SSO (Empresa)

Cuidado

La configuración de inicio de sesión único (SSO) está disponible solo en el plan de Enterprise. Si no ve Configuración de inicio de sesión único (SSO) bajo Configuración → Organización → Seguridad, asegúrese de que su organización esté en el plan de Enterprise o contacte con su contacto de cuenta Capgo.

¿Qué es el inicio de sesión único (SSO)?

El inicio de sesión único (SSO) permite a tu equipo iniciar sesión en Capgo utilizando tu proveedor de identidad de la empresa (IdP). Capgo utiliza SAML 2.0 a través de Supabase Auth. Cuando el dominio de correo electrónico de un usuario coincide con un proveedor de SSO activo, pueden autenticarse contra tu IdP y se les asigna a la organización durante la llamada de retorno de SSO.

El SSO no cambia qué pueden hacer los usuarios. Los permisos están controlados por roles de organización. El SSO solo cambia cómo se autentican.

Requisitos previos

Antes de empezar:

• Una suscripción empresarial activa en la organización Capgo.
• Un proveedor de identidad que soporte SAML 2.0 y expone un IdP metadata URL (HTTPS).
• Capacidad para publicar un Registro TXT de DNS para el dominio de correo electrónico (por ejemplo. company.com para los usuarios que inician sesión como user@company.com).
• Un miembro de la organización Capgo con permiso para actualizar la configuración de la organización.
• Un Administrador de IdP contacto en tu lado de TI/seguridad.

¿Dónde encontrar la configuración de SSO?

1. Abrir https://console.capgo.app/
2. Haga clic Configuración en el menú lateral izquierdo
3. Seleccione la Organización pestaña
4. Seleccione la Seguridad pestaña
5. Desplácese hacia abajo Configuración de SSO. El formulario está disponible solo cuando la organización está en el plan de Enterprise.

Paso 1 - Configura tu proveedor de identidad

En tu proveedor de identidad, crea una nueva aplicación SAML 2.0. Necesitarás los siguientes Proveedor de Servicios los valores mostrados en la Capgo configuración de SSO:

Campo	Donde utilizarlo
URL de Consumidor de Assertión	URL de Consumidor de Assertión en tu aplicación de SAML de proveedor de identidad
ID de Entidad	Identificador de entidad del proveedor de servicios
URL de metadatos del SP	Opcional: importa si tu IdP admite la importación de metadatos de SP mediante URL
Formato de NombreID	Formato esperado para el identificador de nombre de SAML

Tu IdP debe emitir la dirección de correo electrónico del usuario en la afirmación. __CAPGO_KEEP_0__ utiliza el dominio del correo electrónico para resolver el proveedor de SSO activo y para coincidir con cuentas existentes. Paso 2 - Agrega el proveedor de SSO en Capgo

Sección titulada “Paso 2 - Agrega el proveedor de SSO en Capgo”

1. Ingresa
2. In the SSO configuration panel, click to add a new provider dominio de correo electrónico (por ejemplo,) company.comDebe coincidir con el dominio de la dirección de correo electrónico de inicio de sesión de tus usuarios
3. Ingresa tu proveedor de identidad URL de metadatos (HTTPS)
4. Enviar

El proveedor se crea con estado Verificación pendiente.

Paso 3 - Verificación del dominio DNS

Capgo verifica que controlas el dominio antes de que la autenticación de SSO se active.

Agregar un TXT registro en su proveedor de DNS:

Campo	Valor
Tipo	TXT
Nombre / host	_capgo-sso.<your-domain> (por ejemplo _capgo-sso.company.com)
Valor	El token de verificación mostrado en el panel de la consola

Una vez que el registro esté publicado (la propagación de TTL de DNS suele tardar unos minutos a una hora), haga clic en Verificar DNS en el panel de control. Con éxito, el proveedor se mueve a Verificado.

Paso 4 - Activar el proveedor

Después de la verificación DNS, haga clic en Activar. El estado del proveedor se convierte en Activo. Solo Activo proveedores se utilizan durante el flujo de inicio de sesión SSO.

Puede elegir Desactivar en la consola en cualquier momento. Eso mueve al proveedor a Deshabilitado, lo que pausa la autenticación de SSO para ese dominio sin eliminar la configuración.

Step 5 - Prueba y asigna roles

Cuando un usuario inicia sesión mediante SSO por primera vez y no tiene membresía existente en esa organización, Capgo les asigna el rol de lectura. Después de que los usuarios piloto inician sesión:

Ir a

1. Configuración → Organización → Miembros Step 5 - Test and assign roles
2. Encuentre a cada usuario provisto de SSO
3. Ajuste su rol al nivel adecuado (Cargar, Escribir, Administrador, etc.)

Consulte la desglose de permisos completo para saber qué puede hacer cada rol.

Nota

Si Supabase crea un usuario de autenticación SSO separado para un correo electrónico que ya existe en Capgo, Capgo combina la identidad de SSO en la cuenta existente y le pide al usuario que inicie sesión de nuevo.

Opcional - Imponer inicio de sesión único

En un Activo proveedor puedes activar/desactivar Imponer inicio de sesión único. Cuando está habilitado, Capgo marca a los usuarios de autenticación existentes para ese dominio de correo electrónico como inicio de sesión único y el flujo de inicio de sesión requiere autenticación de proveedor para ese dominio. Establecer el proveedor en Deshabilitado (Deshabilitar) o desactivar la imposición elimina esa bandera de inicio de sesión único para el dominio.

Advertencia

Coordine con tu administrador de IdP y notifique a todos los usuarios afectados antes de habilitar la enforcement. Los usuarios que no puedan completar la autenticación de IdP no podrán iniciar sesión con su contraseña para ese dominio.

Referencia del estado del proveedor

Significado	En espera de verificación
Registro TXT DNS no verificado aún	Verificado
Propiedad del dominio confirmada; listo para activar	Activo
SSO está activo para este dominio	Deshabilitado
__CAPGO_KEEP_0__	Configurado por Deshabilitar en la consola; SSO no se utiliza para ese dominio; utilice Re-activar para regresar a Activo

Lista de verificación de lanzamiento

• Confirmado el plan empresarial
• Aplicación SAML creada en IdP con la URL de ACS y el ID de entidad de Capgo
• IdP configurado para liberar un reclamo de correo electrónico estable
• Registro TXT DNS publicado y Verificar DNS sucedido
• Proveedor activado
• Usuarios piloto conectados con éxito
• Roles elevados desde el valor por defecto leer según sea necesario
• Decisión de aplicación de medidas (y comunicada si está habilitada)

Documentación relacionada

• Organización: roles y permisos
• Seguridad de la organización: 2FA, contraseñas, API claves

Sigue adelante desde SSO (Empresa)

Si estás utilizando SSO (Empresa) para planificar la autenticación y los flujos de cuenta, conecta con @capgo/capacitor-login-social para los detalles de implementación en @capgo/capacitor-login-social, @capgo/capacitor-clave-privada para los detalles de implementación en @capgo/capacitor-clave-privada, @capgo/capacitor-biometría-nativa para los detalles de implementación en @capgo/capacitor-biometría-nativa, La autenticación de dos factores para el detalle de implementación en la autenticación de dos factores, y 5 Pasos para Implementar OAuth2 en Capacitor Apps para el contexto práctico en 5 Pasos para Implementar OAuth2 en Capacitor Apps.