Authentification unique (Entreprise)
Copiez un prompt de configuration avec les étapes d'installation et la guide markdown complet pour ce plugin.
Qu'est-ce que SSO ?
Sous-section intitulée « Qu'est-ce que SSO ? »Single Sign-On (SSO) permet à votre équipe de se connecter à Capgo à l'aide de votre fournisseur d'identité d'entreprise (IdP). Capgo utilise SAML 2.0 via Supabase Auth. Lorsqu'un e-mail d'utilisateur correspond à un fournisseur SSO actif, ils peuvent s'authentifier contre votre IdP et sont provisionnés dans l'organisation lors de l'appel de rappel SSO.
Le SSO ne modifie pas ce que les utilisateurs peuvent faire. Les autorisations sont contrôlées par les rôles d'organisation. Le SSO ne change que la manière dont ils s'authentifient.
Prérequis
Sous-section intitulée « Prérequis »Avant de commencer :
- Abonnement d'entreprise actif sur l'organisation Capgo.
- Un fournisseur d'identité qui prend en charge SAML 2.0 et expose une URL de métadonnées IdP (HTTPS). Capacité de publier un enregistrement DNS TXT
- pour le domaine de courriel (par exemple pour les utilisateurs se connectant en tant que Membre d'une organisation __CAPGO_KEEP_0__ disposant des droits pour mettre à jour les paramètres de l'organisation.
company.comUnuser@company.com). - A Capgo organization member with permission to update organization settings.
- SAML 2.0 et expose une URL de métadonnées IdP (HTTPS). Administrateur d'IdP Contactez votre partie informatique/sécurité.
Où trouver les paramètres SSO
Section intitulée “Où trouver les paramètres SSO”- Ouvrir https://console.capgo.app/
- Cliquez Paramètres dans le sidebar gauche
- Sélectionnez le Organisation onglet
- Choisissez le Onglets Sécurité onglet
- Navigationz vers Configuration SSO. Le formulaire est disponible uniquement lorsque l'org est sous le plan Entreprise.
Étape 1 - Configurez votre fournisseur d'identité
Section intitulée “Étape 1 - Configurez votre fournisseur d'identité”Sur votre fournisseur d'identité, créez une nouvelle application SAML 2.0. Vous aurez besoin des valeurs suivantes Fournisseur de service valeur affichée dans le panneau de configuration SSO Capgo :
| Champ | Où l'utiliser |
|---|---|
| URL ACS | URL du service de consommation d'assertion dans votre application SAML IdP |
| Identifiant d'entité | Identifiant d'entité du fournisseur de service |
| URL des métadonnées du fournisseur de service | Optionnel : importer si votre IdP prend en charge l'importation des métadonnées du fournisseur de service par URL |
| Format NameID | Format attendu pour l'identifiant de nom SAML |
Votre IdP doit transmettre l'adresse e-mail de l'utilisateur dans l'assertion. __CAPGO_KEEP_0__ utilise le domaine de l'adresse e-mail pour résoudre le fournisseur SSO actif et pour correspondre aux comptes existants. Votre IdP doit transmettre l'adresse e-mail de l'utilisateur dans l'assertion. __CAPGO_KEEP_0__ utilise le domaine de l'adresse e-mail pour résoudre le fournisseur SSO actif et pour correspondre aux comptes existants. Votre IdP doit transmettre l'adresse e-mail de l'utilisateur dans l'assertion. Capgo utilise le domaine de l'adresse e-mail pour résoudre le fournisseur SSO actif et pour correspondre aux comptes existants.
Étape 2 - Ajoutez le fournisseur SSO dans Capgo
Section intitulée “Étape 2 - Ajoutez le fournisseur SSO dans Capgo”- Dans le panneau de configuration SSO, cliquez pour ajouter un nouveau fournisseur
- Entrez votre domaine de courriel (par exemple,
company.com). Il doit correspondre à la partie domaine des adresses e-mail de connexion de vos utilisateurs - Entrez l'URL de métadonnées de votre IdP (HTTPS) Soumettre
- Le fournisseur est créé avec un statut
__CAPGO_KEEP_0__ En attente de vérification.
Étape 3 - Vérification du domaine DNS
Section intitulée “Étape 3 - Vérification du domaine DNS”Capgo vérifie que vous contrôlez le domaine avant que l'authentification unique ne devienne active.
