Accedi con SSO (Enterprise)

Copia un prompt di configurazione con i passaggi di installazione e la guida markdown completa per questo plugin.

Cos'è la SSO?

L'accesso Single Sign-On (SSO) consente al tuo team di accedere a Capgo utilizzando il tuo provider di identità aziendale (IdP). Capgo utilizza SAML 2.0 attraverso Supabase Auth. Quando il dominio di posta elettronica di un utente corrisponde a un provider SSO attivo, possono autenticarsi contro il vostro IdP e vengono provisionati nell'organizzazione durante il callback SSO.

La SSO non modifica cosa gli utenti possono fare. I permessi sono controllati da ruoli dell'organizzazione. Solo lo SSO cambia il modo in cui si autenticano.

Requisiti

Prima di iniziare:

Sottoscrizione aziendale attiva sull'organizzazione Capgo.
Un provider di identità che supporta SAML 2.0 e esporre un URL di metadati IdP (HTTPS). Capacità di pubblicare un
abilità di pubblicare un Registro TXT DNS per il dominio di posta elettronica (ad esempio. company.com per gli utenti che si accedono come user@company.com).
Un membro di un'organizzazione Capgo con le autorizzazioni per aggiornare le impostazioni dell'organizzazione.
Un Amministratore IdP un contatto sul lato IT/ Sicurezza.

Dove trovare le impostazioni SSO

Apri https://console.capgo.app/
Clicca Impostazioni in il lato sinistro del riquadro
Seleziona il Organizzazione tab
Seleziona il Sicurezza tab
Scorri fino a configurazione SSOIl modulo è disponibile solo quando l'org è su il piano Enterprise.

Passo 1 - Configura il tuo IdP

Nel tuo provider di identità, crea una nuova applicazione SAML 2.0. Avrai bisogno dei seguenti valori Fornitore di Servizi i valori mostrati nel pannello di configurazione SSO Capgo:

Campo	Dove utilizzarlo
URL del Servizio Consumatore di Affermazione	URL del Servizio Consumatore di Affermazione nel tuo app SAML IdP
Identificatore dell'Entità	Identificatore dell'entità del Fornitore di Servizi
URL dei metadati SP	Facoltativo: importa se il tuo IdP supporta l'importazione dei metadati SP tramite URL
Formato ID nome	Formato previsto per l'identificatore del nome SAML

La tua IdP deve rilasciare l'indirizzo email dell'utente nell'asserzione. __CAPGO_KEEP_0__ utilizza il dominio email per risolvere il provider SSO attivo e per corrispondere agli account esistenti. Passo 2 - Aggiungi il provider SSO in Capgo

Sezione intitolata “Passo 2 - Aggiungi il provider SSO in Capgo”

Inserisci il
dominio email (ad esempio, ). Deve corrispondere alla parte dominio degli indirizzi email di accesso dei tuoi utenti Formato previsto per l'identificatore del nome SAML company.comFormato previsto per l'identificatore del nome SAML
Inserisci il tuo IdP URL dei metadati (HTTPS)
Invia

Il provider è stato creato con lo stato Verifica in corso.

Passo 3 - Verifica del dominio DNS

Capgo verifica che controlli il dominio prima che l'accesso SSO diventi attivo.

Aggiungi un record TXT presso il tuo provider DNS: __CAPGO_KEEP_0__

Campo	Valore
Tipo	`TXT`
Nome / host	`_capgo-sso.<your-domain>` (ad es. `_capgo-sso.company.com`)
Valore	Il token di verifica visualizzato nella scheda del pannello del dashboard

Una volta pubblicato il record (la propagazione del TTL DNS tipicamente richiede alcuni minuti o un'ora), clicca Verifica DNS nel dashboard. Al successo, il provider passa a Verificato.

Passo 4 - Attiva il provider

Dopo la verifica DNS, clicca Attiva. Lo stato del provider diventa Attivo. Solo i provider Attivo vengono utilizzati durante il flusso di accesso SSO.

Puoi scegliere Disattiva nella dashboard in qualsiasi momento. Questo sposta il provider in DisabilitatoPausa la SSO per quel dominio senza cancellare la configurazione.

Step 5 - Testa e assegna ruoli

Quando un utente si iscrive tramite SSO per la prima volta e non ha alcuna appartenenza esistente in quell'organizzazione, Capgo gli assegna il ruolo di lettura. Dopo che gli utenti pilot hanno effettuato l'accesso:

Vai a

Impostazioni → Organizzazione → Membri Cerca ogni utente SSO-provisto
Regola il loro ruolo al livello appropriato (
IncaricaUpload, Scrivi, Amministratore, ecc.)

Vedi il dettaglio della suddivisione dei permessi per sapere cosa ogni ruolo può fare.

Facoltativo - Imponi l'accesso SSO

Sul Attivo il fornitore che puoi abilitare/disabilitare Imposta SSO. Quando abilitato, Capgo segnala gli utenti autenticati esistenti per quel dominio di posta elettronica come SSO-only e il flusso di accesso richiede l'autenticazione IdP per quel dominio. Impostando il fornitore su Disabilitato (Disattiva) o spegnendo l'attivazione rimuove il flag SSO-only per il dominio.

Riferimento allo stato del fornitore

Stato	Significato
In attesa di verifica	Registro TXT DNS non ancora verificato
Verificato	Proprietà del dominio confermata; pronto per l'attivazione
Attivo	SSO attivo per questo dominio
Disabilitato	Impostato da Disattiva nel pannello di controllo; SSO non utilizzato per quel dominio; utilizza Riacattiva per tornare a Attivo

Elenco di distribuzione

Piano aziendale confermato
Applicazione SAML creata nell'IdP con l'URL ACS e l'ID entità da Capgo
IdP configurato per rilasciare un claim di posta elettronica stabile
Record TXT DNS pubblicato e Verifica DNS riuscito
Provider attivato
Utenti pilot hanno effettuato l'accesso con successo
Ruoli elevati da default lettura come necessario
Decisione di applicazione dell'enforcement (e comunicata se abilitata)

Continua dall'SSO (Enterprise)

Se stai utilizzando SSO (Enterprise) per pianificare l'autenticazione e le flussi di account, connettilo con @capgo/capacitor-login-social per i dettagli di implementazione in @capgo/capacitor-login-social, @capgo/capacitor-passkey per i dettagli di implementazione in @capgo/capacitor-passkey, @capgo/capacitor-biometria-nativa per i dettagli di implementazione in @capgo/capacitor-biometria-nativa, Autenticazione a due fattori per i dettagli di implementazione in Autenticazione a due fattori, e 5 Passaggi per Implementare OAuth2 negli App Capacitor per il contesto pratico in 5 Passaggi per Implementare OAuth2 negli App Capacitor.