設定 Slack 的 SAML 單一登入

SAML 型單次登入 (SSO) 可讓成員透過你選擇的身分提供者 (IDP) 存取 Slack。

注意：如果在設定 SAML SSO 時發生問題，請造訪「SAML 授權錯誤疑難排解」尋求協助。

提示：工作空間擁有者與組織擁有者可略過 SSO 認證程序，並透過電子郵件地址和密碼登入。這個方法可確保在你的 IDP 發生問題的情況下，仍能存取 Slack。

步驟 1：設定身分提供者

如要開始使用，請在 IDP 與 Slack 之間建立連結。許多與我們合作的提供者都有提供相關內容，引導你為 Slack 啟用 SAML：

備註：我們另提供其他實用指南，有助你設定自訂 SAML SSO、Google Workspace SSO 或 ADFS SSO。

免費版、Pro 版和 Business+ 方案

企業版方案

IDP 設定完成後，工作空間擁有者即可啟用 SSO。

從桌面按一下側欄中的「管理員」。
選取功能表中的「工作空間設定」。
按一下「 安全性」，然後選取「SSO 和認證」。
在「身分提供者或自訂 SAML」旁邊，按一下「設定 SAML」。
輸入 SAML 2.0 端點網址 (這裡指的是先前設定連接器時產生的網址)。如果你的 IDP 是 Okta，則可視需要改成填寫 IDP 網址。
輸入身分提供者核發者網址。
預設情況下，「身分提供者核發者網址」為 https://slack.com，但此欄位的內容應符合 IDP 中的設定。
從 IDP 複製完整的 x.509 認證。
選擇是否要簽署 SAML 回應和斷言。如果你需要 IDP 的端對端加密金鑰，請勾選「簽署 AuthnRequest」旁邊的核取方塊，系統便會顯示認證。你也可以選取 AuthnContextClassRef 值的偏好設定。
按一下「測試組態」。當變更成功或需要變更其他設定時，系統會通知你。
檢查設定，然後選取「繼續使用選項」以繼續。
選擇要強制所有成員使用 SSO、強制訪客外的所有成員使用，還是設成選用。在「個人檔案設定」下方，決定成員能否在啟用 SSO 後編輯個人檔案資訊，例如電子郵件地址或顯示名稱。
按一下「開啟 SSO」或「新增 SSO」。

IDP 設定完成後，組織擁有者即可啟用 SSO。

從桌面按一下左上角的組織名稱。
從功能表選取「工具與設定」，然後按一下「組織設定」。
在側欄按一下「 安全性」，然後按一下「SSO 設定」。
輸入你的 SSO 名稱。
輸入「SAML 2.0 端點網址」(這裡指的是先前設定連接器時產生的網址) 以設定傳送 Slack 認證要求的目的地。
輸入身分提供者核發者網址。
預設情況下，「身分提供者核發者網址」為 https://slack.com，但此欄位的內容應符合 IDP 中的設定。
從 IDP 複製完整的 x.509 認證。
選擇是否要簽署 SAML 回應和斷言。如果你需要 IDP 的端對端加密金鑰，請勾選「簽署 AuthnRequest」旁邊的核取方塊，系統便會顯示認證。你也可以選取 AuthnContextClassRef 值的偏好設定。
按一下「測試組態」。當變更成功或需要變更其他設定時，系統會通知你。
檢查設定，然後選取「開啟 SSO」或「新增 SSO」。

提示：設定完成後，你可以管理 SSO 設定，強制所有成員使用 SSO、控制成員能否編輯個人檔案資訊等等。

你可以額外新增最多 11 項 SSO 設定，讓成員透過你選擇的 IDP 登入 Slack。

提示：如果有提供工作空間或組織的訪客帳號，建議你選擇將 SSO 設為部分需要項目，這樣他們還是可以使用電子郵件地址和密碼登入。

注意：SSO 設定完畢後，你可以管理 SSO 設定，並瞭解如何將 IDP 群組連結至組織中的工作空間。

設定好 SSO 後，必須使用 SSO 登入的成員會收到一封電子郵件，提示成員將 Slack 帳號與你的 IDP 綁定。成員必須在 72 個小時內綁定帳號，否則連結就會到期。

在 SSO 啟用時就已登入的所有成員都將保持登入狀態。日後，每位成員都要使用 IDP 帳號登入 Slack。如果你選擇將 SSO 設為必要項目，成員必須先進入登入頁面才能存取 Slack。

注意：為簡化成員管理作業，Slack 支援 SCIM 佈建標準。

誰可以使用此功能？

超讚！

非常感謝你提供意見回饋！

如果你希望得到支援團隊的成員回覆，請傳送電子郵件至 feedback@slack.com.

知道了！

如果你希望得到支援團隊的成員回覆，請傳送電子郵件至 feedback@slack.com.

糟糕！我們遇到問題了。請稍後再試一次！