SSO (Unternehmen)
Eine Einrichtungsanweisung mit den Installationsanweisungen und der vollständigen Markdown-Guide für diesen Plugin kopieren.
Was ist SSO?
Abschnitt mit dem Titel „Was ist SSO?“Einmaliges Anmelden (Single Sign-On, SSO) ermöglicht es Ihrem Team, sich bei Capgo mit Ihrem Unternehmens-Identitätsanbieter (IdP) anzumelden. Capgo verwendet SAML 2.0 über Supabase Auth. Wenn ein Benutzers E-Mail-Domain einem aktiven SSO-Anbieter entspricht, können sie sich gegenüber Ihrem IdP authentifizieren und werden während des SSO-Rückrufs in die Organisation eingerichtet.
SSO ändert nicht, was Benutzer tun können. Die Berechtigungen werden durch Organisationsrollengesteuert. SSO ändert nur, wie sie sich anmelden.
Voraussetzungen
Abschnitt mit dem Titel „Voraussetzungen“Bevor Sie beginnen:
- Unternehmensabonnement aktiviert auf der Organisation Capgo
- Eine Identitätsanbieter, die SAML 2.0 unterstützt und eine IdP-Metadaten-URL (HTTPS) bereitstellt Fähigkeit, eine DNS-TXT-Eintrag für das E-Mail-Domäne (z.B. für Benutzer, die als "beispiel@domain.de" anmelden) zu veröffentlichen Fähigkeit, eine DNS TXT-Record für das E-Mail-Domäne (z.B. für Benutzer, die als "beispiel@domain.de" anmelden) zu veröffentlichen Fähigkeit, eine DNS TXT-Record für das E-Mail-Domäne (z.B. für Benutzer, die als "beispiel@domain.de" anmelden) zu veröffentlichen Fähigkeit, eine DNS TXT-Record für das E-Mail-Domäne (z.B. für Benutzer, die als "beispiel@domain.de" anmelden) zu veröffentlichen
- Fähigkeit, eine DNS TXT-Record für das E-Mail-Domäne (z.B. für Benutzer, die als "beispiel@domain.de" anmelden) zu veröffentlichen Fähigkeit, eine DNS TXT-Record für das E-Mail-Domäne (z.B. für Benutzer, die als "beispiel@domain.de" anmelden) zu veröffentlichen Fähigkeit, eine DNS TXT-Record für das E-Mail-Domäne (z.B. für Benutzer, die als "beispiel@domain.de" anmelden) zu veröffentlichen
company.comFähigkeit, eine DNS TXT-Record für das E-Mail-Domäne (z.B. für Benutzer, die als "beispiel@domain.de" anmelden) zu veröffentlichenuser@company.com). - Eine Capgo Mitglied der Organisation mit Berechtigung, Organisationseinstellungen zu aktualisieren.
- Ein IdP-Administrator Kontakt auf Ihrer IT-/Sicherheitsebene.
Wo SSO-Einstellungen zu finden sind
Abschnitt mit dem Titel “Wo SSO-Einstellungen zu finden sind”- Öffnen https://console.capgo.app/
- Klicken Einstellungen in der linken Seitenleiste
- Wählen Organisation Registerkarte
- Wählen Sie Sicherheit Registerkarte
- Bleiben Sie bei Konfiguration von SSODie Form ist nur verfügbar, wenn die Organisation auf dem Enterprise-Plan ist.
Schritt 1 - Konfigurieren Sie Ihren IdP
Abschnitt mit dem Titel „Schritt 1 - Konfigurieren Sie Ihren IdP“In Ihrem Identitätsanbieter erstellen Sie eine neue SAML 2.0-Anwendung. Sie benötigen die folgenden Service-Provider im Capgo-Konfigurationsfeld für SSO angezeigten Werte:
| Feld | Wo es verwendet werden soll |
|---|---|
| ACS-URL | Assertion Consumer Service-URL in Ihrer IdP-SAML-Anwendung |
| Entity-ID | Diensteanbieter-Entity-Identifier |
| SP-Metadaten-URL | Optional: Importieren, wenn Ihre IdP die SP-Metadaten über eine URL importieren kann |
| NameID-Format | Format, das für den SAML-NameIdentifier erwartet wird |
Ihr IdP muss den Benutzerdaten freigeben E-Mail-Adresse Capgo verwendet den E-Mail-Domänenbereich, um den aktiven SSO-Anbieter zu lösen und bestehende Konten abzugleichen.
Schritt 2 - Fügen Sie den SSO-Anbieter in Capgo hinzu
Sektion mit dem Titel „Schritt 2 - Fügen Sie den SSO-Anbieter in Capgo hinzu“- In der SSO-Konfigurationsanzeige klicken Sie auf „Neuer Anbieter hinzufügen“
- Eingeben Sie den E-Mail-Domänenbereich (z.B.
company.com). Er muss dem Domänenteil der E-Mail-Adressen Ihrer Benutzer bei der Anmeldung entsprechen - Eingeben Sie die IdP-Metadaten-URL (HTTPS)
- Abschicken
Der Provider wird mit Status erstellt Wartet auf Bestätigung.
