SSO (Enterprise)

Peringatan

Pengaturan SSO hanya tersedia pada paket Enterprise saja. If Anda tidak melihat [__CAPGO_KEEP_0__], pastikan organisasi Anda telah berlangganan Enterprise plan atau hubungi kontak __CAPGO_KEEP_0__ Anda. Konfigurasi SSO di bawah Pengaturan → Organisasi → Keamanan, ensure your organization is on the Enterprise plan or contact your Capgo account contact.

Apakah SSO?

Pengenalan SSO (Single Sign-On) memungkinkan tim Anda masuk ke Capgo menggunakan penyedia identitas perusahaan (IdP) Anda. Capgo menggunakan SAML 2.0 melalui Supabase Auth. Ketika domain email pengguna sesuai dengan penyedia SSO aktif, mereka dapat mengautentikasi melalui IdP Anda dan diberikan akses ke organisasi selama panggilan balik SSO.

SSO tidak mengubah apa yang pengguna dapat lakukan. Hak akses dikendalikan oleh peran organisasi. SSO hanya mengubah cara mereka mengautentikasi.

Persyaratan sebelumnya

Sebelum memulai:

• Langganan Enterprise aktif pada organisasi Capgo
• Seorang penyedia identitas yang mendukung SAML 2.0 dan mengungkapkan URL metadata IdP (HTTPS). Kemampuan untuk mempublikasikan sebuah
• rekaman TXT DNS untuk domain email (misalnya untuk pengguna yang masuk sebagai company.com __CAPGO_KEEP_0__ user@company.com).
• Anggota organisasi Capgo dengan izin untuk memperbarui pengaturan organisasi.
• Seorang Admin IdP kontak di sisi IT/keamanan Anda.

Di mana untuk menemukan pengaturan SSO

1. Buka https://console.capgo.app/
2. Klik Pengaturan di sidebar kiri
3. Pilih Organisasi tab
4. Pilih Keamanan tab
5. Lihat ke bawah Konfigurasi SSO. Form ini hanya tersedia ketika organisasi berlangganan Enterprise plan.

Langkah 1 - Konfigurasi IdP Anda

Dalam penyedia identitas Anda, buat aplikasi SAML 2.0 baru. Anda memerlukan informasi berikut Pemberi Layanan Nilai yang ditampilkan di panel konfigurasi SSO Capgo:

Field	Dimana untuk menggunakannya
URL ACS	URL Konsumen Klaim Pernyataan di aplikasi SAML IdP Anda
ID Entitas	Identifikasi Entitas Pemberi Layanan
URL metadata SP	Opsional: import jika IdP Anda mendukung import metadata SP melalui URL
Format NameID	Format yang diharapkan untuk Identifikasi Nama SAML

IdP Anda harus melepaskan identitas pengguna alamat surel dalam klaim. Capgo menggunakan domain surel untuk menyelesaikan penyedia SSO aktif dan untuk mencocokkan akun yang sudah ada.

Langkah 2 - Tambahkan penyedia SSO di Capgo

1. Dalam panel konfigurasi SSO, klik untuk menambahkan penyedia baru
2. Masukkan domain surel (misalnya, ). Harus sesuai dengan bagian domain alamat surel pengguna Anda company.comMasukkan URL metadata IdP Anda
3. (HTTPS) Masukkan URL metadata IdP Anda (HTTPS) Masukkan URL metadata IdP Anda (HTTPS)
4. Kirim

Provider telah dibuat dengan status Mengharapkan verifikasi.

Langkah 3 - Verifikasi domain DNS

Capgo memastikan Anda mengontrol domain sebelum SSO dapat aktif.

Tambahkan rekam TXT di penyedia DNS Anda:

Field	Nilai
Jenis	TXT
Nama / host	_capgo-sso.<your-domain> (e.g. _capgo-sso.company.com)
Nilai	Token verifikasi yang ditampilkan di panel dashboard

Setelah rekaman dipublikasikan (propagasi TTL DNS biasanya membutuhkan beberapa menit hingga jam), klik Verifikasi DNS di dashboard. Setelah berhasil, penyedia berpindah ke Dinyatakan Verifikasi.

