Authentification unique (Entreprise)

Attention

La configuration SSO est disponible uniquement sur le plan Entreprise. Si vous ne voyez pas La configuration SSO sous Paramètres → Organisation → SécuritéAssurez-vous que votre organisation est souscrit à la plan Entreprise ou contactez votre Capgo contact de compte.

Qu'est-ce que SSO ?

L’authentification unique (SSO) permet à votre équipe de se connecter à Capgo à l’aide de votre fournisseur d’identité d’entreprise (IdP). Capgo utilise SAML 2.0 via Supabase Auth. Lorsqu’un email d’un utilisateur correspond à un fournisseur d’identité SSO actif, il peut s’authentifier contre votre IdP et est provisionné dans l’organisation lors de l’appel de l’SSO.

L’SSO ne modifie pas ce que les utilisateurs peuvent faire. Les permissions sont contrôlées par les rôles d’organisation . L’SSO ne change que la manière dont ils s’authentifient.

Prérequis

Avant de commencer :

• Abonnement Enterprise activé sur l’organisation Capgo.
• Un fournisseur d’identité qui prend en charge SAML 2.0 et expose un IdP URL de métadonnées (HTTPS).
• Capacité de publication d'un enregistrement TXT DNS pour le domaine de l'email (par exemple, company.com pour les utilisateurs se connectant en tant que user@company.com).
• Un membre d'une organisation Capgo avec les droits pour mettre à jour les paramètres de l'organisation.
• Un Administrateur d'IdP contact sur votre côté IT/ sécurité.

Où trouver les paramètres SSO

1. Ouvrir https://console.capgo.app/
2. Cliquez Paramètres dans le côté gauche de la barre de navigation
3. Sélectionnez l'onglet Organisation Sélectionnez l'onglet
4. Sécurité Faites défiler vers le bas de la page Scroll to __CAPGO_KEEP_0__.
5. __CAPGO_KEEP_0__. Configuration SSOLe formulaire n'est disponible que lorsque l'organisation est sous le plan Enterprise.

Étape 1 - Configurez votre fournisseur d'identité

Dans votre fournisseur d'identité, créez une nouvelle application SAML 2.0. Vous aurez besoin des valeurs suivantes Fournisseur de service les valeurs affichées dans le panneau de configuration SSO Capgo :

Champ	Où l'utiliser
URL de consommation d'assertion	URL de consommation d'assertion dans l'application SAML de votre fournisseur d'identité
Identifiant d'entité	Identifiant de l'entité du fournisseur de services
URL des métadonnées du fournisseur de services	Facultatif : importer si votre IdP prend en charge l'importation des métadonnées du fournisseur de services par URL
Format de nom d'utilisateur	Format attendu pour l'identifiant de nom de l'utilisateur SAML

Votre IdP doit libérer l'adresse e-mail de l'utilisateur dans l'affirmation. L'adresse e-mail du __CAPGO_KEEP_0__ est utilisée pour résoudre le fournisseur SSO actif et pour correspondre aux comptes existants. Étape 2 - Ajouter le fournisseur SSO dans Capgo

Section intitulée “Étape 2 - Ajouter le fournisseur SSO dans Capgo”

1. Entrer
2. Ajouter le fournisseur de services domain de courriel (par exemple,) company.comIl doit correspondre à la partie domaine de l'adresse e-mail de connexion de vos utilisateurs
3. Entrer votre fournisseur d'identité URL de métadonnées (HTTPS)
4. Soumettre

Le fournisseur est créé avec le statut En attente de vérification.

Étape 3 - Vérification du domaine DNS

Capgo vérifie que vous contrôlez le domaine avant que l'authentification unique ne devienne active.

Ajoutez un TXT enregistrement chez votre fournisseur DNS :

Champ	Valeur
Type	TXT
Nom / hôte	_capgo-sso.<your-domain> (par exemple _capgo-sso.company.com)
Valeur	Le jeton de vérification affiché dans le panneau de tableau de bord

Une fois l'enregistrement publié (la propagation DNS TTL prend généralement quelques minutes à une heure), cliquez sur Vérifiez DNS dans l'interface de dashboard. En cas de réussite, le fournisseur passe à Vérifié.

