Saltare al contenuto

Autenticazione SSO (Enterprise)

L'accesso singolo (SSO) consente al tuo team di accedere a Capgo utilizzando il tuo provider di identità aziendale (IdP). Capgo utilizza SAML 2.0 attraverso Supabase Auth. Quando l'indirizzo email di un utente corrisponde a un provider SSO attivo, possono autenticarsi contro il tuo IdP e vengono provisionati nell'organizzazione durante il callback SSO.

L'accesso singolo non modifica le azioni che gli utenti possono eseguire. I permessi sono controllati dai ruoli di organizzazione. L'accesso singolo cambia solo il modo in cui gli utenti si autenticano.

Prima di iniziare:

  • Abbonamento Enterprise attivo sull'organizzazione Capgo.
  • Un fornitore di identità che supporta SAML 2.0 e esporre un URL di metadati IdP (HTTPS). La possibilità di pubblicare un record TXT DNS
  • per il dominio di posta elettronica (ad esempio per gli utenti che accedono come Un membro dell'organizzazione __CAPGO_KEEP_0__ con le autorizzazioni per aggiornare le impostazioni dell'organizzazione. company.com Un user@company.com).
  • A Capgo organization member with permission to update organization settings.
  • abilità di contattare il vostro lato IT/ Sicurezza.
  1. Apri https://console.capgo.app/
  2. Clicca Impostazioni nella barra laterale sinistra
  3. Seleziona il tabella Organizzazione Seleziona il
  4. tabella Security tab
  5. Scorri verso Configurazione SSO. La forma è disponibile solo quando l'organizzazione è sottoscritta al piano Enterprise.

In tuo provider di identità, crea una nuova applicazione SAML 2.0. Avrai bisogno dei seguenti Fornitore di servizi i valori mostrati nel pannello di configurazione SSO Capgo:

CampoDove utilizzarlo
URL ACSURL del Servizio di Consumazione di Affermazioni nel tuo'app IdP SAML
ID EntitàIdentificatore di entità del Servizio Fornitore
URL metadati SPFacoltativo: importa se il tuo IdP supporta l'importazione dei metadati SP tramite URL
Formato NameIDFormato atteso per l'identificatore del nome SAML

Il tuo IdP deve rilasciare l'indirizzo email dell'utente nell'asserzione. __CAPGO_KEEP_0__ utilizza il dominio dell'indirizzo email per risolvere il provider SSO attivo e per corrispondere agli account esistenti. Step 2 - Aggiungi il provider SSO in __CAPGO_KEEP_0__ Capgo

  1. Nel pannello di configurazione SSO, clicca per aggiungere un nuovo provider
  2. Inserisci il dominio di posta elettronica (ad es. company.com). Deve corrispondere alla parte dominio degli indirizzi di accesso dei tuoi utenti
  3. Inserisci l'URL dei metadati del tuo IdP (HTTPS) Invia
  4. Il provider è stato creato con lo stato

In attesa di verifica Inserisci il tuo IdP.

Capgo verifica che tu controlli il dominio prima che l'accesso SSO possa diventare attivo.

Aggiungi un record TXT al tuo provider DNS: Campo

ValoreTipo
Nome / hostTXT
(ad esempio_capgo-sso.<your-domain> Valore _capgo-sso.company.com)
(ad esempioIl token di verifica mostrato nella scheda del pannello di controllo

Una volta pubblicato il record (la propagazione del TTL DNS richiede tipicamente pochi minuti o un'ora), clicca Verifica DNS nella scheda del pannello di controllo. Al successo, il provider si sposta a Verificato.

Dopo la verifica DNS, clicca Attiva. Lo stato del provider diventa AttivoSolo Attivo I provider vengono utilizzati durante il flusso di accesso SSO.

Puoi scegliere Sospendi nel pannello di controllo in qualsiasi momento. Ciò sposta il provider in Disabilitato, che sospenderà l'accesso SSO per quel dominio senza cancellare la configurazione.

Quando un utente si iscrive per la prima volta tramite l'accesso SSO e non ha ancora una registrazione esistente in quell'organizzazione, Capgo gli assegna il ruolo di lettura. Step 5 - Test and assign roles

Dopo che gli utenti pilota si sono accesi:

  1. Vai a Impostazioni → Organizzazione → Membri
  2. Trova ogni utente fornito da SSO
  3. Regola il loro ruolo al livello appropriato (Carica, Scrivi, Amministratore, ecc.)

Vedi il dettaglio completo delle autorizzazioni per sapere cosa può fare ogni ruolo.

Sul Attivo provider puoi abilitare Imponi SSO. Quando abilitato, Capgo segna gli utenti di autenticazione esistenti per quel dominio di indirizzo email come SSO-solo e il flusso di accesso richiede l'autenticazione IdP per quel dominio. Impostare il provider su Disabilitato (DisattivaAttenzione

Sottosezione intitolata “Riferimento allo stato del provider”

Stato
SignificatoIn attesa di verifica
Record TXT DNS non ancora verificatoVerificato
La proprietà del dominio è stata confermata; pronto per l'attivazione or la disattivazione dell'attivazione rimuove il flag SSO-only per il dominio.
AttivoL'accesso singolo (SSO) è attivo per questo dominio
DisabilitatoImpostato da Disattiva in dashboard; SSO non utilizzato per quel dominio; utilizza Ri-attiva per tornare a Attivo
  • Piano aziendale confermato
  • SAML app creato nell'IdP con l'URL ACS e l'ID Entità da Capgo
  • L'IdP configurato per rilasciare un claim di posta elettronica stabile
  • Record TXT DNS pubblicato e Verifica DNS riuscito
  • Fornitore attivato
  • Utenti pilot acceduti con successo
  • Ruoli elevati da impostazione predefinita lettura come necessario
  • Preso atto della decisione di applicazione (e comunicata se abilitato)

Se stai utilizzando SSO (Enterprise) per pianificare l'autenticazione e le flussi di account, connettilo con @capgo/capacitor-login-social per i dettagli di implementazione in @capgo/capacitor-login-social, @capgo/capacitor-passkey per i dettagli di implementazione in @capgo/capacitor-passkey @capgo/capacitor-autenticazione-biometrica per i dettagli di implementazione in @capgo/capacitor-autenticazione-biometrica, Autenticazione a due fattori per i dettagli di implementazione in Autenticazione a due fattori, e 5 Passaggi per Implementare OAuth2 negli App Capacitor per il contesto pratico in 5 Passaggi per Implementare OAuth2 negli App Capacitor.