Ajoutez un enregistrement TXT chez votre fournisseur de DNS : Champ
| Valeur | Type |
|---|---|
| Noms / hôte | TXT |
| (par exemple | _capgo-sso.<your-domain> __CAPGO_KEEP_0__ _capgo-sso.company.com) |
| Valeur | Le jeton de vérification affiché dans le panneau du tableau de bord |
Une fois l'enregistrement publié (la propagation DNS TTL prend généralement quelques minutes à une heure), cliquez sur Vérifier DNS dans le tableau de bord. En cas de réussite, le fournisseur passe à Vérifié.
Étape 4 - Activer le fournisseur
Après la vérification DNS, cliquez surActiver . Le statut du fournisseur devientActif Étape 4 - Activer le fournisseur. Seulement Actif seuls les fournisseurs suivants sont utilisés lors du flux de connexion SSO.
Vous pouvez choisir Désactiver dans le tableau de bord à tout moment. Cela déplace le fournisseur vers Désactivé, ce qui met en pause la SSO pour ce domaine sans supprimer la configuration.
Étape 5 - Tester et assigner des rôles
Titre de la section « Étape 5 - Tester et assigner des rôles »Lorsqu'un utilisateur se connecte via SSO pour la première fois et n'a pas de membre existant dans cette organisation, Capgo leur attribue le lecture rôle.
Après l'inscription des utilisateurs pilotes :
- Allez à Paramètres → Organisation → Membres
- Trouvez chaque utilisateur fourni par SSO
- Réajustez leur rôle au niveau approprié (Télécharger, Écrire, Administrateur, etc.)
Voir le breakdown des permissions complet pour ce que chaque rôle peut faire.
Facultatif - Imposer l'authentification SSO
Section intitulée « Facultatif - Imposer l'authentification SSO »Sur un Actif fournisseur que vous pouvez activer Imposer l'authentification SSO. Lorsqu'elle est activée, Capgo marque les utilisateurs authentifiés existants pour ce domaine email en tant que seuls SSO et le flux de connexion nécessite une authentification IdP pour ce domaine. Définir le fournisseur sur Désactivé (Désactiverou la suppression de l'activation supprime le drapeau SSO uniquement pour le domaine.
Référence de l'état du fournisseur
Section intitulée « Référence de l'état du fournisseur »| Statut | Signification |
|---|---|
| En attente de vérification | Enregistrement TXT DNS non encore vérifié |
| Vérifié | Propriété de domaine confirmée; prêt à activer |
| Actif | L'authentification unique est en ligne pour ce domaine |
| Désactivé | Défini par Désactiver dans le tableau de bord; l'authentification unique n'est pas utilisée pour ce domaine; utilisez Ré-activer pour revenir à Actif |
Liste de vérification de déploiement
Section intitulée “Liste de vérification de déploiement”- Plan d'entreprise confirmé
- L'application SAML a été créée dans l'IdP avec l'URL ACS et l'ID d'entité provenant de Capgo
- L'IdP est configuré pour libérer un email stable
- Le record TXT DNS a été publié et Vérifiez DNS réussi
- Le fournisseur a été activé
- Les utilisateurs pilotes se sont connectés avec succès
- Les rôles ont été élevés par défaut lire selon les besoins
- La décision d'application a été prise (et communiquée si activé)
Documentation connexe
Section intitulée « Documentation connexe »Continuez de la section SSO (Entreprise)
Section intitulée « Continuez de la section SSO (Entreprise) »Si vous utilisez SSO (Entreprise) pour planifier l'authentification et les flux de compte, connectez-le avec @capgo/capacitor-login-social pour les détails d'implémentation dans @capgo/capacitor-login-social, @capgo/capacitor-passkey pour les détails d'implémentation dans @capgo/capacitor-passkey, @capgo/capacitor-native-biometric pour les détails d'implémentation dans @capgo/capacitor-native-biometric, Authentification à deux facteurs pour les détails d'implémentation dans Authentification à deux facteurs, et 5 étapes pour mettre en œuvre OAuth2 dans les applications Capacitor pour le contexte pratique dans 5 étapes pour mettre en œuvre OAuth2 dans les applications Capacitor