Inicio de sesión único (Enterprise)
Copiar un prompt de configuración con los pasos de instalación y la guía de markdown completa para este plugin.
¿Qué es SSO?
Sección titulada “¿Qué es SSO?”El Inicio de Sesión Único (SSO) permite a su equipo iniciar sesión en Capgo utilizando su proveedor de identidad de la empresa (IdP). Capgo utiliza SAML 2.0 a través de Supabase Auth. Cuando el dominio de correo electrónico de un usuario coincide con un proveedor de SSO activo, pueden autenticarse contra su IdP y se les asigna a la organización durante la llamada de retorno de SSO.
El SSO no cambia qué pueden hacer los usuarios. Los permisos están controlados por roles de organización. El SSO solo cambia cómo se autentican.
Requisitos previos
Sección titulada “Requisitos previos”Antes de empezar:
- La suscripción de Enterprise activa en la organización Capgo.
- Un proveedor de identidad que admite SAML 2.0 y expone una URL de metadatos de IdP (HTTPS). Capacidad de publicar un registro TXT de DNS
- para el dominio de correo electrónico (por ejemplo, para usuarios que inician sesión como miembro de una organización __CAPGO_KEEP_0__ con permiso para actualizar la configuración de la organización.
company.comUnuser@company.com). - A Capgo organization member with permission to update organization settings.
- Un proveedor de identidad que admite SAML 2.0 y expone una URL de metadatos de IdP (HTTPS). Capacidad de publicar un registro TXT de DNS para el dominio de correo electrónico (por ejemplo, para usuarios que inician sesión como miembros de una organización __CAPGO_KEEP_0__ con permiso para actualizar la configuración de la organización.) contactar a su lado de TI/seguridad.
¿Dónde encontrar ajustes de SSO?
Sección titulada “¿Dónde encontrar ajustes de SSO?”- Abrir https://console.capgo.app/
- Hacer clic Configuración en el panel lateral izquierdo
- Seleccionar la pestaña Organización Seleccionar la pestaña
- Organización Seguridad pestaña
- Desplácese hacia abajo Configuración de SSO. El formulario está disponible solo cuando la organización está en el plan de Enterprise.
Paso 1 - Configure su proveedor de identidad
Sección titulada “Paso 1 - Configure su proveedor de identidad”En su proveedor de identidad, cree una nueva aplicación SAML 2.0. Necesitará los siguientes Proveedor de servicios los valores mostrados en la Capgo panel de configuración de SSO:
| Campo | ¿Dónde utilizarlo |
|---|---|
| URL de ACS | URL del Servicio de Consumo de Aserciones en tu aplicación de IdP SAML |
| Identificador de Entidad | Identificador de Entidad del Proveedor de Servicios |
| URL de metadatos del SP | Opcional: importa si tu IdP admite la importación de metadatos del SP mediante URL |
| Formato de NameID | Formato esperado para el Identificador de Nombre de SAML |
Tu IdP debe liberar la dirección de correo electrónico del usuario en la aserción. en la aserción. __CAPGO_KEEP_0__ utiliza el dominio del correo electrónico para resolver el proveedor de SSO activo y para coincidir con cuentas existentes. Paso 2 - Agrega el proveedor de SSO en Capgo
- En el panel de configuración de SSO, haga clic para agregar un nuevo proveedor
- Ingrese el dominio de correo electrónico (por ejemplo,
company.com). Debe coincidir con la parte del dominio de los correos electrónicos de inicio de sesión de sus usuarios - Ingrese la URL de metadatos de su IdP (HTTPS) Enviar
- El proveedor se crea con el estado
Pendiente de verificación Paso 2 - Agregar el proveedor de SSO en __CAPGO_KEEP_0__.
Paso 3 - Verificación del dominio DNS
Sección titulada “Paso 3 - Verificación del dominio DNS”Capgo verifica que controla el dominio antes de que la autenticación única pueda activarse.
