SSO (Entreprise)

Attention

La configuration SSO est disponible uniquement sur le plan Entreprise. Si vous ne voyez pas Configuration SSO sous Paramètres → Organisation → Sécurité, assurez-vous que votre organisation est sous le plan Entreprise ou contactez votre Capgo contact de compte.

Qu'est-ce que SSO ?

L'authentification unique (SSO) permet à votre équipe de se connecter à Capgo à l'aide de votre fournisseur d'identité d'entreprise (IdP). Capgo utilise SAML 2.0 via Supabase Auth. Lorsqu'un email d'utilisateur correspond à un fournisseur SSO actif, ils peuvent s'authentifier contre votre IdP et sont provisionnés dans l'organisation lors de l'appel de rappel SSO.

L'authentification unique ne modifie pas ce que les utilisateurs peuvent faire. Les permissions sont contrôlées par rôles de l'organisation. Le SSO ne change que la façon dont ils s'authentifient.

Prérequis

Avant de commencer :

• Une souscription d'entreprise active sur l'organisation Capgo.
• Un fournisseur d'identité qui prend en charge SAML 2.0 et expose une URL de métadonnées d'IdP (HTTPS). La capacité de publier un
• un Enregistrement TXT DNS pour le domaine de l'adresse e-mail (par exemple company.com pour les utilisateurs se connectant en tant que user@company.com).
• Un membre d'une organisation Capgo avec les droits pour mettre à jour les paramètres de l'organisation.
• Un Administrateur d'IdP un contact de votre côté IT/ sécurité.

Où trouver les paramètres SSO

1. Ouvrir https://console.capgo.app/
2. Cliquez Paramètres dans le côté gauche du menu de navigation
3. Sélectionnez le Organisation onglet
4. Sélectionnez le Sécurité onglet
5. Faites défiler jusqu'à la configuration SSOSeulement disponible lorsque l'org est sous le plan Entreprise.

Étape 1 - Configurez votre fournisseur d'identité

Dans votre fournisseur d'identité, créez une nouvelle application SAML 2.0. Vous aurez besoin des informations suivantes Fournisseur de service les valeurs affichées dans le panneau de configuration SSO Capgo :

Champ	Où l'utiliser
URL du service de consommation d'affirmation	URL du service de consommation d'affirmation dans l'application SAML de votre fournisseur d'identité
Identifiant de l'entité	Identifiant d'entité du fournisseur de service
URL des métadonnées du fournisseur de service	Facultatif : importer si votre fournisseur d'identité prend en charge l'importation des métadonnées du fournisseur de service par URL
Format de nom d'utilisateur	Format attendu pour l'identifiant de nom de l'utilisateur SAML

Votre fournisseur d'identité doit libérer l'adresse e-mail du utilisateur dans l'affirmation. __CAPGO_KEEP_0__ utilise le domaine de l'adresse e-mail pour résoudre le fournisseur SSO actif et pour correspondre aux comptes existants. Étape 2 - Ajouter le fournisseur SSO dans Capgo

Section intitulée “Étape 2 - Ajouter le fournisseur SSO dans Capgo”

1. Entrer le
2. domaine de l'adresse e-mail (par exemple, ) company.comIl doit correspondre à la partie domaine des adresses e-mail de connexion de vos utilisateurs
3. Entrez votre identifiant de fournisseur URL de métadonnées (HTTPS)
4. Soumettre

Le fournisseur est créé avec un statut En attente de vérification.

Étape 3 - Vérification de domaine DNS

Capgo vérifie que vous contrôlez le domaine avant que l'authentification unique ne devienne active.

Ajouter un enregistrement TXT chez votre fournisseur de DNS : __CAPGO_KEEP_0__

Champ	Valeur
Type	TXT
Nom / hôte	_capgo-sso.<your-domain> (par exemple _capgo-sso.company.com)
Valeur	Le jeton de vérification affiché dans le panneau de tableau de bord

Une fois l'enregistrement publié (la propagation DNS TTL prend généralement quelques minutes à une heure), cliquez sur Vérifier DNS dans le tableau de bord. En cas de réussite, le fournisseur passe à Vérifié.

