SSO (Enterprise)

Peringatan

Konfigurasi SSO tersedia hanya pada paket Enterprise. Jika Anda tidak melihat Konfigurasi SSO bawah Pengaturan → Organisasi → Keamanan, pastikan organisasi Anda memiliki rencana Enterprise atau hubungi kontak Capgo Anda.

Apa itu SSO?

Single Sign-On (SSO) memungkinkan tim Anda masuk ke Capgo menggunakan penyedia identitas perusahaan (IdP) Anda. Capgo menggunakan SAML 2.0 melalui Supabase Auth. Ketika domain email pengguna cocok dengan penyedia SSO aktif, mereka dapat mengautentikasi melalui IdP dan diberikan akses ke organisasi selama panggilan balik SSO.

SSO tidak mengubah apa yang pengguna dapat lakukan. Hak akses dikontrol oleh peran organisasi. SSO hanya mengubah cara mereka mengautentikasi.

Persyaratan

Sebelum memulai:

• Langganan perusahaan aktif pada organisasi Capgo.
• Sebuah penyedia identitas yang mendukung SAML 2.0 dan mengungkapkan URL metadata IdP (HTTPS). Kemampuan untuk mempublikasikan sebuah
• rekaman TXT DNS untuk domain email (misalnya untuk pengguna yang masuk sebagai company.com Seorang anggota organisasi __CAPGO_KEEP_0__ dengan izin untuk memperbarui pengaturan organisasi. user@company.com).
• A Capgo organization member with permission to update organization settings.
• An Admin IdP Hubungi tim IT/keamanan Anda.

Di mana untuk mengatur pengaturan SSO

1. Buka https://console.capgo.app/
2. Klik Pengaturan di sidebar kiri
3. Pilih tab Organisasi tab Organisasi
4. Pilihlah tab Keamanan Gulir ke
5. Konfigurasi SSO Form ini hanya tersedia ketika organisasi Anda berlangganan paket Enterprise.Langkah 1 - Konfigurasi IdP Anda

Bagian berjudul “Langkah 1 - Konfigurasi IdP Anda”

Pemberi Layanan nilai-nilai yang ditampilkan di panel konfigurasi SSO __CAPGO_KEEP_0__: values shown in the Capgo SSO configuration panel:

__CAPGO_KEEP_0__	Di mana untuk menggunakannya
URL ACS	URL Konsumen Klaim SAML di aplikasi IdP Anda
ID Entitas	Identifikasi Entitas Pemasok Layanan
URL metadata SP	Opsional: import jika IdP Anda mendukung import metadata SP melalui URL
Format NameID	Format yang diharapkan untuk Identifikasi Nama SAML

IdP Anda harus melepaskan alamat email pengguna. __CAPGO_KEEP_0__ menggunakan domain email untuk menyelesaikan penyedia SSO aktif dan untuk mencocokkan akun yang ada. in the assertion. Capgo uses the email domain to resolve the active SSO provider and to match existing accounts.

Langkah 2 - Tambahkan penyedia SSO di Capgo

1. Dalam panel konfigurasi SSO, klik untuk menambahkan penyedia baru
2. Masukkan domain email (misalnya,) company.comHarus sesuai dengan bagian domain alamat email sign-in pengguna Anda
3. Masukkan URL metadata IdP Anda (HTTPS) Kirim
4. Penyedia telah dibuat dengan status

The provider is created with status Sedang diverifikasi.

Langkah 3 - Verifikasi domain DNS

Capgo memastikan Anda mengontrol domain sebelum SSO dapat aktif.

Tambahkan rekam TXT di penyedia DNS Anda:

Bidang	Nilai
Tipe	TXT
Nama / host	_capgo-sso.<your-domain> (misal _capgo-sso.company.com)
__CAPGO_KEEP_0__	Token Verifikasi yang Ditampilkan di Panel Dashboard

Setelah rekaman dipublikasikan (propagasi TTL DNS biasanya membutuhkan beberapa menit hingga satu jam), klik Verifikasi DNS di dashboard. Setelah berhasil, penyedia berpindah ke Terverifikasi.

Langkah 4 - Aktifkan Penyedia

Setelah verifikasi DNS, klik Aktifkan. Status penyedia menjadi Aktif. Hanya Aktif penyedia aktif digunakan selama alur login SSO.

Anda dapat memilih Nonaktifkan di dashboard kapan saja. Hal itu memindahkan penyedia ke Dinonaktifkan, yang menghentikan SSO untuk domain tersebut tanpa menghapus konfigurasi.

Langkah 5 - Uji dan asingkan peran

Ketika pengguna masuk melalui SSO untuk pertama kalinya dan tidak memiliki anggota yang ada di organisasi tersebut, Capgo menyediakan mereka dengan baca peran.

Setelah pengguna pilot masuk:

1. Lihat Pengaturan → Organisasi → Anggota
2. Cari setiap pengguna yang disediakan SSO
3. Tetapkan peran mereka ke tingkat yang tepat (Upload, Tulis, Admindan lain-lain)

Lihat detail izin yang lengkap izin lengkap Apa yang dapat dilakukan oleh setiap peran.

Peringatan

Jika Supabase membuat pengguna autentikasi SSO terpisah untuk alamat email yang sudah ada di Capgo, Capgo menyatukan identitas SSO ke akun yang sudah ada dan meminta pengguna untuk masuk lagi.

Opsional - Enforce SSO

Pada Aktif Pada penyedia Anda dapat menonaktifkan Tetapkan SSO. Ketika diaktifkan, Capgo menandai pengguna autentikasi yang sudah ada untuk domain email tersebut sebagai SSO-saja dan alur masuk memerlukan autentikasi IdP untuk domain tersebut. Mengatur penyedia ke Dinonaktifkan (Nonaktifkanatau menghapus pengawasan menghilangkan tanda SSO-only untuk domain tersebut.

Peringatan

Koordinasikan dengan admin IdP Anda dan peringatkan semua pengguna yang terkena sebelum mengaktifkan pengawasan. Pengguna yang tidak dapat menyelesaikan autentikasi IdP tidak akan dapat masuk dengan kata sandi untuk domain tersebut.

Referensi status penyedia

Status	Arti
Menunggu verifikasi	Rekaman TXT DNS belum diverifikasi
Diverifikasi	Pemilik domain telah dikonfirmasi; siap untuk diaktifkan
Aktif	SSO telah aktif untuk domain ini
Dinonaktifkan	Ditentukan oleh Nonaktifkan di dashboard; SSO tidak digunakan untuk domain tersebut; gunakan Aktifkan kembali untuk kembali ke Aktif

Daftar checklist peluncuran

• Rencana bisnis konfirmasi
• Aplikasi SAML dibuat di IdP dengan URL ACS dan ID Entitas dari Capgo
• IdP dikonfigurasi untuk melepaskan klaim email stabil
• Catatan TXT DNS diterbitkan dan Verifikasi DNS sukses
• Pemberi aktifasi
• Pengguna pilot masuk dengan sukses
• Peran ditingkatkan dari default baca sebagaimana diperlukan
• Keputusan pelaksanaan dibuat (dan diumumkan jika diaktifkan)

Dokumentasi terkait

• Organisasi: peran dan hak akses
• Keamanan organisasi: 2FA, kata sandi, API kunci