SSO (Unternehmen)

Einen Setup-Vorschlag mit den Installationsanweisungen und der vollständigen Markdown-Anleitung für diesen Plugin erstellen.

Was ist SSO?

Mit Single Sign-On (SSO) können Ihre Teammitglieder sich mit Ihrem Unternehmen-Identitätsanbieter (IdP) bei Capgo anmelden. Capgo verwendet SAML 2.0 über Supabase Auth. Wenn ein Benutzers E-Mail-Domain mit einem aktiven SSO-Anbieter übereinstimmt, können sie sich gegenüber Ihrem IdP authentifizieren und werden während des SSO-Rückrufs in die Organisation eingerichtet.

SSO ändert nicht, was Benutzer tun können. Die Berechtigungen werden durch Organisationsrollengesteuert. SSO ändert nur, wie sie sich anmelden.

Voraussetzungen

Bevor Sie beginnen:

Unternehmensabonnement aktiviert auf der Organisation Capgo.
Eine Identitätsanbieter, die SAML 2.0 und eine IdP-Metadaten-URL (HTTPS) ausgibt. Fähigkeit, eine
DNS TXT-Eintrag für das E-Mail-Domän (z.B. für Benutzer, die als company.com Ein Mitglied der Organisation __CAPGO_KEEP_0__ mit Berechtigung, Organisationseinstellungen zu aktualisieren. user@company.com).
A Capgo organization member with permission to update organization settings.
Ein IdP-Administrator Kontakt auf Ihrer IT-/Sicherheitsebene.

Wo finden Sie die SSO-Einstellungen?

Öffnen https://console.capgo.app/
Klicken Einstellungen in der linken Seitenleiste
Wählen Sie die Organisation Registerkarte
Wählen Sie die Sicherheit Registerkarte
Blättern Sie zu SSO-KonfigurationDie Form ist nur verfügbar, wenn das Unternehmen das Enterprise-Plan hat.

Schritt 1 - Konfigurieren Sie Ihren IdP

In Ihrem Identitätsanbieter erstellen Sie eine neue SAML 2.0-Anwendung. Sie benötigen die folgenden Diensteanbieter Werte, wie in der SSO-Konfigurationsleiste Capgo angezeigt:

Feld	Wo Sie es verwenden können
ACS-URL	Assertion Consumer Service-URL in Ihrer IdP SAML-Anwendung
Entitäts-ID	Diensteanbieter-Entitätsbezeichner
SP-Metadaten-URL	Optional: Importieren, wenn Ihre IdP die SP-Metadaten-Importierung durch URL unterstützt
NameID-Format	Format, das für den SAML-Name-Identifier erwartet wird

Ihre IdP muss die E-Mail-Adresse des Benutzers in der Assertion freigeben. __CAPGO_KEEP_0__ verwendet die E-Mail-Domäne, um den aktiven SSO-Anbieter zu lösen und bestehende Konten abzugleichen. in the assertion. Capgo uses the email domain to resolve the active SSO provider and to match existing accounts.

Schritt 2 - Fügen Sie den SSO-Anbieter in Capgo hinzu

Klicken Sie in der SSO-Konfigurationsanzeige auf einen neuen Anbieter
Geben Sie den E-Mail-Domänenbereich (z.B. company.com). Es muss dem Domänenteil der E-Mail-Adressen Ihrer Benutzer entsprechen
Geben Sie Ihre IdP Metadaten-URL (HTTPS)
Absenden

Der Anbieter wird mit Status erstellt __CAPGO_KEEP_0__ prüft, ob Sie die Kontrolle über das Domain haben, bevor SSO aktiv werden kann..

Schritt 3 - DNS-Domänenerfassung

Capgo überprüft, ob Sie die Kontrolle über das Domain haben, bevor SSO aktiv werden kann.

Hinzufügen eines TXT Eintrag bei Ihrem DNS-Anbieter:

Feld	Wert
Typ	`TXT`
Name / Host	`_capgo-sso.<your-domain>` (z.B. `_capgo-sso.company.com`)
Wert	Der im Dashboard angezeigte Verifizierungs-Token

Klicken Sie nachdem das Dokument veröffentlicht wurde (DNS-TTL-Propagierung dauert typischerweise einige Minuten bis eine Stunde), DNS-Verifizierung im Dashboard. Erfolgreich, wird der Anbieter auf Verifiziert.

Schritt 4 - Aktivieren Sie den Anbieter

Aktivieren . Der Anbieterstatus wird aufAktiv Schritt 4 - Aktivieren Sie den Anbieter. Nur Aktiv Während des SSO-Anmeldevorgangs werden nur aktivierte Anbieter verwendet.

Sie können sich entscheiden Deaktivieren in der Dashboard-Konsole jederzeit. Das verschiebt den Anbieter auf Deaktiviert, was den SSO für das Domain ohne Löschung der Konfiguration pausiert.

Schritt 5 - Testen und Rollen zuweisen

Wenn ein Benutzer sich zum ersten Mal über SSO anmeldet und in der Organisation noch keine Mitgliedschaft hat, Capgo stellt ihnen die Leseberechtigung Funktion.

Nachdem sich Pilotnutzer angemeldet haben:

Gehe zu Einstellungen → Organisation → Mitglieder
Finde jeden SSO-genehmigten Benutzer
Anpassen Sie ihre Rolle auf das entsprechende Niveau (Hochladen, Schreiben, AdministratorEtc.)

Siehe den vollen Berechtigungsbereich für was jede Rolle kann.

Optional - SSO durchsetzen

Bei einem Aktiv Anbieter können Sie das SSO durchsetzenaktivieren. Wenn dies aktiviert ist, Capgo markiert bestehende Auth-Benutzer für das E-Mail-Domäne als SSO-nur und der Anmeldeprozess erfordert IdP-Authentifizierung für das Domäne. Die Einstellung des Anbieters auf Deaktiviert (DeaktivierenEntweder indem man die SSO-Einrichtung entfernt oder indem man die Überwachung deaktiviert, wird das SSO-Flag für das Domain entfernt.

Referenzstatus des Providers

Status	Bedeutung
Wartet auf Bestätigung	DNS-TXT-Eintrag noch nicht verifiziert
Verifiziert	Berechtigung bestätigt; aktivieren Sie jetzt
Aktiv	SSO ist für diese Domain aktiviert
Deaktiviert	Durch Deaktivieren Sie in der Dashboard-Ansicht; SSO wird für diese Domain nicht verwendet; verwenden Sie Wieder aktivieren zurückkehren Sie zu Aktiv

Rollout-Checkliste

Unternehmensplan bestätigt
SAML-Anwendung in IdP erstellt mit ACS-URL und Entity-ID aus Capgo
IdP konfiguriert, um eine stabile E-Mail-Kennung freizugeben
DNS-TXT-Eintrag veröffentlicht und DNS-Verifizierung Erfolgreich
Anbieter aktiviert
Pilotnutzer haben sich erfolgreich angemeldet
Berechtigungen von Standard auf __CAPGO_KEEP_1__ erhöht als erforderlich Enthaftungsentscheid getroffen (und kommuniziert, wenn aktiviert)
Zwangsentscheid getroffen (und kommuniziert, wenn aktiviert)