SSO (Unternehmen)
Eine Einstellungsanweisung mit Installationsanweisungen und der vollständigen Markdown-Dokumentation für diesen Plugin kopieren.
Was ist SSO?
Abschnitt mit dem Titel „Was ist SSO?“Mit Single Sign-On (SSO) können deine Teammitglieder sich mit ihrem Unternehmen-Identitätsanbieter (IdP) bei Capgo anmelden. Capgo verwendet SAML 2.0 über Supabase Auth. Wenn der E-Mail-Domänenname eines Benutzers mit einem aktiven SSO-Anbieter übereinstimmt, kann er sich gegenüber deinem IdP authentifizieren und wird während des SSO-Rückrufs in die Organisation eingerichtet.
SSO ändert nicht, was Benutzer tun können. Die Berechtigungen werden durch Organisationsrollengesteuert. SSO ändert nur, wie sie sich anmelden.
Voraussetzungen
Abschnitt mit dem Titel „Voraussetzungen“Bevor du beginnst:
- Enterprise-Abonnement aktiviert in der Capgo-Organisation.
- Ein Identitätsanbieter, der SAML 2.0 unterstützt und eine IdP-Metadaten-URL (HTTPS) bereitstellt. Fähigkeit, eine DNS-TXT-Eintrag-Datei für das E-Mail-Domäne (z.B. für Benutzer, die als A-Organisationsmitglied mit Berechtigung zum Aktualisieren von Organisationseinstellungen anmelden) zu veröffentlichen. Fähigkeit, eine DNS-TXT-Eintrag-Datei für das E-Mail-Domäne (z.B. für Benutzer, die als A-Organisationsmitglied mit Berechtigung zum Aktualisieren von Organisationseinstellungen anmelden) zu veröffentlichen. für Benutzer, die als A-Organisationsmitglied mit Berechtigung zum Aktualisieren von Organisationseinstellungen anmelden. für Benutzer, die als A-Organisationsmitglied mit Berechtigung zum Aktualisieren von Organisationseinstellungen anmelden.
- Ein Administrator für den IdP Ein Administrator für den IdP Ein Administrator für den IdP
company.comEin Administrator für den IdPuser@company.com). - A Capgo organization member with permission to update organization settings.
- Ein Administrator für den IdP Ein Administrator für den IdP Kontakt auf Ihrer IT-/Sicherheitsebene.
Wo finden Sie die SSO-Einstellungen?
Abschnitt mit dem Titel „Wo finden Sie die SSO-Einstellungen?“- Öffnen https://console.capgo.app/
- Klicken Einstellungen in der linken Seitenleiste
- Wählen Sie die Organisation Registerkarte
- Wählen Sie Sicherheit Registerkarte
- Zu Scrollen Konfiguration für SSO. Die Formulareinheit ist nur verfügbar, wenn das Unternehmen auf dem Enterprise-Plan ist.
Schritt 1 - Konfigurieren Sie Ihren IdP
Abschnitt mit dem Titel „Schritt 1 - Konfigurieren Sie Ihren IdP“In Ihrem Identitätsanbieter erstellen Sie eine neue SAML 2.0-Anwendung. Sie benötigen die folgenden Diensteanbieter Die im Capgo-Konfigurationsfeld für SSO angezeigten Werte:
| Feld | Wo Sie es verwenden |
|---|---|
| ACS-URL | Assertion Consumer Service-URL in Ihrem IdP SAML-Anwendung |
| Entity-ID | Diensteanbieter-Entity-Bezeichner |
| SP-Metadaten-URL | Optional: Importieren, wenn Ihre IdP die Importierung von SP-Metadaten über eine URL unterstützt |
| NameID-Format | Format, das für die SAML-Name-Identifier erwartet wird |
Ihre IdP muss die E-Mail-Adresse des Benutzers im Assertion freigeben. __CAPGO_KEEP_0__ verwendet die E-Mail-Domäne, um den aktiven SSO-Anbieter zu lösen und bestehende Konten abzugleichen. Schritt 2 - Fügen Sie den SSO-Anbieter in __CAPGO_KEEP_0__ hinzu Schritt 2 - Fügen Sie den SSO-Anbieter in Capgo hinzu
Schritt 2 - Fügen Sie den SSO-Anbieter in Capgo hinzu
Abschnitt mit dem Titel “Schritt 2 - Fügen Sie den SSO-Anbieter in Capgo hinzu”- Klicken Sie in der SSO-Konfigurationsanzeige auf "Neuen Anbieter hinzufügen"
- Geben Sie den E-Mail-Domänenname (z. B.
company.com). Es muss dem Domänenteil der E-Mail-Adressen Ihrer Benutzer entsprechen - Geben Sie die URL Ihres IdP-Metadaten ein (HTTPS) Absenden
- Der Anbieter wird mit dem Status "Wartet auf Bestätigung" erstellt
Die Anbieter ist erstellt mit Status "Wartet auf Bestätigung" Der Anbieter ist erstellt mit Status "Wartet auf Bestätigung".
Schritt 3 - DNS-Domänenüberprüfung
Abschnitt mit dem Titel „Schritt 3 - DNS-Domänenüberprüfung“Capgo überprüft, ob Sie die Domäne kontrollieren, bevor die Einwilligung in die SSO aktiviert werden kann.
