自訂 SAML 單次登入

若你偏好的身分提供者沒有提供可與 Slack 搭配使用的連接器,則可使用自訂 SAML 連線。

備註:我們很樂意協助你設定,但無法保證連線方式一定能與 Slack 搭配運作。若有問題,請參閱 SAML 授權錯誤疑難排解一文,或是傳送訊息給我們,我們將盡力提供協助。


參數

請參照以下參數來設定自訂 SAML 連線。

佈建

  • Slack 支援透過 SCIM API 進行身分提供者 (IDP) 初始化流程、服務提供者 (SP) 初始化流程、即時佈建與自動佈建
  • 如果是採用 SP 初始化單次登入,請前往 https://yourdomain.slack.com。

SSO 備份後網址

  • https://yourdomain.slack.com/sso/saml
    (又稱為「判斷提示取用者服務網址」)

實體識別碼

  • https://slack.com

SAML 登出端點

  •  https://yourdomain.slack.com/sso/saml/logout  

注意: Slack 不支援 IDP 中的單一登出或作業階段持續時間設定。

考量事項

  • Slack 支援 HTTP POST 綁定,但不支援 HTTP REDIRECT。你必須在 IDP 中繼資料內設定 HTTP POST 綁定。
  • IDP 必須確保使用者已通過認證並獲得授權,才能傳送判斷提示。如果使用者未獲得授權,就不應傳送判斷提示。建議身分提供者將人員重新導向至 HTTP 403 頁面或類似網頁。


包含的設定

NameID (必要)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Your Unique Identifier</saml:NameID>
</saml:Subject>

備註:為符合 SAML 規範,NameID 不得重複,且應使用虛擬隨機方式產生,而使用者資料 (如員工識別碼) 也不會隨時間變動。

電子郵件屬性 (必要)

 <saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>


使用者名稱屬性 (選用)

 <saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>


名字屬性 (選用)

<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>


姓氏屬性 (選用)

  <saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>


認證

公開認證

除了要求簽署 SAML 回應外,Slack 也規定必須貼上有效的 X.509 .pem 認證來驗證個人身分。該認證與 SSL 認證並不相同。

端對端加密金鑰

如果需要 IDP 的端對端加密金鑰,請在工作空間的 SSO 設定中按一下「進階選項」按鈕。接著,你可以查看「簽署 AuthnRequest」偏好設定並找出系統顯示的 Slack 公開加密金鑰。

備註: 若想連線至 Active Directory 同盟服務 (ADFS) 執行個體,請參閱「ADFS 單次登入」一文以取得詳細資料。

誰可以使用此功能?
  • 只有工作空間擁有者可使用這項功能
  • Business+Enterprise Grid 方案