Agregar un registro TXT en su proveedor de DNS:
| Campo | Valor |
|---|---|
| Tipo | TXT |
| Nombre / host | _capgo-sso.<your-domain> (por ejemplo, _capgo-sso.company.com) |
| Valor | El token de verificación mostrado en el panel de la consola |
Una vez que el registro esté publicado (la propagación de TTL DNS suele tardar unos minutos a una hora), haga clic en Verificar DNS en la consola. En caso de éxito, el proveedor pasa a Verificado.
Paso 4 - Activar el proveedor
Sección titulada “Paso 4 - Activar el proveedor”Después de la verificación de DNS, haga clic en Activar. El estado del proveedor se convierte en ActivoSolo Active los proveedores se utilizan durante el flujo de inicio de sesión SSO.
Puede elegir Deshabilitar en el panel de control en cualquier momento. Eso mueve el proveedor a Deshabilitado, lo que pausa el inicio de sesión SSO para ese dominio sin eliminar la configuración.
Step 5 - Prueba y asigna roles
Título de la sección “Step 5 - Prueba y asigna roles”Cuando un usuario inicia sesión mediante SSO por primera vez y no tiene membresía existente en esa organización, Capgo le asigna el rol de lectura. Step 5 - Test and assign roles
Después de que los usuarios piloto se conecten:
- Ir a Configuración → Organización → Miembros
- Encuentre a cada usuario provisto de SSO
- Ajuste su rol al nivel adecuado (Subir, Escribir, AdministradorEtc.)
Consulte el desglose de permisos completo para saber qué puede hacer cada rol.
Opcional - Imponer SSO
Sección titulada “Opcional - Imponer SSO”En un Activo proveedor puedes activar/desactivar Imponer SSO. Cuando está habilitado, Capgo marca a los usuarios de autenticación existentes para ese dominio de correo electrónico como solo SSO y el flujo de inicio de sesión requiere autenticación de IdP para ese dominio. Establecer el proveedor en Deshabilitado (Desactivaro bien, desactivando la verificación elimina la bandera SSO solo para el dominio.
Referencia del estado del proveedor
Título de la sección “Referencia del estado del proveedor”| Estado | Significado |
|---|---|
| En espera de verificación | Registro TXT DNS no verificado aún |
| Verificado | La propiedad del dominio se ha confirmado; listo para activar |
| Activo | El SSO está activo para este dominio |
| Deshabilitado | Establecido por Deshabilitar en la consola; SSO no se utiliza para ese dominio; utilice Re-activar para regresar a Activo |
Lista de verificación de lanzamiento
Sección titulada “Lista de verificación de lanzamiento”- Confirmado el plan empresarial
- SAML app creado en IdP con URL de ACS y ID de entidad desde Capgo
- IdP configurado para liberar un reclamo de correo electrónico estable
- Registro TXT DNS publicado y Verificar DNS exitoso
- Proveedor activado
- Usuarios piloto conectados con éxito
- Roles elevados desde el predeterminado leer según sea necesario
- Tomada la decisión de aplicación de medidas (y comunicada si habilitado)
Documentación relacionada
Sección titulada “Documentación relacionada”Sigue adelante desde SSO (Enterprise)
Sección titulada “Sigue adelante desde SSO (Enterprise)”Si estás utilizando SSO (Enterprise) para planificar la autenticación y los flujos de cuenta, conecta con @capgo/capacitor-login-social para obtener detalles de implementación en @capgo/capacitor-login-social, @capgo/capacitor-passkey para obtener detalles de implementación en @capgo/capacitor-passkey @capgo/capacitor-nativo-biometrico para el detalle de implementación en @capgo/capacitor-nativo-biometrico, Autenticación en dos factores para el detalle de implementación en Autenticación en dos factores, y 5 Pasos para Implementar OAuth2 en Aplicaciones Capacitor para el contexto práctico en 5 Pasos para Implementar OAuth2 en Aplicaciones Capacitor