Passer à la navigation

Authentification unique (Entreprise)

Single Sign-On (SSO) permet à votre équipe de se connecter à Capgo à l'aide de votre fournisseur d'identité d'entreprise (IdP). Capgo utilise SAML 2.0 via Supabase Auth. Lorsqu'un e-mail d'utilisateur correspond à un fournisseur d'identité SSO actif, ils peuvent s'authentifier contre votre IdP et sont provisionnés dans l'organisation lors du rappel SSO.

Le SSO ne modifie pas ce que les utilisateurs peuvent faire. Les autorisations sont contrôlées par les rôles d'organisation. Le SSO ne change que la manière dont ils s'authentifient.

Avant de commencer :

  • Abonnement Entreprise actif sur l'organisation Capgo.
  • Un fournisseur d'identité qui prend en charge SAML 2.0 et expose une URL de métadonnées d'IdP (HTTPS). Capacité de publier un enregistrement TXT DNS
  • pour le domaine de l'e-mail (par exemple pour les utilisateurs qui se connectent en tant que membre d'une organisation __CAPGO_KEEP_0__ avec les droits pour mettre à jour les paramètres de l'organisation. company.com Un user@company.com).
  • A Capgo organization member with permission to update organization settings.
  • An identity provider that supports SAML 2.0 and exposes an IdP metadata URL (HTTPS). Ability to publish a DNS TXT record for the email domain (e.g. for users logging in as an organization member with permission to update organization settings). An IdP admin An identity provider that supports SAML 2.0 and exposes an IdP metadata URL (HTTPS). Ability to publish a DNS TXT record for the email domain (e.g. for users logging in as an organization member with permission to update organization settings). An IdP admin contactez votre équipe IT/ sécurité.
  1. Ouvrir https://console.capgo.app/
  2. Cliquez Paramètres dans le sidebar gauche
  3. Sélectionnez la rubrique Organisation Sélectionnez la
  4. tab Sécurité onglet
  5. Défilez vers le bas Configuration SSO Le formulaire est disponible uniquement lorsque l'org est sous le plan Enterprise.

Étape 1 - Configurez votre fournisseur d'identité

Section intitulée “Étape 1 - Configurez votre fournisseur d'identité”

Dans votre fournisseur d'identité, créez une nouvelle application SAML 2.0. Vous aurez besoin des informations suivantes Fournisseur de service les valeurs affichées dans le panneau de configuration SSO Capgo :

ChampOù l'utiliser
URL ACSURL du service de consommation d'assertion dans votre application SAML IdP
ID d'entitéIdentifiant d'entité du fournisseur de service
URL des métadonnées du fournisseur de serviceOptionnel : importer si votre IdP prend en charge l'importation des métadonnées du fournisseur de service par URL
Format NameIDFormat attendu pour l'identifiant de nom SAML

Votre IdP doit libérer l'adresse e-mail de l'utilisateur dans l'assertion. __CAPGO_KEEP_0__ utilise le domaine de l'adresse e-mail pour résoudre le fournisseur SSO actif et pour correspondre aux comptes existants. Étape 2 - Ajouter le fournisseur SSO dans Capgo

  1. Dans le panneau de configuration SSO, cliquez pour ajouter un nouveau fournisseur
  2. Entrez le nom de domaine de courriel (par exemple, company.com). Il doit correspondre à la partie domaine des adresses e-mail de connexion de vos utilisateurs
  3. Entrez l'URL de métadonnées de votre IdP (HTTPS) Soumettre
  4. Le fournisseur est créé avec un statut de

Verification en attente La fournisseur est créé avec un statut de « Pending verification ».

Capgo vous vérifie que vous contrôlez le domaine avant que l'authentification unique ne devienne active.

Ajoutez un enregistrement TXT chez votre fournisseur de DNS : Champ

ValeurType
Nom / hôteTXT
(par exemple_capgo-sso.<your-domain> Valeur _capgo-sso.company.com)
Nom / hôteLe jeton de vérification affiché dans le panneau de tableau de bord

Une fois l'enregistrement publié (la propagation DNS TTL prend généralement quelques minutes à une heure), cliquez sur Vérifier DNS dans le tableau de bord. En cas de réussite, le fournisseur passe à Vérifié.

Étape 4 - Activer le fournisseur

Après la vérification DNS, cliquez sur

Activer . Le statut du fournisseur devientActif SeulStep 4 - Activer le fournisseur Actif Les fournisseurs sont utilisés lors du flux de connexion SSO.

Vous pouvez choisir Désactiver dans le tableau de bord à tout moment. Cela déplace le fournisseur vers Désactivé, ce qui met en pause SSO pour ce domaine sans supprimer la configuration.

When a user signs in via SSO for the first time and has no existing membership in that organization, Capgo provisions them with the rôle de lecture. Étape 5 - Tester et assigner des rôles

Après que les utilisateurs pilotes se connectent :

  1. Allez à Paramètres → Organisation → Membres
  2. Trouvez chaque utilisateur fourni par SSO
  3. Ajustez leur rôle au niveau approprié ( Télécharger, Écrire, AdministrateurVoir la

détail de la liste des permissions pour savoir ce que chaque rôle peut faire. See the full permission breakdown for what each role can do.

Sur un Actif fournisseur, vous pouvez activer/désactiver Imposer l'authentification SSO. Lorsqu'il est activé, Capgo marque les utilisateurs authentifiés existants pour ce domaine email comme SSO uniquement et le flux de connexion nécessite une authentification IdP pour ce domaine. Définir le fournisseur sur Désactivé (Désactiver__CAPGO_KEEP_0__ ou la désactivation de la mise en œuvre supprime le drapeau SSO uniquement pour le domaine.

ÉtatSignification
En attente de vérificationEnregistrement TXT DNS non encore vérifié
VérifiéPropriété du domaine confirmée; prêt à activer
ActifL'authentification unique est active pour ce domaine
DésactivéDéfini par Désactiver dans le tableau de bord ; l'authentification unique n'est pas utilisée pour ce domaine ; utilisez Ré-activer pour revenir à Actif
  • Confirmation du plan Entreprise
  • SAML app créé dans l'IdP avec l'URL ACS et l'ID d'entité à partir de Capgo
  • L'IdP configuré pour libérer un e-mail stable
  • Enregistrement TXT DNS publié et Vérifiez DNS Succès
  • Fournisseur activé
  • Utilisateurs pilotes connectés avec succès
  • Rôles élevés par défaut lire selon les besoins
  • Prise de décision d'application (et communiquée si activé)

Si vous utilisez SSO (Entreprise) pour planifier l'authentification et les flux de compte, connectez-le avec @capgo/capacitor-social-login pour les détails d'implémentation dans @capgo/capacitor-social-login, @capgo/capacitor-passkey pour les détails d'implémentation dans @capgo/capacitor-passkey @capgo/capacitor-native-biometric pour les détails d'implémentation dans @capgo/capacitor-native-biometric Authentification à deux facteurs pour les détails d'implémentation dans Authentification à deux facteurs, et 5 étapes pour mettre en œuvre OAuth2 dans les applications Capacitor pour le contexte pratique dans 5 étapes pour mettre en œuvre OAuth2 dans les applications Capacitor