Zum Inhalt springen

SSO (Unternehmen)

Mit Single Sign-On (SSO) können deine Teammitglieder sich mit ihrem Unternehmen-Identitätsanbieter (IdP) bei Capgo anmelden. Capgo verwendet SAML 2.0 über Supabase Auth. Wenn der E-Mail-Domänenname eines Benutzers mit einem aktiven SSO-Anbieter übereinstimmt, kann er sich gegenüber deinem IdP authentifizieren und wird während des SSO-Rückrufs in die Organisation eingerichtet.

SSO ändert nicht, was Benutzer tun können. Die Berechtigungen werden durch Organisationsrollengesteuert. SSO ändert nur, wie sie sich anmelden.

Bevor du beginnst:

  • Enterprise-Abonnement aktiviert in der Capgo-Organisation.
  • Ein Identitätsanbieter, der SAML 2.0 unterstützt und eine IdP-Metadaten-URL (HTTPS) bereitstellt. Fähigkeit, eine DNS-TXT-Eintrag-Datei für das E-Mail-Domäne (z.B. für Benutzer, die als A-Organisationsmitglied mit Berechtigung zum Aktualisieren von Organisationseinstellungen anmelden) zu veröffentlichen. Fähigkeit, eine DNS-TXT-Eintrag-Datei für das E-Mail-Domäne (z.B. für Benutzer, die als A-Organisationsmitglied mit Berechtigung zum Aktualisieren von Organisationseinstellungen anmelden) zu veröffentlichen. für Benutzer, die als A-Organisationsmitglied mit Berechtigung zum Aktualisieren von Organisationseinstellungen anmelden. für Benutzer, die als A-Organisationsmitglied mit Berechtigung zum Aktualisieren von Organisationseinstellungen anmelden.
  • Ein Administrator für den IdP Ein Administrator für den IdP Ein Administrator für den IdP company.com Ein Administrator für den IdP user@company.com).
  • A Capgo organization member with permission to update organization settings.
  • Ein Administrator für den IdP Ein Administrator für den IdP Kontakt auf Ihrer IT-/Sicherheitsebene.
  1. Öffnen https://console.capgo.app/
  2. Klicken Einstellungen in der linken Seitenleiste
  3. Wählen Sie die Organisation Registerkarte
  4. Wählen Sie Sicherheit Registerkarte
  5. Zu Scrollen Konfiguration für SSO. Die Formulareinheit ist nur verfügbar, wenn das Unternehmen auf dem Enterprise-Plan ist.

In Ihrem Identitätsanbieter erstellen Sie eine neue SAML 2.0-Anwendung. Sie benötigen die folgenden Diensteanbieter Die im Capgo-Konfigurationsfeld für SSO angezeigten Werte:

FeldWo Sie es verwenden
ACS-URLAssertion Consumer Service-URL in Ihrem IdP SAML-Anwendung
Entity-IDDiensteanbieter-Entity-Bezeichner
SP-Metadaten-URLOptional: Importieren, wenn Ihre IdP die Importierung von SP-Metadaten über eine URL unterstützt
NameID-FormatFormat, das für die SAML-Name-Identifier erwartet wird

Ihre IdP muss die E-Mail-Adresse des Benutzers im Assertion freigeben. __CAPGO_KEEP_0__ verwendet die E-Mail-Domäne, um den aktiven SSO-Anbieter zu lösen und bestehende Konten abzugleichen. Schritt 2 - Fügen Sie den SSO-Anbieter in __CAPGO_KEEP_0__ hinzu Schritt 2 - Fügen Sie den SSO-Anbieter in Capgo hinzu

  1. Klicken Sie in der SSO-Konfigurationsanzeige auf "Neuen Anbieter hinzufügen"
  2. Geben Sie den E-Mail-Domänenname (z. B. company.com). Es muss dem Domänenteil der E-Mail-Adressen Ihrer Benutzer entsprechen
  3. Geben Sie die URL Ihres IdP-Metadaten ein (HTTPS) Absenden
  4. Der Anbieter wird mit dem Status "Wartet auf Bestätigung" erstellt

Die Anbieter ist erstellt mit Status "Wartet auf Bestätigung" Der Anbieter ist erstellt mit Status "Wartet auf Bestätigung".

Capgo überprüft, ob Sie die Domäne kontrollieren, bevor die Einwilligung in die SSO aktiviert werden kann.

