SAML 單次登入

SAML 型單次登入 (SSO) 可讓成員透過你選擇的身分提供者 (IDP) 存取 Slack。

備註:如果在設定 SAML 單次登入時發生問題,請參閱「SAML 授權錯誤疑難排解」一文。

提示:工作空間擁有者與組織擁有者可略過 SSO 認證程序,方法是利用登入頁面底部的連結來以電子郵件地址和密碼登入。這個方法可確保在你的 IDP 發生問題的情況下,仍能存取工作空間或組織。


步驟 1:設定身分提供者

一開始時,你需要使用 IDP 為 Slack 設定連線 (或連接器)。許多與我們合作的提供者都有建立說明頁面,可供你透過 Slack 啟用 SAML:

備註:Slack 另提供其他實用指南,有助於你設定自訂 SAML 單次登入Google Workspace 單次登入ADFS 單次登入


步驟 2: 為 Slack 設定 SAML SSO

Business+ 方案

Enterprise Grid 方案

身分提供者 (IDP) 設定完成後,工作空間擁有者即可啟用 SSO。

  1. 從桌面按一下左上角的工作空間名稱。
  2. 從功能表選取「設定與管理」,然後按一下「工作空間設定」。
  3. 按一下「認證」標籤。
  4. 在「SAML 認證」旁,按一下「設定」。
  5. 在畫面右上角開啟「測試」模式。
  6. 在「SAML SSO 網址」旁,輸入「SAML 2.0 端點網址 (HTTP)」。(這裡指的是設定連接器時產生的網址。如果你的 IDP 是 Okta,則可視需要改為加入「IDP 網址」。)
  7. 在「身分提供者核發者」旁,輸入「IDP 實體識別碼」。
  8. 完整複製身分提供者提供的「x.509 認證」,然後將其貼到「公開認證」欄位。
  9. 在「進階選項」旁,按一下「展開」。選擇如何簽署來自 IDP 的 SAML 回應。如果你需要端對端加密金鑰,請勾選「簽署 AuthnRequest」旁的方塊,系統即會顯示認證。
  10. 在「設定」下方,你可以決定成員是否能在 SSO 啟用後編輯個人檔案資訊 (如電子郵件地址或顯示名稱)。你也可以選擇將 SSO 設定為必要項目、部分需要項目* 或選用項目。
  11. 在「自訂」下方,輸入「登入按鈕標籤」。
  12. 選取「儲存組態」以完成設定。

* 如果有提供訪客帳號,建議你選擇將 SSO 設為部分需要項目,這樣訪客還是可以使用電子郵件地址和密碼登入。

身分提供者 (IDP) 設定完成後,組織擁有者即可為 Enterprise Grid 組織啟用 SSO。設定方法如下所示:

  1. 從桌面按一下左上角的工作空間名稱。
  2. 從功能表選取「設定與管理」,然後按一下「組織設定」。
  3. 在左側欄按一下「安全性」。 
  4. 按一下「SSO 設定」。
  5. 輸入「SAML 2.0 端點網址」(這裡指的是先前設定連接器時產生的網址)。 系統隨後會將 Slack 的認證要求傳送到該處。
  6. 輸入「身分提供者核發者網址」(亦稱為實體識別碼)。
  7. 身分提供者核發者網址」預設為 https://slack.com,但此欄位的內容應符合 IDP 中的設定。
  8. 完整複製身分提供者提供的「x.509 認證」。
  9. 選擇是否要簽署 SAML 回應和判斷提示。如果你需要 IDP 的端對端加密金鑰,請勾選「簽署 AuthnRequest」旁的核取方塊,系統即會顯示認證。你也可以選取「AuthnContextClassRef」值的偏好設定。
  10. 按一下「測試組態」。當變更成功或需要變更其他設定時,系統會通知你。
  11. 準備就緒後,按一下「開啟 SSO」。

提示:  SSO 設定完畢後,可瞭解如何將 IDP 群組連接至組織中的工作空間


SSO 啟用後的須知提醒

SSO 設定完成後,工作空間或組織中的每位成員都會收到一封電子郵件。該電子郵件會提示成員將本身的 Slack 帳號與 IDP 綁定。成員必須在 72 個小時內綁定帳號,否則連結就會到期。

在 SSO 啟用時就已登入的所有成員都將保持登入狀態。 日後,每位成員都要使用 IDP 帳號登入 Slack。如果你選擇將 SSO 設為必要項目,成員必須先進入登入頁面才能存取工作空間。

提示: 為簡化成員管理作業,Slack 支援採用 SCIM 佈建標準。若要深入瞭解,請參閱「透過 SCIM 佈建管理成員」。

誰可以使用此功能?
  • 工作空間擁有者組織擁有者
  • Business+Enterprise Grid