。
設定其他 SSO 設定
你可以額外新增最多 11 項 SSO 設定,讓成員透過你選擇的 IDP 登入 Slack。
- 從桌面按一下左上角的組織名稱。
- 將游標放在「工具與設定」上,然後按一下「組織設定」。
- 在左側欄按一下「安全性」,然後按一下「SSO 設定」。
- 按一下右上角的「新增 SSO 設定」。
提示:如果有提供工作空間或組織的訪客帳號,建議你選擇將 SSO 設為部分需要項目,這樣他們還是可以使用電子郵件地址和密碼登入。
注意:SSO 設定完畢後,你就可以管理 SSO 設定,並瞭解如何將 IDP 群組連接至組織中的工作空間。
SSO 啟用後的須知提醒
你設定好 SSO 後,必須使用 SSO 登入的成員會收到一封電子郵件。該電子郵件會提示成員將自己的 Slack 帳號與你的 IDP 綁定。成員必須在 72 個小時內綁定帳號,否則連結就會到期。
在 SSO 啟用時就已登入的所有成員都將保持登入狀態。 日後,每位成員都要使用 IDP 帳號登入 Slack。如果你選擇將 SSO 設為必要項目,成員必須先進入登入頁面才能存取 Slack。
注意:為簡化成員管理作業,Slack 支援採用 SCIM 佈建標準。
誰可以使用此功能?
- 工作空間擁有者和組織擁有者
- 可在 Business+ 和 Enterprise 方案使用
- 可在免費和 Pro 方案使用 (如果你已將 Salesforce 組織連結到 Slack)