Einbindung von SSO (Unternehmen)

Achtung

Die Einrichtung von SSO ist nur auf dem Enterprise-Plan verfügbar. Wenn Sie nicht sehen SSO-Konfiguration unter Einstellungen → Organisation → Sicherheitstellen Sie sicher, dass Ihre Organisation auf dem Enterprise-Plan ist oder kontaktieren Sie Ihren Capgo-Kontakt.

Was ist SSO?

Einmaliges Anmelden (SSO) ermöglicht Ihrem Team, sich bei Capgo mit Ihrem Unternehmens-Identitätsanbieter (IdP) anzumelden. Capgo verwendet SAML 2.0 über Supabase Auth. Wenn das E-Mail-Domänen des Benutzers mit einem aktiven SSO-Anbieter übereinstimmt, kann er sich gegenüber Ihrem IdP authentifizieren und wird während des SSO-Rückrufs in die Organisation eingerichtet.

SSO ändert nicht, was Benutzer tun können. Die Berechtigungen werden durch Organisationsrollen. SSO ändert nur, wie sie sich authentifizieren.

Voraussetzungen

Bevor Sie beginnen:

• Unternehmensabonnement aktiviert auf der Organisation Capgo.
• Eine Identitätsanbieter, die SAML 2.0 unterstützt und eine IdP-Metadaten-URL (HTTPS) bereitstellt. Fähigkeit, eine SAML 2.0-IdP-Metadaten-URL (HTTPS) bereitzustellen. Fähigkeit, eine SAML 2.0-IdP-Metadaten-URL (HTTPS) bereitzustellen. Fähigkeit, eine SAML 2.0-IdP-Metadaten-URL (HTTPS) bereitzustellen. Fähigkeit, eine SAML 2.0-IdP-Metadaten-URL (HTTPS) bereitzustellen.
• Fähigkeit, eine SAML 2.0-IdP-Metadaten-URL (HTTPS) bereitzustellen. DNS TXT-Eintrag für das E-Mail-Domänen-Beispiel (z.B. company.com für Benutzer, die als user@company.com).
• Ein Capgo-Organisationsmitglied mit Berechtigung zur Aktualisierung von Organisations-Einstellungen.
• Ein IdP-Administrator Kontakt auf Ihrer IT-/Sicherheitsebene.

Wo SSO-Einstellungen zu finden sind

1. Öffnen https://console.capgo.app/
2. Klicken Einstellungen in der linken Seitenleiste
3. Wählen Sie das Unternehmen Registerkarte
4. Wählen Sie das Sicherheit Registerkarte
5. Blättern Sie zu SSO-Konfiguration. Die Form ist nur verfügbar, wenn das Unternehmen auf dem Enterprise-Plan ist.

Schritt 1 - Konfigurieren Sie Ihren IdP

In Ihrem Identitätsanbieter erstellen Sie eine neue SAML 2.0-Anwendung. Sie benötigen die folgenden Werte Diensteanbieter die im Capgo-SSO-Konfigurationsfeld angezeigt werden:

Feld	Wo Sie es verwenden
ACS-URL	Assertion Consumer Service-URL in Ihrer IdP-SAML-Anwendung
Entitäts-ID	Diensteanbieter-Entitätsbezeichner
SP-Metadaten-URL	Optional: Importieren, wenn Ihr IdP SP-Metadaten über eine URL unterstützt
NameID-Format	Format, das für den SAML-Name-Identifier erwartet wird

Ihr IdP muss die E-Mail-Adresse des Benutzers im Assertion freigeben. __CAPGO_KEEP_0__ verwendet die E-Mail-Domain, um den aktiven SSO-Anbieter zu lösen und bestehende Konten abzugleichen. Schritt 2 - Fügen Sie den SSO-Anbieter in __CAPGO_KEEP_0__ hinzu Abschnitt mit dem Titel „Schritt 2 - Fügen Sie den SSO-Anbieter in Capgo hinzu“

Step 2 - Add the SSO provider in Capgo

1. E-Mail-Domain
2. z. B. Es muss der Domain-Teil der E-Mail-Adressen Ihrer Benutzer entsprechen, mit denen sie sich anmelden (z. B.) company.comEs muss der Domain-Teil der E-Mail-Adressen Ihrer Benutzer entsprechen, mit denen sie sich anmelden.
3. Geben Sie Ihren IdP ein Metadaten-URL (HTTPS)
4. Absenden

Der Anbieter wird mit Status erstellt Wartet auf Bestätigung.

Schritt 3 - DNS-Domänenüberprüfung

Capgo überprüft, ob Sie die Domäne kontrollieren, bevor die Einlösefunktion aktiviert werden kann.

