Iniciar sesión único (Enterprise)

Cuidado

La configuración de inicio de sesión único (SSO) está disponible solo en el plan de Empresa. Si no ve Configuración de inicio de sesión único (SSO) bajo Configuración → Organización → Seguridad, asegúrese de que su organización esté en el plan de Empresa o contacte con su Capgo contacto de cuenta.

¿Qué es el inicio de sesión único (SSO)?

El inicio de sesión único (SSO) permite a su equipo iniciar sesión en Capgo utilizando su proveedor de identidad de la empresa (IdP). Capgo utiliza SAML 2.0 a través de Supabase Auth. Cuando el dominio de correo electrónico de un usuario coincide con un proveedor de inicio de sesión único activo, pueden autenticarse contra su IdP y se les asigna a la organización durante la llamada de retorno de inicio de sesión único.

El inicio de sesión único (SSO) no cambia qué acciones pueden realizar los usuarios. Los permisos están controlados por papeles de la organización. Solo SSO cambia cómo se autentican.

Requisitos previos

Antes de empezar:

• Suscripción empresarial activa en la organización Capgo.
• Un proveedor de identidad que soporte SAML 2.0 y expone una URL de metadatos de IdP (HTTPS). Capacidad para publicar un
• Requisitos previos Registro TXT DNS para el dominio de correo electrónico (por ejemplo, company.com para usuarios que inician sesión como user@company.com).
• Un miembro de la organización Capgo con permiso para actualizar la configuración de la organización.
• Un Administrador de IdP contacto en tu lado de TI/seguridad.

Donde encontrar configuraciones de SSO

1. Abrir https://console.capgo.app/
2. Hacer clic Configuración en el panel lateral izquierdo
3. Seleccione la Organización pestaña
4. Seleccione la Seguridad pestaña
5. Desplácese hasta la configuración de SSOSolo está disponible cuando la organización está en el plan de Enterprise.

Paso 1 - Configure su proveedor de identidad

En tu proveedor de identidad, crea una nueva aplicación SAML 2.0. Necesitarás los siguientes valores Proveedor de Servicios los valores mostrados en el panel de configuración de SSO Capgo:

Campo	Dónde utilizarlo
URL de Consumidor de Declaración	URL de Consumidor de Declaración de Servicio en la aplicación SAML de tu proveedor de identidad
Identificador de Entidad	Identificador de entidad del proveedor de servicios
URL de metadatos del SP	Opcional: importa si tu proveedor de identidad admite la importación de metadatos del SP por URL
Formato de ID de nombre	Formato esperado para el identificador de nombre SAML

Su proveedor de identidad debe liberar la dirección de correo electrónico del usuario en la afirmación. en la afirmación. __CAPGO_KEEP_0__ utiliza el dominio de correo electrónico para resolver el proveedor de SSO activo y para coincidir con cuentas existentes. Paso 2 - Agregar el proveedor de SSO en Capgo

Sección titulada “Paso 2 - Agregar el proveedor de SSO en Capgo”

1. Ingrese el
2. dominio de correo electrónico (por ejemplo, debe coincidir con la parte del dominio de las direcciones de correo electrónico de inicio de sesión de sus usuarios company.comde sus usuarios
3. Ingresa tu proveedor de identidad URL de metadatos (HTTPS)
4. Enviar

El proveedor se crea con estado Verificación pendiente.

Paso 3 - Verificación de dominio DNS

Capgo verifica que controlas el dominio antes de que la autenticación de inicio de sesión único se active.

Agregar un registro TXT en tu proveedor de DNS: __CAPGO_KEEP_0__

Campo	Valor
Tipo	TXT
Nombre / host	_capgo-sso.<your-domain> (por ejemplo _capgo-sso.company.com)
Valor	El token de verificación mostrado en el panel de la consola

Una vez que el registro esté publicado (la propagación de TTL de DNS suele tardar unos minutos a una hora), haga clic en Verificar DNS en la consola. En caso de éxito, el proveedor pasa a Verificado.

Paso 4 - Active el proveedor

Después de la verificación de DNS, haga clic Activar. El estado del proveedor se convierte en Activo. Solo se utilizan proveedores Activo durante el flujo de inicio de sesión SSO.

Puede elegir Desactivar en el panel de control en cualquier momento. Eso mueve el proveedor a Deshabilitado, que pausa la SSO para ese dominio sin eliminar la configuración.

Paso 5 - Prueba y asigna roles

Cuando un usuario inicia sesión mediante SSO por primera vez y no tiene membresía existente en esa organización, Capgo les asigna el rol de lectura. Después de que los usuarios piloto inician sesión:

Vaya a

1. Configuración → Organización → Miembros Encuentre a cada usuario provisto por SSO
2. Ajuste su rol al nivel adecuado (
3. SubirUpload, Escribir, Administrador, etc.

Ver el desglose de permisos completo para lo que cada rol puede hacer.

Nota

Si Supabase crea un usuario de autenticación SSO separado para un correo electrónico que ya existe en Capgo, Capgo combina la identidad SSO en la cuenta existente y le pide al usuario que inicie sesión de nuevo.

Opcional - Imponer SSO

En un Proveedor activo que puedes cambiar Puedes cambiar el proveedor Impone SSOAl habilitar esto, Capgo marca a los usuarios de autenticación existentes para ese dominio de correo electrónico como SSO solo y el flujo de inicio de sesión requiere autenticación de IdP para ese dominio. Establecer el proveedor en Desactivado (Desactivar(o desactivar la configuración de SSO) elimina esa bandera SSO solo para el dominio.

Cuidado

Coordina con tu administrador de IdP y notifica a todos los usuarios afectados antes de habilitar la configuración. Los usuarios que no puedan completar la autenticación de IdP no podrán iniciar sesión con su contraseña para ese dominio.

Referencia del estado del proveedor

Estado	Significado
En espera de verificación	Registro TXT DNS no verificado aún
Verificado	Confirmado la propiedad del dominio; listo para activar
Activo	SSO está activo para este dominio
Deshabilitado	Establecido por Deshabilitar en la consola; SSO no se utiliza para ese dominio; utilice Re-activar para regresar a Activo

Lista de verificación de lanzamiento

• Confirmado el plan de empresa
• Se creó una aplicación SAML en IdP con la URL de ACS y el ID de entidad de Capgo
• IdP configurado para liberar un reclamo de correo electrónico estable
• Se publicó un registro TXT DNS y Verificar DNS tuvo éxito
• Activado el proveedor
• Los usuarios piloto se han conectado con éxito
• Roles elevados desde el valor por defecto leer según sea necesario
• Se tomó una decisión de aplicación (y se comunicó si se habilitó)

Documentación relacionada

• Organización: roles y permisos
• Seguridad de la organización: 2FA, contraseñas, API claves

Siga adelante desde SSO (Enterprise)

Si está utilizando SSO (Empresa) para planificar la autenticación y los flujos de cuenta, conecte con @capgo/capacitor-login-social para los detalles de implementación en @capgo/capacitor-login-social, @capgo/capacitor-passkey para los detalles de implementación en @capgo/capacitor-passkey, @capgo/capacitor-biométrica-nativa para los detalles de implementación en @capgo/capacitor-biométrica-nativa, Autenticación de dos factores para los detalles de implementación en Autenticación de dos factores, y 5 Pasos para Implementar OAuth2 en Aplicaciones Capacitor para el contexto práctico en 5 Pasos para Implementar OAuth2 en Aplicaciones Capacitor.