變更單次登入提供者

想要變更單次登入 (SSO) 提供者嗎?本指南將協助你順利轉移。請記住要預留一些時間,才能一次就完成整個程序。

提示:Enterprise Grid 的組織擁有者可額外新增最多 11 項 SSO 設定,以便使用多個身分提供者的 SSO。


變更 SSO 提供者

Business+ 方案

Enterprise Grid 方案

步驟 1:移除 SSO 設定

  1. 按一下側欄中的工作空間名稱
  2. 將游標放在「工具與設定」上,然後按一下「工作空間設定」。
  3. 按一下「認證」標籤。
  4. 選取「關閉 SSO」。
  5. 按一下「關閉」,並選擇是否要傳送電子郵件給團隊,告知目前已關閉 SSO。關閉時原本已經登入 Slack 的任何成員將維持登入狀態。

步驟 2:設定新的 SSO 設定

  1. 按一下側欄中的工作空間名稱
  2. 將游標放在「工具與設定」上,然後按一下「工作空間設定」。
  3. 按一下「認證」標籤。
  4. 在「SAML 認證」旁選取「設定」。
  5. 在「SAML SSO 網址」旁,輸入 SAML 2.0 端點網址 (HTTP)。(這裡指的是設定連接器時產生的網址。如果你的身分提供者 (IDP) 是 Okta,則可視需要加入「IDP 網址」。)
  6. 在「身分提供者核發者」旁輸入「IDP 實體識別碼」。
  7. 完整複製身分提供者提供的「x.509 認證」,然後將其貼到「公開認證」欄位。
  8. 在「進階選項」旁按一下「展開」。選擇如何簽署來自 IDP 的 SAML 回應。如果你需要端對端加密金鑰,請勾選「SignAuthnRequest」旁的方塊,系統即會顯示認證。
  9. 在「設定」下方,你可以決定成員是否能在 SSO 啟用後編輯個人檔案資訊 (如電子郵件地址或顯示名稱)。你也可以選擇將 SSO 設定為必要項目、部分需要項目* 或選用項目。
  10. 在「自訂」下方,輸入「登入按鈕標籤」。
  11. 選取「儲存設定」以完成設定。

*如果有提供訪客帳號,建議你選擇將 SSO 設為部分需要項目,這樣訪客還是可以登入原本能夠存取的工作空間。

完成後成員會收到電子郵件,要求他們將現有 Slack 帳號連結至更新後 IDP 中自己的個人檔案。成員需在 72 小時內點選綁定 SSO 電子郵件,但管理員可由管理成員頁面重新傳送綁定 SSO 電子郵件。

  1. 按一下側欄中的組織名稱
  2. 將游標放在「工具與設定」上,然後按一下「組織設定」。
  3. 在左欄中按一下  安全性」,然後按一下「SSO 設定」。
  4. 選取右上角的「編輯」。
  5. 在設定連接器時,請將「SAML 2.0 端點網址」更換為身分提供者提供的新值。
  6. 更換你的「身分提供者核發者網址」。
  7. 如果「服務提供者核發者網址」已於 IDP 設定,請加以更換。根據預設,此值設定為 https://slack.com。
  8. 完整複製身分提供者提供的「x.509 認證」,然後將其貼到「公開認證」欄位。
  9. 選擇是否要簽署 SAML 回應和判斷提示。你也可以變更「AuthnContextClassRef」值的偏好設定。
  10. 按一下「測試設定」。當變更成功或需要變更其他設定時,系統會通知你。
  11. 準備就緒時,按一下「確認更新」。

變更提示

請記住以下幾點協助你順利變更。

  • 準備好密碼: 如果你不知道自己的 Slack 密碼,請要求重設電子郵件以便在 SSO 關閉時登入工作空間,或在登入期間略過 SSO。 
  • 事先規劃: 確保 Slack 之中的電子郵件地址,與身分提供者的主要電子郵件地址相符。
  • 傳達變更消息: 你可使用 #公開區頻道進行公告,讓成員瞭解將會發生什麼情況。
  • 檢查佈建設定: 如果你透過自動佈建管理成員,請檢查你的佈建設定是否仍有效。 

提示:你可能需要核准 slack.com 網域,以免電子郵件送往成員的廣告或垃圾信件匣。

誰可以使用此功能?

  • 工作空間擁有者組織擁有者
  • Business+Enterprise Grid 方案