Schritt 3 - DNS-Domänenüberprüfung
Abschnitt mit dem Titel “Schritt 3 - DNS-Domänenüberprüfung”Capgo überprüft, ob Sie den Domänenbesitz vor der Aktivierung von SSO besitzen.
Hinzufügen eines TXT Eintrag bei Ihrem DNS-Provider:
| Feld | Wert |
|---|---|
| Typ | TXT |
| Name / Host | _capgo-sso.<your-domain> (z.B. _capgo-sso.company.com) |
| Wert | Der im Dashboard angezeigte Verifizierungs-Token |
Sobald das Record veröffentlicht ist (DNS-TTL-Propagations dauern typischerweise einige Minuten bis eine Stunde), klicken Sie auf DNS-Verifizierung im Dashboard. Erfolgreich übertragen, wird der Provider in Verifiziert.
Schritt 4 - Aktivieren des Providers
Abschnitt mit dem Titel „Schritt 4 - Aktivieren des Providers”Nach der DNS-Verifizierung klicken Sie auf Aktivieren. Der Anbieterstatus wird zu Aktiv. Nur Aktive Anbieter werden während dem SSO-Login-Flow verwendet.
Sie können sich Deaktivieren im Dashboard jederzeit auswählen. Das bewirkt, dass der Anbieter auf Deaktiviert, was den SSO für das Domain pausiert, ohne die Konfiguration zu löschen.
Schritt 5 - Testen und Rollen zuweisen
Abschnitt mit dem Titel “Schritt 5 - Testen und Rollen zuweisen”Wenn ein Benutzer sich zum ersten Mal über SSO anmeldet und in dieser Organisation noch keine Mitgliedschaft hat, stellt Capgo ihnen eine read Rolle.
Nachdem Pilotnutzer sich angemeldet haben:
- Gehe zu Einstellungen → Organisation → Mitglieder
- Finde jeden SSO-gestellten Benutzer
- Pass ihre Rolle auf das entsprechende Niveau an (Upload, Write, Admin, etc.)
Betrachten Sie die vollständige Zulassungsauflistung für das, was jede Rolle tun kann.
Optional - SSO durchsetzen
Abschnitt mit dem Titel „Optional - SSO durchsetzen“Auf einem Aktiven Anbieter können Sie das SSO durchsetzenWhen aktiviert, Capgo markiert bestehende Auth-Benutzer für das E-Mail-Domain als SSO-nur und der Login-Flow erfordert IdP-Authentifizierung für das Domain. Die Festlegung des Providers auf Deaktiviert (Deaktivieren) oder die Abschaltung der Durchsetzung entfernt das SSO-nur-Flag für die Domain.
Anbieterstatusbezug
Abschnitt mit dem Titel “Anbieterstatusbezug”| Status | Bedeutung |
|---|---|
| Wartende Verifizierung | DNS TXT Record noch nicht verifiziert |
| Verifiziert | Domaineigentum bestätigt; aktivieren bereit |
| Aktiv | SSO ist für diese Domain aktiviert |
| Deaktiviert | Durch Deaktivieren in der Dashboard; SSO wird für diese Domain nicht verwendet; verwenden Sie Wieder aktivieren zurückkehren zu Aktiv |
Rollout-Checkliste
Abschnitt mit Titel “Rollout-Checkliste”- Unternehmensplan bestätigt
- SAML-Anwendung in IdP mit ACS-URL und Entity-ID aus Capgo erstellt
- IdP ist so konfiguriert, dass ein stabiler E-Mail-Anspruch freigegeben wird
- DNS-TXT-Eintrag veröffentlicht und DNS-Verifizierung Erfolgreich
- Anbieter aktiviert
- Pilotnutzer haben sich erfolgreich angemeldet
- Rollen wurden von Standard auf erhöht Leserechte erhöht As erforderlich
- Rechtsentscheidung getroffen (und kommuniziert, wenn aktiviert)
Zugehörige Dokumentation
Abschnitt mit dem Titel „Zugehörige Dokumentation“Fortsetzung von SSO (Enterprise)
Abschnitt mit dem Titel „Fortsetzung von SSO (Enterprise)“Wenn Sie es verwenden SSO (Enterprise) um die Authentifizierung und die Kontenflüsse zu planen, verbinden Sie es mit @capgo/capacitor-social-login für die Implementierungsdetails in @capgo/capacitor-social-login, @capgo/capacitor-passkey für die Implementierungsdetails in @capgo/capacitor-passkey, @capgo/capacitor-native-biometric für die Implementierungsdetails in @capgo/capacitor-native-biometric, Zweifaktor-Authentifizierung für die Implementierungsdetails in Zweifaktor-Authentifizierung und 5 Schritte zur Implementierung von OAuth2 in Capacitor-Apps für den praktischen Kontext in 5 Schritte zur Implementierung von OAuth2 in Capacitor-Apps.