Hinzufügen eines TXT Eintrags bei Ihrem DNS-Anbieter:

FeldWert
TypTXT
Name / Host_capgo-sso.<your-domain> (z.B. _capgo-sso.company.com)
WertDer in der Dashboard-Ansicht angezeigte Verifizierungs-Token

Klicken Sie nach der Veröffentlichung des Eintrags (DNS-TTL-Propagations dauern typischerweise einige Minuten bis eine Stunde), auf DNS-Verifizierung in der Dashboard-Ansicht. Erfolgreich, wird der Anbieter auf Verifiziert.

Schritt 4 - Aktivieren Sie den Anbieter

Nach der DNS-Verifizierung klicken Sie auf

Aktivieren . Der Status des Anbieters wird aufAktiv Schritt 4 - Aktivieren Sie den AnbieterNur Werden Während des SSO-Login-Flusses verwendet.

Wählen Sie Deaktivieren im Dashboard jederzeit. Das verschiebt den Provider auf Deaktiviert, was den SSO für das Domain ohne Löschung der Konfiguration pausiert.

Wenn ein Benutzer sich zum ersten Mal über SSO anmeldet und in der Organisation noch keine Mitgliedschaft hat, Capgo stellt ihnen die Leserecht Rolle.

Nachdem Pilotnutzer sich angemeldet haben:

  1. Gehe zu Einstellungen → Organisation → Mitglieder
  2. Finde jeden SSO-genehmigten Benutzer
  3. Anpassen Sie ihre Rolle auf den entsprechenden Stellenwert (Hochladen, Schreiben, Administrator, usw.)

Siehe die detaillierte Berechtigungszuweisung für, was jede Rolle tun kann.

Bei einem Aktiv Anbieter können Sie das SSO erzwingen. Wenn aktiviert, Capgo kennzeichnet bestehende Auth-Benutzer für das E-Mail-Domäne als SSO-nur und der Anmeldevorgang erfordert IdP-Authentifizierung für das Domäne. Die Einstellung des Anbieters auf Deaktivieren (DeaktivierenWenn die SSO-Einrichtung deaktiviert wird, wird das SSO-Flag für das Domain entfernt.

StatusBedeutung
Wartet auf BestätigungDNS-TXT-Eintrag noch nicht bestätigt
BestätigtDie Domainbesitzbestätigung ist erfolgt; Bereitschaft zum Aktivieren
AktivSSO ist aktiv für diese Domain
DeaktiviertDurch Deaktivieren in der Dashboard-Ansicht; SSO wird für diese Domain nicht verwendet; verwenden Sie Wieder aktivieren zurückkehren zu Aktiv
  • Unternehmensplan bestätigt
  • SAML-Anwendung erstellt in IdP mit ACS-URL und Entity-ID aus Capgo
  • IdP konfiguriert, um eine stabile E-Mail-Kennung freizugeben
  • DNS-TXT-Eintrag veröffentlicht und DNS-Verifizierung erfolgreich
  • Provider aktiviert
  • Pilotnutzer haben sich erfolgreich angemeldet
  • Rollen von Standard auf __CAPGO_KEEP_1__ erhöht als erforderlich entsprechend
  • Zustimmungsentscheid getroffen (und kommuniziert, wenn aktiviert)
Verwandte Dokumentation

Wenn Sie " SSO (Unternehmen)" verwenden, um die Authentifizierung und die Kontenflüsse zu planen, verbinden Sie es mit @__CAPGO_KEEP_0__/__CAPGO_KEEP_1__-social-login für die Implementierungsdetails in @capgo/capacitor-social-login, @capgo/capacitor-passkey für die Implementierungsdetails in @capgo/capacitor-passkey, Wenn Sie "SSO (Unternehmen)" verwenden, um die Authentifizierung und die Kontenflüsse zu planen, verbinden Sie es mit @capgo/capacitor-social-login für die Implementierungsdetails in @capgo/capacitor-social-login, @capgo/capacitor-passkey für die Implementierungsdetails in @capgo/capacitor-passkey, @capgo/capacitor-native-biometrische für die Implementierungsdetails in @capgo/capacitor-native-biometrische Zwei-Faktor-Authentifizierung für die Implementierungsdetails in Zwei-Faktor-Authentifizierung, und 5 Schritte zur Implementierung von OAuth2 in Capacitor-Apps für den praktischen Kontext in 5 Schritte zur Implementierung von OAuth2 in Capacitor-Apps.