Iniciar sesión único (Enterprise)

Cuidado

La configuración de inicio de sesión único (SSO) está disponible solo en el plan de empresa. No vea Configuración de inicio de sesión único (SSO) bajo Configuración → Organización → Seguridadasegúrese de que su organización esté en el plan de empresa o contacte con su contacto de cuenta Capgo.

¿Qué es el inicio de sesión único (SSO)?

El inicio de sesión único (SSO) permite a su equipo iniciar sesión en Capgo utilizando su proveedor de identidad de la empresa (IdP). Capgo utiliza SAML 2.0 a través de Supabase Auth. Cuando el dominio de correo electrónico de un usuario coincide con un proveedor de inicio de sesión único activo, pueden autenticarse contra su IdP y se les asigna a la organización durante la llamada de retorno de inicio de sesión único.

El inicio de sesión único (SSO) no cambia qué acciones pueden realizar los usuarios. Los permisos están controlados por papeles de la organización. Solo el SSO cambia cómo se autentican.

Requisitos previos

Antes de empezar:

• Una suscripción empresarial activa en la organización Capgo.
• Un proveedor de identidad que soporte SAML 2.0 y expone una URL de metadatos de IdP (HTTPS). La capacidad de publicar un
• metadata URL Registro TXT DNS para el dominio de correo electrónico (por ejemplo. company.com para los usuarios que se están identificando como user@company.com).
• Un miembro de la organización Capgo con permiso para actualizar los ajustes de configuración de la organización.
• Un Administrador de IdP contacto en tu lado de TI/seguridad.

¿Dónde encontrar ajustes de SSO?

1. Abrir https://console.capgo.app/
2. Hacer clic Configuración en el panel lateral izquierdo
3. Seleccionar el Organización pestaña
4. Seleccionar el Seguridad pestaña
5. Desplázate hasta la configuración de inicio de sesión únicoSolo está disponible cuando la organización está en el plan de Enterprise.

Paso 1 - Configura tu proveedor de identidad

En tu proveedor de identidad, crea una nueva aplicación SAML 2.0. Necesitarás los siguientes valores Proveedor de Servicios los valores mostrados en el panel de configuración de SSO Capgo:

Campo	Dónde utilizarlo
URL de Consumidor de Declaraciones	URL de Consumidor de Declaraciones en la aplicación SAML de tu proveedor de identidad
Identificador de Entidad	Identificador de entidad del proveedor de servicios
URL de metadatos del SP	Opcional: importa si tu proveedor de identidad admite la importación de metadatos del SP por URL
Formato de identificador de nombre	Formato esperado para el identificador de nombre SAML

Su proveedor de identidad debe liberar la dirección de correo electrónico del usuario en la afirmación. en la afirmación. __CAPGO_KEEP_0__ utiliza el dominio de correo electrónico para resolver el proveedor de SSO activo y para coincidir con cuentas existentes. Paso 2 - Agregar el proveedor de SSO en Capgo

Sección titulada “Paso 2 - Agregar el proveedor de SSO en Capgo”

1. Ingrese el
2. dominio de correo electrónico (por ejemplo, debe coincidir con la parte del dominio de las direcciones de correo electrónico de inicio de sesión de sus usuarios company.comde sus usuarios
3. Ingrese su IdP URL de metadatos (HTTPS)
4. Enviar

El proveedor se crea con estado Verificación pendiente.

Paso 3 - Verificación de dominio DNS

Capgo verifica que controla el dominio antes de que la autenticación única de inicio (SSO) se active.

Agregar un registro TXT en su proveedor de DNS: __CAPGO_KEEP_0__

Campo	Valor
Tipo	TXT
Nombre / host	_capgo-sso.<your-domain> (por ejemplo _capgo-sso.company.com)
Valor	El token de verificación mostrado en el panel de la consola

Una vez que el registro esté publicado (la propagación de TTL de DNS suele tardar unos minutos a una hora), haga clic en Verificar DNS en la consola. En caso de éxito, el proveedor pasa a Verificado.

Paso 4 - Active el proveedor

Después de la verificación DNS, haga clic Activar. El estado del proveedor se convierte en Activo. Solo Activo proveedores se utilizan durante el flujo de inicio de sesión SSO.

Puede elegir Desactivar en la consola en cualquier momento. Eso mueve el proveedor a Deshabilitado, que pausa la SSO para ese dominio sin eliminar la configuración.

Paso 5 - Prueba y asigna roles

Cuando un usuario inicia sesión mediante SSO por primera vez y no tiene membresía existente en esa organización, Capgo les asigna el leer rol.

Después de que los usuarios piloto inician sesión:

1. Vaya a Configuración → Organización → Miembros
2. Encuentre a cada usuario provisto mediante SSO
3. Ajuste su rol al nivel adecuado (Subir, Escribe, Administrador, etc.)

Mira el desglose completo de permisos para saber qué puede hacer cada rol.

Nota

Si Supabase crea un usuario de autenticación SSO separado para un correo electrónico que ya existe en Capgo, Capgo combina la identidad SSO en la cuenta existente y le pide al usuario que inicie sesión de nuevo.

Opcional - Imponer SSO

En un Activo proveedor que puedes activar/desactivar Impone inicio de sesión únicoCuando está habilitado, Capgo marca a los usuarios de autenticación existentes para ese dominio de correo electrónico como solo SSO y el flujo de inicio de sesión requiere autenticación de IdP para ese dominio. Establecer el proveedor en Deshabilitado (Desactivar) o desactivando la verificación elimina esa bandera SSO solo para el dominio.

Cuidado

Coordine con tu administrador de IdP y notifique a todos los usuarios afectados antes de habilitar la enforcement. Los usuarios que no puedan completar la autenticación de IdP no podrán iniciar sesión con su contraseña para ese dominio.

Estado de referencia del proveedor

Estado	Significado
Pendiente de verificación	Registro TXT DNS no verificado aún
Verificado	Propiedad de dominio confirmada; listo para activar
Activo	SSO está activo para este dominio
Deshabilitado	Establecido por Desactivar en la consola; SSO no se utiliza para ese dominio; utilice Re-activar para regresar a Activo

Lista de verificación de lanzamiento

• Confirmado el plan empresarial
• Se creó una aplicación SAML en IdP con la URL de ACS y el ID de entidad de Capgo
• IdP configurado para liberar un reclamo de correo electrónico estable
• Se publicó un registro TXT DNS y Verificar DNS exitoso
• Activado el proveedor
• Los usuarios piloto se han conectado con éxito
• Roles elevados desde el valor por defecto leer según sea necesario
• Se tomó una decisión de aplicación de medidas (y se comunicó si se habilitó)

Documentación relacionada

• Organización: roles y permisos
• Seguridad de la organización: 2FA, contraseñas, API claves

Siga adelante desde SSO (Enterprise)

Si está utilizando Autenticación SSO (Empresa) para planificar la autenticación y los flujos de cuenta, conectarlo con @capgo/capacitor-login-social para los detalles de implementación en @capgo/capacitor-login-social, @capgo/capacitor-passkey para los detalles de implementación en @capgo/capacitor-passkey, @capgo/capacitor-biometría-nativa para los detalles de implementación en @capgo/capacitor-biometría-nativa, Autenticación de dos factores para los detalles de implementación en Autenticación de dos factores, y 5 Pasos para Implementar OAuth2 en Aplicaciones Capacitor para el contexto práctico en 5 Pasos para Implementar OAuth2 en Aplicaciones Capacitor.