Hinzufügen TXT -Eintrag bei Ihrem DNS-Anbieter:

Feld	Wert
Typ	TXT
Name / Host	_capgo-sso.<your-domain> (z.B. _capgo-sso.company.com)
Wert	Der im Dashboard angezeigte Verifizierungs-Token

Klicken Sie nach dem Veröffentlichen des Eintrags (DNS-TTL-Propagations dauert typischerweise einige Minuten bis eine Stunde), auf DNS-Verifizierung im Dashboard. Erfolgreich, wird der Anbieter auf Verifiziert.

Schritt 4 - Aktivieren Sie den Anbieter

Nach der DNS-Verifizierung klicken Sie auf Aktivieren. Der Status des Providers wird zu Aktiv. Nur Aktiv Provider werden während des SSO-Login-Flows verwendet.

Sie können Deaktivieren in der Dashboard-Übersicht jederzeit auswählen. Das bewegt den Provider in den Zustand Deaktiviert, die die SSO für diese Domain ohne Löschung der Konfiguration pausiert.

Schritt 5 - Testen und Rollen zuweisen

Wenn ein Benutzer sich zum ersten Mal über SSO anmeldet und in dieser Organisation noch keine Mitgliedschaft hat, Capgo stellt ihnen das lesen Rolle.

Nachdem Pilotnutzer sich angemeldet haben:

1. Gehe zu Einstellungen → Organisation → Mitglieder
2. Finde jeden SSO-gesteuerten Benutzer
3. Anpassen ihrer Rolle auf den entsprechenden Level (Hochladen, Erstellen, Adminu. a.)

Siehe die vollständige Auflistung der Berechtigungen für das, was jede Rolle tun kann.

Hinweis

Wenn Supabase für einen E-Mail-Adresse einen separaten SSO-Auth-Benutzer erstellt und diese E-Mail-Adresse bereits in Capgo existiert, Capgo fusioniert die SSO-Identität mit dem bestehenden Konto und fordert den Benutzer auf, sich erneut anzumelden.

Optional - SSO durchsetzen

An Aktiv Anbieter, den Sie umschalten können SSO durchsetzenWenn aktiviert, Capgo markiert bestehende Auth-Benutzer für das E-Mail-Domäne als SSO-nur und der Anmeldefluss erfordert IdP-Authentifizierung für das Domäne. Die Einstellung des Anbieters auf Deaktiviert (DeaktivierenAchtung

Koordinieren Sie sich mit Ihrem IdP-Administrator und benachrichtigen Sie alle betroffenen Benutzer, bevor Sie die Durchsetzung aktivieren. Benutzer, die die IdP-Authentifizierung nicht abschließen können, können sich nicht mit ihrem Passwort für die Domäne anmelden.

Referenz für den Anbieterstatus

Abschnitt mit dem Titel „Referenz für den Anbieterstatus“

Status	Bedeutung
Ausstehend	DNS TXT-Eintrag noch nicht verifiziert
Verifiziert	Berechtigung bestätigt; aktivieren Sie bereit
Aktiv	SSO ist für diese Domain aktiviert
Deaktiviert	Durch Deaktivieren Sie in der Konsole; SSO wird für diese Domain nicht verwendet; verwenden Sie in der Konsole; SSO wird für diese Domain nicht verwendet; verwenden Sie Wiederaktivieren zurückkehren zu Aktiv

Rollout-Checkliste

• Unternehmensplan bestätigt
• SAML-Anwendung in IdP mit ACS-URL und Entity-ID aus Capgo erstellt
• IdP ist so konfiguriert, dass ein stabiler E-Mail-Anspruch freigegeben wird
• DNS-TXT-Eintrag veröffentlicht und DNS-Verifizierung erfolgreich
• Anbieter aktiviert
• Pilotnutzer haben sich erfolgreich angemeldet
• Rollen wurden von Standard auf erhöht lesen wie nötig
• Entscheidung zur Durchsetzung getroffen (und wenn aktiviert, kommuniziert)

Zugehörige Dokumentation

• Organisation: Rollen und Berechtigungen
• Organisationssicherheit: 2FA, Passwörter, API-Schlüssel

Weitermachen von SSO (Enterprise)

Wenn Sie diese verwenden Ein-Geber-Anmeldung (Unternehmen) um die Authentifizierung und die Kontenflüsse zu planen, verbinden Sie es mit @capgo/capacitor-social-login für die Implementierungsdetails in @capgo/capacitor-social-login, @capgo/capacitor-passkey für die Implementierungsdetails in @capgo/capacitor-passkey, @capgo/capacitor-native-biometric für die Implementierungsdetails in @capgo/capacitor-native-biometric, Zwei-Faktor-Authentifizierung für die Implementierungsdetails in Zwei-Faktor-Authentifizierung, und 5 Schritte zur Implementierung von OAuth2 in Capacitor-Apps für den praktischen Kontext in 5 Schritte zur Implementierung von OAuth2 in Capacitor-Apps.