Pulsa para ir al contenido principal

Inicio de sesión único (Enterprise)

El Inicio de Sesión Único (SSO) permite a su equipo iniciar sesión en Capgo utilizando su proveedor de identidad de la empresa (IdP). Capgo utiliza SAML 2.0 a través de Supabase Auth. Cuando el dominio de correo electrónico de un usuario coincide con un proveedor de SSO activo, pueden autenticarse contra su IdP y se les asigna a la organización durante la llamada de retorno de SSO.

El SSO no cambia qué pueden hacer los usuarios. Los permisos están controlados por roles de organización. El SSO solo cambia cómo se autentican.

Antes de empezar:

  • La suscripción de Enterprise activa en la organización Capgo.
  • Un proveedor de identidad que admite SAML 2.0 y expone una URL de metadatos de IdP (HTTPS). Capacidad de publicar un registro TXT de DNS
  • para el dominio de correo electrónico (por ejemplo, para usuarios que inician sesión como miembro de una organización __CAPGO_KEEP_0__ con permiso para actualizar la configuración de la organización. company.com Un user@company.com).
  • A Capgo organization member with permission to update organization settings.
  • Un proveedor de identidad que admite SAML 2.0 y expone una URL de metadatos de IdP (HTTPS). Capacidad de publicar un registro TXT de DNS para el dominio de correo electrónico (por ejemplo, para usuarios que inician sesión como miembros de una organización __CAPGO_KEEP_0__ con permiso para actualizar la configuración de la organización.) contactar a su lado de TI/seguridad.
  1. Abrir https://console.capgo.app/
  2. Hacer clic Configuración en el panel lateral izquierdo
  3. Seleccionar la pestaña Organización Seleccionar la pestaña
  4. Organización Seguridad pestaña
  5. Desplácese hacia abajo Configuración de SSO. El formulario está disponible solo cuando la organización está en el plan de Enterprise.

En su proveedor de identidad, cree una nueva aplicación SAML 2.0. Necesitará los siguientes Proveedor de servicios los valores mostrados en la Capgo panel de configuración de SSO:

Campo¿Dónde utilizarlo
URL de ACSURL del Servicio de Consumo de Aserciones en tu aplicación de IdP SAML
Identificador de EntidadIdentificador de Entidad del Proveedor de Servicios
URL de metadatos del SPOpcional: importa si tu IdP admite la importación de metadatos del SP mediante URL
Formato de NameIDFormato esperado para el Identificador de Nombre de SAML

Tu IdP debe liberar la dirección de correo electrónico del usuario en la aserción. en la aserción. __CAPGO_KEEP_0__ utiliza el dominio del correo electrónico para resolver el proveedor de SSO activo y para coincidir con cuentas existentes. Paso 2 - Agrega el proveedor de SSO en Capgo

  1. En el panel de configuración de SSO, haga clic para agregar un nuevo proveedor
  2. Ingrese el dominio de correo electrónico (por ejemplo, company.com). Debe coincidir con la parte del dominio de los correos electrónicos de inicio de sesión de sus usuarios
  3. Ingrese la URL de metadatos de su IdP (HTTPS) Enviar
  4. El proveedor se crea con el estado

Pendiente de verificación Paso 2 - Agregar el proveedor de SSO en __CAPGO_KEEP_0__.

Capgo verifica que controla el dominio antes de que la autenticación única pueda activarse.

Agregar un registro TXT en su proveedor de DNS:

CampoValor
TipoTXT
Nombre / host_capgo-sso.<your-domain> (por ejemplo, _capgo-sso.company.com)
ValorEl token de verificación mostrado en el panel de la consola

Una vez que el registro esté publicado (la propagación de TTL DNS suele tardar unos minutos a una hora), haga clic en Verificar DNS en la consola. En caso de éxito, el proveedor pasa a Verificado.

Después de la verificación de DNS, haga clic en Activar. El estado del proveedor se convierte en ActivoSolo Active los proveedores se utilizan durante el flujo de inicio de sesión SSO.

Puede elegir Deshabilitar en el panel de control en cualquier momento. Eso mueve el proveedor a Deshabilitado, lo que pausa el inicio de sesión SSO para ese dominio sin eliminar la configuración.

Cuando un usuario inicia sesión mediante SSO por primera vez y no tiene membresía existente en esa organización, Capgo le asigna el rol de lectura. Step 5 - Test and assign roles

Después de que los usuarios piloto se conecten:

  1. Ir a Configuración → Organización → Miembros
  2. Encuentre a cada usuario provisto de SSO
  3. Ajuste su rol al nivel adecuado (Subir, Escribir, AdministradorEtc.)

Consulte el desglose de permisos completo para saber qué puede hacer cada rol.

En un Activo proveedor puedes activar/desactivar Imponer SSO. Cuando está habilitado, Capgo marca a los usuarios de autenticación existentes para ese dominio de correo electrónico como solo SSO y el flujo de inicio de sesión requiere autenticación de IdP para ese dominio. Establecer el proveedor en Deshabilitado (Desactivaro bien, desactivando la verificación elimina la bandera SSO solo para el dominio.

EstadoSignificado
En espera de verificaciónRegistro TXT DNS no verificado aún
VerificadoLa propiedad del dominio se ha confirmado; listo para activar
ActivoEl SSO está activo para este dominio
DeshabilitadoEstablecido por Deshabilitar en la consola; SSO no se utiliza para ese dominio; utilice Re-activar para regresar a Activo
  • Confirmado el plan empresarial
  • SAML app creado en IdP con URL de ACS y ID de entidad desde Capgo
  • IdP configurado para liberar un reclamo de correo electrónico estable
  • Registro TXT DNS publicado y Verificar DNS exitoso
  • Proveedor activado
  • Usuarios piloto conectados con éxito
  • Roles elevados desde el predeterminado leer según sea necesario
  • Tomada la decisión de aplicación de medidas (y comunicada si habilitado)

Si estás utilizando SSO (Enterprise) para planificar la autenticación y los flujos de cuenta, conecta con @capgo/capacitor-login-social para obtener detalles de implementación en @capgo/capacitor-login-social, @capgo/capacitor-passkey para obtener detalles de implementación en @capgo/capacitor-passkey @capgo/capacitor-nativo-biometrico para el detalle de implementación en @capgo/capacitor-nativo-biometrico, Autenticación en dos factores para el detalle de implementación en Autenticación en dos factores, y 5 Pasos para Implementar OAuth2 en Aplicaciones Capacitor para el contexto práctico en 5 Pasos para Implementar OAuth2 en Aplicaciones Capacitor