Authentification unique (Entreprise)

Copier un prompt de configuration avec les étapes d'installation et le guide Markdown complet pour ce plugin.

Qu'est-ce que SSO ?

L'authentification unique (SSO) permet à votre équipe de se connecter à Capgo à l'aide de votre fournisseur d'identité d'entreprise (IdP). Capgo utilise SAML 2.0 via Supabase Auth. Lorsqu'un e-mail d'utilisateur correspond à un fournisseur d'identité SSO actif, ils peuvent s'authentifier contre votre IdP et sont provisionnés dans l'organisation lors de l'appel de rappel SSO.

L'authentification unique (SSO) ne modifie pas ce que les utilisateurs peuvent faire. Les autorisations sont contrôlées par les rôles d'organisation. L'authentification unique (SSO) ne change que la manière dont ils s'authentifient.

Prérequis

Avant de commencer :

Abonnement Entreprise actif sur l'organisation Capgo.
Un fournisseur d'identité qui prend en charge SAML 2.0 et expose une URL de métadonnées IdP (HTTPS). Capacité de publier un enregistrement TXT DNS
pour le domaine de l'e-mail (par exemple pour les utilisateurs qui se connectent en tant que membre d'une organisation __CAPGO_KEEP_0__ avec les droits pour mettre à jour les paramètres de l'organisation. company.com Un user@company.com).
A Capgo organization member with permission to update organization settings.
An IdP admin can manage IdP settings and configure the IdP to use a custom email domain. An IdP admin can manage IdP settings and configure the IdP to use a custom email domain. contactez votre équipe IT/ sécurité.

Où trouver les paramètres SSO

Ouvrir https://console.capgo.app/
Cliquez Paramètres dans le sidebar gauche
Sélectionnez la Organisation tab
Sélectionnez Sécurité onglet
Déplacez-vous vers le bas Configuration SSO Le formulaire est disponible uniquement lorsque l'org est sous le plan Entreprise.

Étape 1 - Configurez votre fournisseur d'identité

Dans votre fournisseur d'identité, créez une nouvelle application SAML 2.0. Vous aurez besoin des informations suivantes : Fournisseur de service les valeurs affichées dans le panneau de configuration SSO Capgo :

Champ	Où l'utiliser
URL ACS	Adresse URL du service de consommation d'assertion dans votre application SAML d'identité fournie
Identifiant d'entité	Identifiant d'entité du fournisseur de service
URL des métadonnées du fournisseur de service	Facultatif : importer si votre identité fournie prend en charge l'importation des métadonnées du fournisseur de service par URL
Format de l'identifiant de nom	Format attendu pour l'identifiant de nom SAML

Votre identité fournie doit libérer l'adresse e-mail de l'utilisateur dans l'assertion. L'adresse e-mail est utilisée par __CAPGO_KEEP_0__ pour résoudre le fournisseur SSO actif et pour correspondre aux comptes existants. Étape 2 - Ajouter le fournisseur SSO dans Capgo

Step 2 - Add the SSO provider in Capgo

Dans le panneau de configuration SSO, cliquez pour ajouter un nouveau fournisseur
Entrer le nom de domaine de l'adresse e-mail (par exemple, company.com). Il doit correspondre à la partie domaine des adresses e-mail de connexion de vos utilisateurs
Entrer l'URL de métadonnées de votre IdP (HTTPS) Soumettre
Le fournisseur est créé avec un statut de

En attente de vérification En attente de validation.

Étape 3 - Vérification du domaine DNS

Capgo vous vérifie que vous contrôlez le domaine avant que l'authentification unique ne devienne active.

Ajoutez un enregistrement TXT chez votre fournisseur de DNS : Champ

Valeur	Type
Nom / hôte	`TXT`
(par exemple	`_capgo-sso.<your-domain>` Valeur `_capgo-sso.company.com`)
(par exemple	Le jeton de vérification affiché dans le panneau de tableau de bord

Une fois l'enregistrement publié (la propagation TTL DNS prend généralement quelques minutes à une heure), cliquez sur Vérifier DNS dans le tableau de bord. En cas de succès, le fournisseur passe à Vérifié.

Étape 4 - Activer le fournisseur

Activer . Le statut du fournisseur devientActif SeulStep 4 - Activate the provider Actif Les fournisseurs sont utilisés lors du flux de connexion SSO.

Vous pouvez choisir Désactiver dans le tableau de bord à tout moment. Cela déplace le fournisseur vers Désactivé, ce qui met en pause SSO pour ce domaine sans supprimer la configuration.

Étape 5 - Tester et assigner des rôles

When a user signs in via SSO for the first time and has no existing membership in that organization, Capgo provisions them with the rôle de lecture. Étape 5 - Tester et assigner des rôles

Après que les utilisateurs pilotes se connectent :

Allez à Paramètres → Organisation → Membres
Trouvez chaque utilisateur fourni par SSO
Ajustez leur rôle au niveau approprié ( Télécharger, Écrire, Administrateuretc.)

Voir le détail complet de la hiérarchie des permissions pour savoir ce que chaque rôle peut faire.

Facultatif - Imposer l'authentification SSO

Sur un Actif fournisseur, vous pouvez activer/désactiver Imposer l'authentification SSO. Lorsqu'il est activé, Capgo marque les utilisateurs authentifiés existants pour ce domaine email comme SSO uniquement et le flux de connexion nécessite une authentification IdP pour ce domaine. Définir le fournisseur sur Désactivé (Désactiver__CAPGO_KEEP_0__ ou la désactivation de l'enforcement supprime le drapeau SSO uniquement pour le domaine.

Référence de l'état du fournisseur

État	Signification
En attente de vérification	Enregistrement TXT DNS non encore vérifié
Vérifié	Propriété du domaine confirmée; prêt à activer
Actif	L'authentification unique est activée pour ce domaine
Désactivé	Défini par Désactiver dans le tableau de bord ; l'authentification unique n'est pas utilisée pour ce domaine ; utilisez Ré-activer pour revenir à Actif

Liste de vérification de déploiement

Confirmation du plan Entreprise
Application SAML créée dans l'IdP avec l'URL ACS et l'ID d'entité à partir de Capgo
L'IdP est configuré pour libérer un jeton d'email stable
Enregistrement DNS TXT publié et Vérifier DNS réussi
Fournisseur activé
Utilisateurs pilotes connectés avec succès
Rôles élevés par défaut lire selon les besoins
Décision d'application prise (et communiquée si activé)