自定义 SAML 单点登录

如果你首选的身份提供商与 Slack 之间没有连接,则可以使用自定义 SAML 连接。

注意:我们很乐意帮助你设置,但我们不能保证你的连接适用于 Slack。请阅读排除 SAML 授权错误文章,或向我们发送通知,我们将全力协助。


参数

按照这些参数配置你的自定义 SAML 连接。

配置

  • Slack 通过 SCIM API 支持身份提供商 (IDP) 发起的流、服务提供商 (SP) 发起的流、及时配置和自动配置
  • 对于服务提供商 (SP) 发起的单点登录,请转到 https://yourdomain.slack.com。

SSO 发布备份网址

  • https://yourdomain.slack.com/sso/saml
    (也称为断言使用者服务网址)

实体 ID

  • https://slack.com

注意: Slack 不支持在 IDP 中配置的单次登出或会话持续时间。作为一种替代方法,你可以设置会话持续时间来限制成员登录 Slack 的时长。

考虑事项

  • Slack 支持 HTTP POST 绑定,而非 HTTP REDIRECT。必须在 IDP 元数据中配置 HTTP POST 绑定。
  • 在发送断言之前,IDP 必须确保用户经过身份验证和授权。如果用户未被授权,则不应该发送断言。我们建议身份提供商将人员重定向到 HTTP 403 页面或类似页面。


设置应包括

NameID(必填)

<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="YOURDOMAIN.slack.com" SPNameQualifier="https://slack.com">Your Unique Identifier</saml:NameID>
</saml:Subject>

注意:为满足 SAML 规范,NameID必须是惟一的、伪随机的,并且不会随时间而改变——就像员工 ID 号一样。

电子邮件属性(必填)

 <saml:Attribute Name="User.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@youremail.com
</saml:AttributeValue>
</saml:Attribute>


用户名属性(选填)

 <saml:Attribute Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">UserName
</saml:AttributeValue>
</saml:Attribute>


名字属性(选填)

<saml:Attribute Name="first_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">FirstName
</saml:AttributeValue>
</saml:Attribute>


姓氏属性(选填)

 <saml:Attribute Name="last_name"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">LastName
</saml:AttributeValue>
</saml:Attribute>



证书

公共证书

Slack 要求签署 SAML 响应,并且你需要粘贴一个有效的 X.509 .pem 证书,以便验证身份。这不同于你的 SSL 证书。

端到端加密密钥

如果需要为 IDP 提供端到端加密密钥,你可以通过单击位于工作区 SSO 设置中的高级选项按钮,找到证书。随后,你可勾选签署 AuthnRequest 选项,以显示 Slack 的公钥。

注意: 如要连接你的 Active Directory 联合服务 (ADFS) 示例,请阅读ADFS 单点登录,以获取详情。

哪些人员可以使用此功能?
  • 只有工作区拥有者可使用此功能
  • 企业增强套餐和 Enterprise Grid 套餐中提供此功能

Related Articles

Recently Viewed Articles