SSO (Unternehmen)

Vorsicht

Die SSO-Einrichtung ist nur auf dem Enterprise-Plan verfügbar. Wenn Sie SSO-Konfiguration unter Einstellungen → Organisation → Sicherheit, stellen Sie sicher, dass Ihre Organisation auf dem Enterprise-Plan ist oder kontaktieren Sie Ihren Capgo Kontaktperson.

Was ist SSO?

Einmaliges Anmelden (SSO) ermöglicht es Ihrem Team, sich bei Capgo mit Ihrem Unternehmensidentitätsanbieter (IdP) anzumelden. Capgo verwendet SAML 2.0 über Supabase Auth. Wenn der E-Mail-Domänenname eines Benutzers mit einem aktiven SSO-Anbieter übereinstimmt, kann er sich gegenüber Ihrem IdP authentifizieren und wird während des SSO-Rückrufs in die Organisation eingerichtet.

SSO ändert nicht, was Benutzer tun können. Die Berechtigungen werden durch Organisationsrollengesteuert. SSO ändert nur, wie sie sich anmelden.

Voraussetzungen

Aktivierung einer Enterprise-Abonnement auf der __CAPGO_KEEP_0__-Organisation.

• Enterprise subscription active on the Capgo organization.
• SAML 2.0 und einen IdP ausgibt Einmaliges Anmelden (SSO) ermöglicht es Ihrem Team, sich bei __CAPGO_KEEP_0__ mit Ihrem Unternehmensidentitätsanbieter (IdP) anzumelden. __CAPGO_KEEP_1__ verwendet SAML 2.0 über Supabase Auth. Wenn der E-Mail-Domänenname eines Benutzers mit einem aktiven SSO-Anbieter übereinstimmt, kann er sich gegenüber Ihrem IdP authentifizieren und wird während des SSO-Rückrufs in die Organisation eingerichtet. Metadaten-URL (HTTPS).
• Fähigkeit, eine DNS TXT-Eintrag für das E-Mail-Domän (z.B. company.com für Benutzer, die als user@company.com).
• Ein Mitglied der Capgo Organisation mit Berechtigung, Organisationseinstellungen zu aktualisieren.
• Ein IdP-Administrator Kontakt auf Ihrer IT-/Sicherheitsebene.

Wo SSO-Einstellungen zu finden sind

1. Öffnen https://console.capgo.app/
2. Klicken Sie auf Einstellungen in der linken Seitenleiste
3. Wählen Sie die Organisation Registerkarte
4. Wählen Sie die Sicherheit Registerkarte
5. Bewegen Sie sich nach unten Einrichtung der SSO-Konfiguration. Die Form ist nur verfügbar, wenn das Unternehmen auf dem Enterprise-Plan ist.

Schritt 1 - Konfigurieren Sie Ihren IdP

Erstellen Sie in Ihrem Identitätsanbieter eine neue SAML 2.0-Anwendung. Sie benötigen die folgenden Diensteanbieter Werte, wie sie in der Capgo SSO-Konfigurationsanzeige angezeigt werden:

Feld	Wo es verwendet wird
ACS-URL	Assertion Consumer Service-URL in Ihrer IdP-SAML-Anwendung
Entitäts-ID	Dienstleister-Entitäts-ID
SP-Metadaten-URL	Optional: Importieren Sie, wenn Ihr IdP die Importierung von SP-Metadaten über eine URL unterstützt
NameID-Format	Format, das für den SAML-Name-Identifier erwartet wird

Ihr IdP muss die E-Mail-Adresse des Benutzers in der Aussage freigeben. __CAPGO_KEEP_0__ verwendet die E-Mail-Domäne, um den aktiven SSO-Anbieter zu lösen und bestehende Konten abzugleichen. Schritt 2 - Hinzufügen des SSO-Anbieters in Capgo

Überschrift 'Schritt 2 - Hinzufügen des SSO-Anbieters in Capgo'

1. Eingeben Sie
2. Eingeben Sie die E-Mail-Domain (z.B.) company.comEs muss der Domain-Teil deiner Benutzer-Login-E-Mails entsprechen
3. IdP-Eingabe Metadaten-URL (HTTPS)
4. Absenden

Der Anbieter wird mit Status erstellt Wartet auf Bestätigung.

Schritt 3 - DNS-Domain-Verifizierung

Capgo überprüft, ob du die Domain kontrollierst, bevor SSO aktiv werden kann.

Eine TXT-Eintrag hinzufügen bei Ihrem DNS-Anbieter: TXT Eintrag bei Ihrem DNS-Anbieter erstellen:

Feld	Wert
Typ	TXT
Name / Host	_capgo-sso.<your-domain> (z.B. _capgo-sso.company.com)
Wert	Der im Dashboard angezeigte Verifizierungs-Token

Klicken Sie nachdem der Eintrag veröffentlicht wurde (DNS-TTL-Verbreitung dauert typischerweise einige Minuten bis eine Stunde), DNS-Verifizierung bestätigen in der Dashboard. Bei Erfolg wird der Anbieter in Verifiziert.

