變更單次登入提供者
想要變更單次登入 (SSO) 提供者嗎?本指南將協助你順利轉移。請記住要預留一些時間,才能一次就完成整個程序。
提示:Enterprise Grid 的組織擁有者可額外新增最多 11 項 SSO 設定,以便使用多個身分提供者的 SSO。
變更 SSO 提供者
Business+ 方案
Enterprise Grid 方案
步驟 1:移除 SSO 設定
- 從桌面按一下左上角的工作空間名稱。
- 從功能表選取「設定與管理」,然後按一下「工作空間設定」。
- 按一下「認證」標籤。
- 選取「關閉 SSO」。
- 按一下「關閉」,並選擇是否要傳送電子郵件給團隊,告知目前已關閉 SSO。關閉時原本已經登入 Slack 的任何成員將維持登入狀態。
步驟 2:設定新的 SSO 設定
- 從桌面按一下左上角的工作空間名稱。
- 從功能表選取「設定與管理」,然後按一下「工作空間設定」。
- 按一下「認證」標籤。
- 在「SAML 認證」旁選取「設定」。
- 在「SAML SSO 網址」旁,輸入 SAML 2.0 端點網址 (HTTP)。(這裡指的是設定連接器時產生的網址。如果你的身分提供者 (IDP) 是 Okta,則可視需要加入「IDP 網址」。)
- 在「身分提供者核發者」旁輸入「IDP 實體識別碼」。
- 完整複製身分提供者提供的「x.509 認證」,然後將其貼到「公開認證」欄位。
- 在「進階選項」旁按一下「展開」。選擇如何簽署來自 IDP 的 SAML 回應。如果你需要端對端加密金鑰,請勾選「SignAuthnRequest」旁的方塊,系統即會顯示認證。
- 在「設定」下方,你可以決定成員是否能在 SSO 啟用後編輯個人檔案資訊 (如電子郵件地址或顯示名稱)。你也可以選擇將 SSO 設定為必要項目、部分需要項目* 或選用項目。
- 在「自訂」下方,輸入「登入按鈕標籤」。
- 選取「儲存設定」以完成設定。
*如果有提供訪客帳號,建議你選擇將 SSO 設為部分需要項目,這樣訪客還是可以登入原本能夠存取的工作空間。
完成後成員會收到電子郵件,要求他們將現有 Slack 帳號連結至更新後 IDP 中自己的個人檔案。成員需在 72 小時內點選綁定 SSO 電子郵件,但管理員可由管理成員頁面重新傳送綁定 SSO 電子郵件。
- 從桌面按一下左上角的工作空間名稱。
- 從功能表選取「設定與管理」,然後按一下「組織設定」。
- 在左欄中按一下 「安全性」,然後按一下「SSO 設定」。
- 選取右上角的「編輯」。
- 在設定連接器時,請將「SAML 2.0 端點網址」更換為身分提供者提供的新值。
- 更換你的「身分提供者核發者網址」。
- 如果「服務提供者核發者網址」已於 IDP 設定,請加以更換。根據預設,此值設定為 https://slack.com。
- 完整複製身分提供者提供的「x.509 認證」,然後將其貼到「公開認證」欄位。
- 選擇是否要簽署 SAML 回應和判斷提示。你也可以變更「AuthnContextClassRef」值的偏好設定。
- 按一下「測試設定」。當變更成功或需要變更其他設定時,系統會通知你。
- 準備就緒時,按一下「確認更新」。
變更提示
請記住以下幾點協助你順利變更。
- 準備好密碼: 如果你不知道自己的 Slack 密碼,請要求重設電子郵件以便在 SSO 關閉時登入工作空間,或在登入期間略過 SSO。
- 事先規劃: 確保 Slack 之中的電子郵件地址,與身分提供者的主要電子郵件地址相符。
- 傳達變更消息: 你可使用 #公開區頻道進行公告,讓成員瞭解將會發生什麼情況。
- 檢查佈建設定: 如果你透過自動佈建管理成員,請檢查你的佈建設定是否仍有效。
提示:你可能需要核准 slack.com 網域,以免電子郵件送往成員的廣告或垃圾信件匣。
誰可以使用此功能?
- 工作空間擁有者與組織擁有者
- Business+ 和 Enterprise Grid 方案