SSO (Empresa)

Copiar un prompt de configuración con los pasos de instalación y la guía de markdown completa para este plugin.

¿Qué es SSO?

El Inicio de Sesión Único (SSO) permite a su equipo iniciar sesión en Capgo utilizando su proveedor de identidad de la empresa (IdP). Capgo utiliza SAML 2.0 a través de Supabase Auth. Cuando el dominio de correo electrónico de un usuario coincide con un proveedor de SSO activo, pueden autenticarse contra su IdP y se les asigna a la organización durante la llamada de retorno de SSO.

El SSO no cambia qué acciones pueden realizar los usuarios. Los permisos están controlados por roles de organización. El SSO solo cambia cómo se autentican.

Requisitos previos

Antes de empezar:

Suscripción de Enterprise activa en la organización Capgo.
Un proveedor de identidad que admite SAML 2.0 y expone una URL de metadatos de IdP (HTTPS). Capacidad para publicar un registro DNS TXT
para el dominio de correo electrónico (por ejemplo para los usuarios que inician sesión como Un miembro de la organización __CAPGO_KEEP_0__ con permiso para actualizar la configuración de la organización. company.com Un user@company.com).
A Capgo organization member with permission to update organization settings.
admin IdP contactar a su lado de TI/seguridad.

¿Dónde encontrar ajustes de SSO?

Abrir https://console.capgo.app/
Hacer clic Configuración en el panel lateral izquierdo
Seleccionar la pestaña Organización Seleccionar la
Organización Seguridad pestaña
Ir a la parte superior Configuración de SSO. El formulario solo está disponible cuando la organización está en el plan de Enterprise.

Paso 1 - Configure su proveedor de identidad

En su proveedor de identidad, cree una nueva aplicación SAML 2.0. Necesitará los siguientes Proveedor de Servicios los valores mostrados en la pestaña de configuración de SSO Capgo:

Campo	¿Dónde usarlo
URL de ACS	URL del Servicio de Consumo de Aserciones en tu aplicación de SAML de IdP
Identificador de Entidad	Identificador de Entidad del Proveedor de Servicios
URL de metadatos del SP	Opcional: importa si tu IdP admite la importación de metadatos del SP mediante URL
Formato de NameID	Formato esperado para el Identificador de Nombre de SAML

Tu IdP debe liberar la dirección de correo electrónico del usuario en la aserción. __CAPGO_KEEP_0__ utiliza el dominio de correo electrónico para resolver el proveedor de SSO activo y para coincidir con cuentas existentes. Paso 2 - Agrega el proveedor de SSO en Capgo

Step 2 - Add the SSO provider in Capgo

En el panel de configuración de SSO, haga clic para agregar un nuevo proveedor
Ingrese el dominio de correo electrónico (por ejemplo, company.com). Debe coincidir con la parte del dominio de los correos electrónicos de inicio de sesión de sus usuarios
Ingrese la URL de metadatos de su IdP (HTTPS) Enviar
El proveedor se crea con el estado

Pendiente de verificación Paso 2 - Agregar el proveedor de SSO en __CAPGO_KEEP_0__.

Paso 3 - Verificación del dominio DNS

Capgo verifica que controla el dominio antes de que la autenticación única de inicio (SSO) pueda activarse.

Agregar un registro TXT en su proveedor de DNS:

Campo	Valor
Tipo	`TXT`
Nombre / host	`_capgo-sso.<your-domain>` (por ejemplo, `_capgo-sso.company.com`)
Valor	El token de verificación mostrado en el panel de la consola

Una vez que el registro esté publicado (la propagación de TTL DNS suele tardar unos minutos a una hora), haga clic en Verificar DNS en la consola. En caso de éxito, el proveedor se mueve a Verificado.

Paso 4 - Activar el proveedor

Después de la verificación de DNS, haga clic en Activar. El estado del proveedor se convierte en ActivoSolo Activo Los proveedores se utilizan durante el flujo de inicio de sesión SSO.

Puedes elegir Desactivar en el panel de control en cualquier momento. Eso mueve el proveedor a Deshabilitado, lo que pausa el SSO para ese dominio sin eliminar la configuración.

Paso 5 - Prueba y asigna roles

Cuando un usuario inicia sesión mediante SSO por primera vez y no tiene membresía existente en esa organización, Capgo les asigna el rol de lectura. Paso 5 - Prueba y asigna roles

Después de que los usuarios piloto se conecten:

Ir a Configuración → Organización → Miembros
Encuentre a cada usuario provisto por SSO
Ajuste su rol al nivel adecuado (Subir, Escribir, Administrador, etc.)

Consulte el desglose de permisos completo para saber qué puede hacer cada rol.

Opcional - Imponer SSO

En un Activo proveedor puedes activar/desactivar Imponer SSO. Cuando está habilitado, Capgo marca a los usuarios de autenticación existentes para ese dominio de correo electrónico como SSO-sólo y el flujo de inicio de sesión requiere autenticación de IdP para ese dominio. Establecer el proveedor en Deshabilitado (Desactivar__CAPGO_KEEP_0__

Referencia del estado del proveedor

Estado	Significado
En espera de verificación	No se ha verificado el registro TXT DNS aún
Verificado	Se ha confirmado la propiedad del dominio; listo para activar
Activo	El SSO está activo para este dominio
Deshabilitado	Establecido por Desactivar en la consola; SSO no se utiliza para ese dominio; utilice Re-activar para regresar a Activo

Lista de verificación de lanzamiento

Confirmado el plan empresarial
Solicitud de SAML creada en IdP con la URL de ACS y el ID de entidad desde Capgo
IdP configurado para liberar un reclamo de correo electrónico estable
Registro TXT DNS publicado y Verificar DNS exitoso
Proveedor activado
Usuarios piloto conectados con éxito
Roles elevados desde el predeterminado como sea necesario Se tomó una decisión de aplicación de medidas (y se comunicó si se habilitó)
Documentación relacionada