为 Slack 设置 SAML 单点登录

基于 SAML 的单点登录 (SSO) 可让成员通过所选择的身份提供商 (IDP) 访问 Slack。

注意：如果在设置 SAML SSO 时遇到困难，请访问解决 SAML 授权错误以获取帮助。

小窍门：工作区拥有者和组织拥有者可绕过 SSO 身份验证，通过电子邮件地址和密码进行登录。这可确保即使你的 IDP 出现了问题也能访问 Slack。

步骤 1：配置你的身份提供商

要开始配置，你需要在你的 IDP 与 Slack 之间建立连接。与我们合作的多家提供商都制作了相关说明，指导你如何为 Slack 启用 SAML：

注意：我们还提供了一些指南，以帮助你设置自定义 SAML SSO、Google Workspace SSO 或 ADFS SSO。

免费、专业和商务+计划

企业套餐

在你配置 IDP 后，工作区拥有者便可启用 SSO。

在桌面版中，单击侧栏中的 管理员。如果侧栏中未显示此选项，请单击你的工作区名称以访问工作区设置。
从菜单中选择工作区设置。
单击 安全，然后选择 SSO 和身份验证。
在身份提供商或自定义 SAML 旁边，单击配置 SAML。
在右上角，打开测试模式。
在 SAML SSO 网址旁边，输入你的 SAML 2.0 端点网址 。（这来自于之前的“设置你的连接器”）。如果 Okta 是 IDP，可根据需要将 IDP 网址包括在内。
在身份提供商颁发者旁边，输入你的 IDP 实体 ID。
从身份提供商复制完整的 x.509 证书，并粘贴到公共证书字段。
在高级选项旁边，单击展开。选择你的 IDP 的 SAML 回复的签名方式。如需端到端加密密钥，请勾选签署 AuthnRequest 旁边的复选框，以显示证书。
在设置下方，确定在 SSO 启用后成员能否编辑个人档案信息（例如电子邮件或显示名）。你还可选择 SSO 是必选、部分必选还是可选。
在自定义下方，输入登录按钮标签。
单击保存配置完成操作。

在你配置 IDP 后，组织拥有者便可启用 SSO。

在桌面版中，单击左上角的组织名称。
从菜单中选择工具和设置，然后单击组织设置。
从侧栏单击安全，然后单击 SSO 设置。
输入你的 SSO 名称。
输入 SAML 2.0 端点网址（这来自于之前的设置你的连接器。）以配置来自 Slack 的身份验证请求将发送到的位置。
输入你的身份提供商颁发者网址。
默认情况下，服务提供商颁发者网址设置为 https://slack.com。此字段应与你在 IDP 中设置的内容匹配。
从 IDP 复制完整的 x.509 证书。
选择 SAML 响应和断言是否已经签署。如需 IDP 端到端加密密钥，请勾选签署 AuthnRequest 旁边的复选框，以显示证书。你还可为 AuthnContextClassRef 值选择选项。
单击测试配置。我们将告知你更改是否成功，或者是否需要进行进一步更改。
单击开启 SSO 或添加 SSO。

你可以添加最多 11 个额外的 SSO 配置，以让人员从你选择的 IDP 登录 Slack。

小窍门：如果你的工作区或组织中有访客，我们建议选择部分必选 SSO 选项，以便他们仍然可以使用自己的电子邮件地址和密码登录。

备注：设置 SSO 后，你可以管理 SSO 设置并了解如何在组织中将 IDP 组连接到工作区。

设置 SSO 之后，需要使用 SSO 进行登录的成员会收到一封电子邮件。电子邮件会提示成员将其 Slack 帐户与你的 IDP 绑定。成员将有 72 小时的时间绑定其帐户，之后其链接会失效。

SSO 启用时已经登录的任何成员将保持已登录状态。以后，所有成员将通过他们的 IDP 帐户登录 Slack。如果你选择需要 SSO，你的成员将先看到登录页面，然后才能访问 Slack。

注意：为简化成员管理，Slack 支持 SCIM 配置标准。

哪些人员可以使用此功能？

Awesome!

Thanks so much for your feedback!

Got it!

Thanks for your feedback.

If you’d like a member of our support team to respond to you, please send a note to feedback@slack.com.

Oops! We're having trouble. Please try again later!