Étape 4 - Activer le fournisseur

Après la vérification DNS, cliquez sur Activer. Le statut du fournisseur devient Actif. Seuls les fournisseurs Actif sont utilisés lors de l'authentification SSO.

Vous pouvez choisir Désactiver sur le tableau de bord à tout moment. Cela déplace le fournisseur vers Désactivé, qui suspend l'authentification unique pour ce domaine sans supprimer la configuration.

Étape 5 - Tester et attribuer des rôles

Lorsqu'un utilisateur se connecte via l'authentification unique pour la première fois et n'a pas de membre existant dans cette organisation, Capgo leur attribue le rôle de lecture. Après que les utilisateurs pilotes se soient connectés :

Allez à

1. Paramètres → Organisation → Membres Trouvez chaque utilisateur provisionné par l'authentification unique
2. Ajustez leur rôle au niveau approprié (
3. TéléchargerUpload, Écrivez, Adminetc.)

Voyez le full permission breakdown pour ce que chaque rôle peut faire.

Note

Si Supabase crée un utilisateur SSO distinct pour un email qui existe déjà dans Capgo, Capgo fusionne l'identité SSO dans le compte existant et demande à l'utilisateur de se connecter à nouveau.

Facultatif - Imposer SSO

Sur un Actif fournisseur que vous pouvez basculer Appliquer l'authentification uniqueLorsqu'elle est activée, Capgo marque les utilisateurs authentifiés existants pour ce domaine de messagerie électronique comme uniques et le flux de connexion nécessite une authentification par fournisseur pour ce domaine. Définir le fournisseur sur Désactivé (Désactiver) ou la suppression de l'application de l'enregistrement supprime le drapeau SSO uniquement pour le domaine.

Attention

Coordonnez-vous avec votre administrateur d'IdP et avertissez tous les utilisateurs affectés avant d'activer l'enregistrement. Les utilisateurs qui ne peuvent pas effectuer l'authentification par IdP ne pourront pas se connecter avec leur mot de passe pour ce domaine.

Référence de l'état du fournisseur

État	Signification
En attente de vérification	Enregistrement TXT DNS non encore vérifié
Vérifié	Propriété du domaine confirmée; prêt à activer
Actif	SSO est en ligne pour ce domaine
Désactivé	Défini par Désactiver dans le tableau de bord; SSO non utilisé pour ce domaine; utilisez-le Ré-activer pour revenir à Actif

Liste de vérification de déploiement

• Plan d'entreprise confirmé
• Application SAML créée dans l'IdP avec l'URL ACS et l'ID d'entité à partir de Capgo
• L'IdP est configuré pour libérer une revendication de courriel stable
• Enregistrement TXT DNS publié et Vérifier DNS réussi
• Activé par le fournisseur
• Utilisateurs pilotes connectés avec succès
• Rôles élevés par défaut lire selon les besoins
• Décision d'application prise (et communiquée si activé)

Documentation connexe

• Organisation : rôles et permissions
• Sécurité de l'organisation : 2FA, mots de passe, API clés

Continuez depuis SSO (Entreprise)

Si vous utilisez Authentification unique (Entreprise) pour planifier l'authentification et les flux de compte, connectez-le avec @capgo/capacitor-connexion-social pour les détails d'implémentation dans @capgo/capacitor-connexion-social, @capgo/capacitor-passkey pour les détails d'implémentation dans @capgo/capacitor-passkey, @capgo/capacitor-authentification-biometrique-native pour les détails d'implémentation dans @capgo/capacitor-authentification-biometrique-native, L'authentification à deux facteurs pour les détails d'implémentation dans L'authentification à deux facteurs, et 5 étapes pour mettre en œuvre OAuth2 dans les applications Capacitor pour le contexte pratique dans 5 étapes pour mettre en œuvre OAuth2 dans les applications Capacitor.