Langkah 4 - Aktifkan penyedia

Setelah verifikasi DNS, klik Aktifkan. Status penyedia menjadi Aktif. Hanya penyedia yang aktif yang digunakan selama alur login SSO. Anda dapat memilih Nonaktifkan

di dashboard kapan saja. Itu akan mengubah penyedia ke Tidak Aktif , yang menghentikan SSO untuk domain tersebut tanpa menghapus konfigurasi. Langkah 5 - Uji dan tentukan peranJudul bagian “Langkah 5 - Uji dan tentukan peran”

__CAPGO_KEEP_0__

Ketika pengguna masuk melalui SSO untuk pertama kalinya dan tidak memiliki keanggotaan yang ada di organisasi tersebut, Capgo menyediakan mereka dengan read peran.

Setelah pengguna pilot masuk:

1. Lihat Pengaturan → Organisasi → Anggota
2. Cari setiap pengguna yang disediakan melalui SSO
3. Tetapkan peran mereka ke tingkat yang tepat (Upload, Tulis, Admin, dll.)

See the penjelasan detail tentang izin yang diberikan oleh setiap peran. Peringatan

Jika Supabase membuat pengguna autentikasi SSO yang terpisah untuk alamat email yang sudah ada di __CAPGO_KEEP_0__, __CAPGO_KEEP_1__ menggabungkan identitas SSO ke dalam akun yang sudah ada dan meminta pengguna untuk masuk lagi.

If Supabase creates a separate SSO auth user for an email that already exists in Capgo, Capgo merges the SSO identity into the existing account and asks the user to sign in again.

Bab yang berjudul “Pilihan - Enforce SSO”

aktif provider Anda dapat mengaktifkan Pengaturan SSO Pengaturan SSO. Ketika diaktifkan, Capgo menandai pengguna autentikasi yang sudah ada untuk domain email tersebut sebagai SSO-only dan alur login memerlukan autentikasi IdP untuk domain tersebut. Mengatur penyedia ke Tidak Aktif (Nonaktifkan) atau mematikan penegakan menghilangkan tanda SSO-only untuk domain.

Peringatan

Koordinasikan dengan admin IdP Anda dan peringatkan semua pengguna yang terkena sebelum mengaktifkan penegakan. Pengguna yang tidak dapat menyelesaikan autentikasi IdP tidak akan dapat masuk dengan kata sandi untuk domain tersebut.

Referensi status penyedia

Status	Arti
Sedang diverifikasi	Rekaman TXT DNS belum diverifikasi
Diverifikasi	Pemilik domain dikonfirmasi; siap untuk mengaktifkan
Aktif	SSO aktif untuk domain ini
Dinonaktifkan	Ditentukan oleh Deaktifkan di dashboard; SSO tidak digunakan untuk domain tersebut; gunakan Aktifkan kembali untuk kembali ke Aktif

Daftar Rilis

• Konfirmasi Rencana Bisnis
• Aplikasi SAML dibuat di IdP dengan URL ACS dan ID Entitas dari Capgo
• IdP dikonfigurasi untuk melepaskan klaim email stabil
• Catatan TXT DNS diterbitkan dan Verifikasi DNS sukses
• Pemberi Aktifasi diaktifkan
• Pengguna Pilot masuk dengan sukses
• Peran ditingkatkan dari default baca As per kebutuhan
• Keputusan penindakan telah dibuat (dan disampaikan jika diaktifkan)

Referensi terkait

• Organisasi: peran dan hak akses
• Keamanan organisasi: 2FA, kata sandi, API kunci

Teruskan dari SSO (Enterprise)

Jika Anda menggunakan SSO (Enterprise) untuk merencanakan autentikasi dan aliran akun, hubungkannya dengan @capgo/capacitor-login sosial untuk detail implementasi di @capgo/capacitor-login-sosial, @capgo/capacitor-passkey untuk detail implementasi di @capgo/capacitor-passkey, @capgo/capacitor-biometrik-native untuk detail implementasi di @capgo/capacitor-biometrik-native, Autentikasi Dua Faktor untuk detail implementasi di Autentikasi Dua Faktor, dan 5 Langkah untuk Mengimplementasikan OAuth2 di Aplikasi Capacitor untuk konteks praktis di 5 Langkah untuk Mengimplementasikan OAuth2 di Aplikasi Capacitor.