Étape 4 - Activer le fournisseur

Après la vérification DNS, cliquez sur Activer. Le statut du fournisseur devient ActifSeuls les Actif fournisseurs sont utilisés lors de la phase de connexion SSO.

Vous pouvez choisir Desactiver Dans l'interface de dashboard à tout moment. Cela déplace le fournisseur vers Désactivé, ce qui met en pause l'authentification unique pour ce domaine sans supprimer la configuration.

Étape 5 - Tester et assigner des rôles

Lorsqu'un utilisateur se connecte via l'authentification unique pour la première fois et n'a pas de membre existant dans cette organisation, Capgo leur attribue le rôle de lecture. Après que les utilisateurs pilotes se connectent :

Allez à

1. Paramètres → Organisation → Membres rôle de lecture.
2. Trouvez chaque utilisateur SSO-provisionné
3. Ajustez leur rôle au niveau approprié (Télécharger, Écrire, Admin, etc.)

Voir la basse de permission complète pour ce que chaque rôle peut faire.

Note

Si Supabase crée un utilisateur SSO authentifié séparé pour un email qui existe déjà dans Capgo, Capgo fusionne l'identité SSO dans le compte existant et demande à l'utilisateur de se connecter à nouveau.

Optional - Imposer l'authentification unique

Sur un Actif fournisseur vous pouvez activer/désactiver Imposer l'authentification unique. Lorsque cette option est activée, Capgo marque les utilisateurs authentifiés existants pour ce domaine e-mail comme uniques et le flux de connexion nécessite une authentification par fournisseur pour ce domaine. Définir le fournisseur sur Désactivé (Désactiver) ou en supprimant l'application de l'enregistrement retire le drapeau SSO-only pour le domaine.

Prudence

Coordonnez-vous avec votre administrateur d'IdP et avertissez tous les utilisateurs affectés avant d'activer la mise en œuvre. Les utilisateurs qui ne peuvent pas effectuer l'authentification IdP ne pourront pas se connecter avec leur mot de passe pour ce domaine.

Référence de l'état du fournisseur

Signification	En attente de vérification
Enregistrement TXT DNS non encore vérifié	Vérifié
Propriété du domaine confirmée; prêt à activer	Actif
L'authentification unique en ligne est active pour ce domaine	Désactivé
Section intitulée “Référence de l'état du fournisseur”	Défini par Désactiver dans le tableau de bord; l'authentification unique n'est pas utilisée pour ce domaine; utilisez Ré-activer pour revenir à Actif

Liste de vérification de déploiement

• Confirmation du plan Entreprise
• Application SAML créée dans l'IdP avec l'URL ACS et l'ID d'entité à partir de Capgo
• L'IdP est configuré pour libérer une revendication de courriel stable
• Enregistrement TXT DNS publié et Vérifiez le DNS réussi
• Fournisseur activé
• Utilisateurs pilotes connectés avec succès
• Rôles élevés par défaut lire selon les besoins
• Décision d'application prise (et communiquée si activé)

Documentation liée

• Organisation : rôles et permissions
• Sécurité de l'organisation : 2FA, mots de passe, API clés

Continuez de là depuis SSO (Entreprise)

Si vous utilisez SSO (Entreprise) pour planifier l'authentification et les flux de compte, connectez-le avec @capgo/capacitor-connexion-social pour les détails d'implémentation dans @capgo/capacitor-connexion-social, @capgo/capacitor-passkey pour les détails d'implémentation dans @capgo/capacitor-passkey, @capgo/capacitor-authentification-biometrique-native pour les détails d'implémentation dans @capgo/capacitor-authentification-biometrique-native, L'authentification à deux facteurs pour les détails d'implémentation dans la deuxième factor d'authentification, et 5 étapes pour mettre en œuvre OAuth2 dans les applications Capacitor pour le contexte pratique dans 5 étapes pour mettre en œuvre OAuth2 dans les applications Capacitor.