Schritt 4 - Aktivieren Sie den Anbieter

Nach der DNS-Verifizierung klicken Sie auf Aktivieren. Der Status des Anbieters wird zu Aktiv. Nur Aktiv Anbieter werden während dem SSO-Login-Flow verwendet.

Sie können wählen Deaktivieren in der Dashboard-Konsole jederzeit. Das verschiebt den Anbieter auf Deaktiviert, was den SSO für das Domain ohne Löschung der Konfiguration pausiert.

Schritt 5 - Testen und Rollen zuweisen

Wenn ein Benutzer sich zum ersten Mal über SSO anmeldet und in der Organisation noch keine Mitgliedschaft hat, Capgo stellt ihnen die Leserecht Rolle

Nachdem Pilotbenutzer sich angemeldet haben:

1. Gehe zu Einstellungen → Organisation → Mitglieder
2. Jeden SSO-geschalteten Benutzer finden
3. Die Rolle des Benutzers auf die entsprechende Ebene anpassen (Hochladen, Schreiben, Adminusw.)

Siehe die vollständige Berechtigungsauflistung um zu sehen, was jede Rolle tun kann.

Hinweis

Wenn Supabase für eine E-Mail-Adresse einen separaten SSO-Auth-Benutzer erstellt und diese E-Mail-Adresse bereits in Capgo existiert, Capgo fusioniert die SSO-Identität mit dem bestehenden Konto und fordert den Benutzer auf, sich erneut anzumelden.

Optional - SSO-Erzwungen

Auf einem Aktiv Anbieter können Sie das SSO-Erzwungen aktivieren. Wenn dies aktiviert ist, Capgo markiert bestehende Auth-Benutzer für das E-Mail-Domäne als SSO-nur und der Login-Flow erfordert IdP-Authentifizierung für diese Domäne. Die Zuweisung des Anbieters auf Deaktivieren (DeaktivierenWenn die Anbieter auf

oder die Erzwingung abwählen, entfernt __CAPGO_KEEP_0__ das SSO-nur-Flag für die Domäne. Achtung: Achtung

Koordinieren Sie sich mit Ihrem IdP-Administrator und benachrichtigen Sie alle betroffenen Benutzer, bevor Sie die Durchsetzung aktivieren. Benutzer, die die IdP-Authentifizierung nicht abgeschlossen haben, können sich nicht mit ihrem Benutzernamen und Passwort anmelden.

Referenzstatus des Providers

Bedeutung	Wartet auf Bestätigung
DNS-TXT-Eintrag noch nicht bestätigt	Bestätigt
Eigentumsrechte an der Domain bestätigt; Bereit, aktiv zu werden	Aktiv
SSO ist für diese Domain aktiviert	Deaktiviert
Koordinieren Sie sich mit Ihrem IdP-Administrator und benachrichtigen Sie alle betroffenen Benutzer, bevor Sie die Durchsetzung aktivieren. Benutzer, die die IdP-Authentifizierung nicht abgeschlossen haben, können sich nicht mit ihrem Benutzernamen und Passwort anmelden.	Durch Deaktivieren im Dashboard; SSO wird für diese Domain nicht verwendet; verwenden Sie Wieder aktivieren um zurück zu Aktiv

Rollout-Checkliste

• Unternehmensplan bestätigt
• SAML-Anwendung in IdP mit ACS-URL und Entity-ID aus Capgo erstellt
• IdP ist konfiguriert, um eine stabile E-Mail-Kennung freizugeben
• DNS-TXT-Eintrag veröffentlicht und DNS-Verifizierung succesfully
• Anbieter aktiviert
• Erfolgreiche Anmeldung der Pilotnutzer
• Rollen wurden von Standard auf erhöht lesen nach Bedarf
• Entscheidung zur Durchsetzung getroffen (und ggf. kommuniziert, wenn aktiviert)

Dokumentation

• Organisation: Rollen und Berechtigungen
• Sicherheit der Organisation: 2FA, Passwörter, API-Schlüssel

Bleiben Sie bei SSO (Unternehmen) weitermachen

Wenn Sie SSO (Unternehmen) für die Planung der Authentifizierung und der Kontenflüsse verwenden, verbinden Sie es mit @capgo/capacitor-social-login für die Implementierungsdetails in @capgo/capacitor-social-login, @capgo/capacitor-passkey für die Implementierungsdetails in @capgo/capacitor-passkey, @capgo/capacitor-native-biometric für die Implementierungsdetails in @capgo/capacitor-native-biometric, Zweifaktor-Authentifizierung für die Implementierungsdetails in der Zwei-Faktor-Authentifizierung und 5 Schritte zur Implementierung von OAuth2 in Capacitor-Apps für den praktischen Kontext in 5 Schritte zur Implementierung von OAuth2 in Capacitor-Apps.