Hinzufügen eines TXT Eintrags bei Ihrem DNS-Anbieter:
| Feld | Wert |
|---|---|
| Typ | TXT |
| Name / Host | _capgo-sso.<your-domain> (z.B. _capgo-sso.company.com) |
| Wert | Der in der Dashboard-Ansicht angezeigte Verifizierungs-Token |
Klicken Sie nach der Veröffentlichung des Eintrags (DNS-TTL-Propagations dauern typischerweise einige Minuten bis eine Stunde), auf DNS-Verifizierung in der Dashboard-Ansicht. Erfolgreich, wird der Anbieter auf Verifiziert.
Schritt 4 - Aktivieren Sie den Anbieter
Nach der DNS-Verifizierung klicken Sie aufAktivieren . Der Status des Anbieters wird aufAktiv Schritt 4 - Aktivieren Sie den AnbieterNur Werden Während des SSO-Login-Flusses verwendet.
Wählen Sie Deaktivieren im Dashboard jederzeit. Das verschiebt den Provider auf Deaktiviert, was den SSO für das Domain ohne Löschung der Konfiguration pausiert.
Schritt 5 - Testen und Rollen zuweisen
Abschnitt mit dem Titel “Schritt 5 - Testen und Rollen zuweisen”Wenn ein Benutzer sich zum ersten Mal über SSO anmeldet und in der Organisation noch keine Mitgliedschaft hat, Capgo stellt ihnen die Leserecht Rolle.
Nachdem Pilotnutzer sich angemeldet haben:
- Gehe zu Einstellungen → Organisation → Mitglieder
- Finde jeden SSO-genehmigten Benutzer
- Anpassen Sie ihre Rolle auf den entsprechenden Stellenwert (Hochladen, Schreiben, Administrator, usw.)
Siehe die detaillierte Berechtigungszuweisung für, was jede Rolle tun kann.
Optional - SSO erzwingen
Abschnitt mit dem Titel “Optional - SSO erzwingen”Bei einem Aktiv Anbieter können Sie das SSO erzwingen. Wenn aktiviert, Capgo kennzeichnet bestehende Auth-Benutzer für das E-Mail-Domäne als SSO-nur und der Anmeldevorgang erfordert IdP-Authentifizierung für das Domäne. Die Einstellung des Anbieters auf Deaktivieren (DeaktivierenWenn die SSO-Einrichtung deaktiviert wird, wird das SSO-Flag für das Domain entfernt.
Referenzstatus des Providers
Abschnitt mit dem Titel „Referenzstatus des Providers“| Status | Bedeutung |
|---|---|
| Wartet auf Bestätigung | DNS-TXT-Eintrag noch nicht bestätigt |
| Bestätigt | Die Domainbesitzbestätigung ist erfolgt; Bereitschaft zum Aktivieren |
| Aktiv | SSO ist aktiv für diese Domain |
| Deaktiviert | Durch Deaktivieren in der Dashboard-Ansicht; SSO wird für diese Domain nicht verwendet; verwenden Sie Wieder aktivieren zurückkehren zu Aktiv |
Rollout-Checkliste
Unterabschnitt mit dem Titel „Rollout-Checkliste“- Unternehmensplan bestätigt
- SAML-Anwendung erstellt in IdP mit ACS-URL und Entity-ID aus Capgo
- IdP konfiguriert, um eine stabile E-Mail-Kennung freizugeben
- DNS-TXT-Eintrag veröffentlicht und DNS-Verifizierung erfolgreich
- Provider aktiviert
- Pilotnutzer haben sich erfolgreich angemeldet
- Rollen von Standard auf __CAPGO_KEEP_1__ erhöht als erforderlich entsprechend
- Zustimmungsentscheid getroffen (und kommuniziert, wenn aktiviert)
Zugehörige Dokumentation
Verwandte DokumentationWeitermachen von SSO (Unternehmen)
Abschnitt mit dem Titel “Weitermachen von SSO (Unternehmen)”Wenn Sie " SSO (Unternehmen)" verwenden, um die Authentifizierung und die Kontenflüsse zu planen, verbinden Sie es mit @__CAPGO_KEEP_0__/__CAPGO_KEEP_1__-social-login für die Implementierungsdetails in @capgo/capacitor-social-login, @capgo/capacitor-passkey für die Implementierungsdetails in @capgo/capacitor-passkey, Wenn Sie "SSO (Unternehmen)" verwenden, um die Authentifizierung und die Kontenflüsse zu planen, verbinden Sie es mit @capgo/capacitor-social-login für die Implementierungsdetails in @capgo/capacitor-social-login, @capgo/capacitor-passkey für die Implementierungsdetails in @capgo/capacitor-passkey, @capgo/capacitor-native-biometrische für die Implementierungsdetails in @capgo/capacitor-native-biometrische Zwei-Faktor-Authentifizierung für die Implementierungsdetails in Zwei-Faktor-Authentifizierung, und 5 Schritte zur Implementierung von OAuth2 in Capacitor-Apps für den praktischen Kontext in 5 Schritte zur Implementierung von OAuth2 in Capacitor-Apps.