SSO (Enterprise)

Copia una richiesta di configurazione con i passaggi di installazione e la guida markdown completa per questo plugin.

Cos'è l'SSO?

L'Accesso Single Sign-On (SSO) consente al tuo team di accedere a Capgo utilizzando il tuo provider di identità aziendale (IdP). Capgo utilizza SAML 2.0 attraverso Supabase Auth. Quando il dominio di posta elettronica di un utente corrisponde a un provider SSO attivo, possono autenticarsi contro il tuo IdP e vengono provisionati nell'organizzazione durante il callback SSO.

L'SSO non cambia cosa gli utenti possono fare. I permessi sono controllati dai ruoli di organizzazione . L'SSO cambia solo come si autenticano.

Prerequisiti

Prima di iniziare:

La sottoscrizione aziendale è attiva sull'organizzazione Capgo.
Un provider di identità che supporta SAML 2.0 e esporre un URL di metadati IdP (HTTPS). La capacità di pubblicare un record TXT DNS
per il dominio di posta elettronica (ad esempio per gli utenti che accedono come Un membro dell'organizzazione __CAPGO_KEEP_0__ con le autorizzazioni per aggiornare le impostazioni dell'organizzazione. company.com Un user@company.com).
A Capgo organization member with permission to update organization settings.
SAML 2.0 e esporre un URL di metadati IdP (HTTPS). Admin IdP contattare il tuo lato IT/security.

Dove trovare le impostazioni SSO

Apri https://console.capgo.app/
Clicca Impostazioni nella barra laterale di sinistra
Seleziona la scheda Organizzazione tab
Seleziona il tabella di sicurezza Scorri fino a
Configurazione SSO Il modulo è disponibile solo quando l'organizzazione è sottoscritta al piano Enterprise.Passo 1 - Configura il tuo IdP

Sezione intitolata “Passo 1 - Configura il tuo IdP”

Fornitore di servizi i valori mostrati nella scheda di configurazione SSO __CAPGO_KEEP_0__: values shown in the Capgo SSO configuration panel:

Campo	Dove utilizzarlo
URL ACS	URL del servizio di consumo di asserzioni SAML nel tuo'app IdP SAML
ID entità	Identificatore di entità del fornitore di servizi
URL dei metadati SP	Facoltativo: importa se il tuo IdP supporta l'importazione dei metadati SP tramite URL
Formato del nome ID	Formato previsto per l'identificatore del nome SAML

Il tuo IdP deve rilasciare l'indirizzo email dell'utente. nell'asserzione. __CAPGO_KEEP_0__ utilizza il dominio dell'indirizzo email per risolvere il provider SSO attivo e per corrispondere agli account esistenti. in the assertion. Capgo uses the email domain to resolve the active SSO provider and to match existing accounts.

Passo 2 - Aggiungi il fornitore SSO in Capgo

Nella finestra di configurazione SSO, clicca per aggiungere un nuovo fornitore
Inserisci il dominio di posta elettronica (ad es. company.com). Deve corrispondere alla parte dominio degli indirizzi di posta elettronica di accesso dei tuoi utenti
Inserisci l'URL dei metadati del tuo IdP (HTTPS) Invia
Il fornitore è stato creato con lo stato

Il fornitore è stato creato con lo stato __CAPGO_KEEP_0__.

Passo 3 - Verifica del dominio DNS

Capgo verifica il controllo del dominio prima che l'accesso SSO possa diventare attivo.

Aggiungi un record TXT al tuo provider DNS:

Campo	Valore
Tipo	`TXT`
Nome / host	`_capgo-sso.<your-domain>` (ad es. `_capgo-sso.company.com`)
Valore	Il token di verifica mostrato nella finestra di controllo del pannello

Una volta pubblicato il record (la propagazione del TTL DNS tipicamente richiede alcuni minuti o un'ora), clicca Verifica DNS nel pannello. Al successo, il provider passa a Verificato.

Passo 4 - Attiva il provider

Dopo la verifica DNS, clicca Attiva. Lo stato del provider diventa Attivo. Solo Attivo I provider attivi vengono utilizzati durante il flusso di accesso SSO.

Puoi scegliere Disattiva nel dashboard in qualsiasi momento. Ciò sposta il provider in Disabilitato, che sospende l'accesso SSO per quel dominio senza eliminare la configurazione.

Passo 5 - Testa e assegna ruoli

When a user signs in via SSO for the first time and has no existing membership in that organization, Capgo provisions them with the lettura ruolo.

Dopo che gli utenti pilot hanno effettuato l'accesso:

Vai a Impostazioni → Organizzazione → Membri
Trova ogni utente fornito da SSO
Regola il loro ruolo al livello appropriato (Carica, Scrivi, Amministratoreecc.)

Vedi il dettaglio completo delle autorizzazioni per cosa ciascun ruolo può fare.

Facoltativo - Imposta SSO

Su un Attivo provider puoi abilitare/disabilitare Imposta SSO. Quando abilitato, Capgo segna gli utenti di autenticazione esistenti per quel dominio di email come SSO-solo e il flusso di accesso richiede l'autenticazione IdP per quel dominio. Impostare il provider su Disabilitato (DisattivaLa rimozione della flag SSO-only per il dominio rimuove l'attivazione dell'enforcement.

Riferimento allo stato del provider

Stato	Significato
In attesa di verifica	Il record TXT DNS non è stato ancora verificato
Verificato	La proprietà del dominio è stata confermata; pronto per l'attivazione
Attivo	L'SSO è attivo per questo dominio
Disabilitato	Impostato da Disattiva nella dashboard; l'SSO non è stato utilizzato per quel dominio; utilizza Ri-attiva per tornare a Attivo

Checklist di distribuzione

Abbonamento aziendale confermato
Applicazione SAML creata nell'IdP con l'URL ACS e l'ID Entità da Capgo
L'IdP configurato per rilasciare un claim di email stabile
Record TXT DNS pubblicato e Verifica DNS riuscito
Fornitore attivato
Utenti pilot acceduti con successo
Ruoli elevati da default lettura come necessario
Decisione di applicazione dell'enforcement (e comunicata se abilitata)