SSO (Enterprise)

Copia un prompt di configurazione con i passaggi di installazione e la guida markdown completa per questo plugin.

What is SSO?

Single Sign-On (SSO) consente al tuo team di accedere a Capgo utilizzando il tuo provider di identità aziendale (IdP). Capgo utilizza SAML 2.0 attraverso Supabase Auth. Quando l'indirizzo email di un utente corrisponde a un provider SSO attivo, possono autenticarsi contro il tuo IdP e vengono provisionati nell'organizzazione durante il callback SSO.

SSO non cambia cosa gli utenti possono fare. I permessi sono controllati dai ruoli di organizzazione. SSO cambia solo come si autenticano.

Requisiti preliminari

Prima di iniziare:

Sottoscrizione enterprise attiva sull'organizzazione Capgo.
Un provider di identità che supporta SAML 2.0 e esporre un URL di metadati IdP (HTTPS). Capacità di pubblicare un record TXT DNS
per il dominio email (ad esempio per gli utenti che accedono come __CAPGO_KEEP_0__ company.com __CAPGO_KEEP_0__ user@company.com).
Un membro dell'organizzazione Capgo con le autorizzazioni per aggiornare le impostazioni dell'organizzazione.
Un Amministratore IdP un contatto sul tuo lato IT/ Sicurezza.

Dove trovare le impostazioni SSO

Apri https://console.capgo.app/
Clicca Impostazioni nella barra laterale sinistra
Seleziona il Organizzazione tab
Seleziona il Sicurezza tab
Scorri fino a configurazione SSO. La forma è disponibile solo quando l'org è sul piano Enterprise.

Passo 1 - Configura il tuo IdP

Nel tuo provider di identità, crea una nuova applicazione SAML 2.0. Avrai bisogno dei seguenti Fornitore di servizi valori visualizzati nel pannello di configurazione SSO Capgo:

Campo	Dove utilizzarlo
URL ACS	URL del servizio di consumo di attestazioni nel tuo'app IdP SAML
ID entità	Identificatore dell'entità del fornitore di servizi
URL metadati SP	Facoltativo: importa se il tuo IdP supporta l'importazione dei metadati SP tramite URL
Formato NameID	Formato atteso per l'identificatore SAML del nome utente

Devi rilasciare l'identificatore del nome utente del tuo IdP indirizzo di posta elettronica Nell'affermazione. Capgo utilizza il dominio di posta elettronica per risolvere il provider SSO attivo e per corrispondere agli account esistenti.

Passo 2 - Aggiungi il provider SSO in Capgo

Nel pannello di configurazione SSO, clicca per aggiungere un nuovo provider
Inserisci il dominio di posta elettronica (ad es. company.com). Deve corrispondere alla parte dominio degli indirizzi di posta elettronica dei tuoi utenti
Inserisci l'URL dei metadati del tuo IdP (HTTPS) Inserisci il tuo IdP
Invia

Il provider è stato creato con lo stato In attesa di verifica.

Passo 3 - Verifica del dominio DNS

Capgo verifica che controlli il dominio prima che l'accesso SSO possa diventare attivo.

Aggiungi un record TXT al tuo provider DNS: Campo

Valore	Tipo
Tipo	`TXT`
Nome / host	`_capgo-sso.<your-domain>` (ad es. `_capgo-sso.company.com`)
Valore	Il token di verifica mostrato nella finestra di controllo del pannello

Una volta pubblicato il record (la propagazione del TTL DNS tipicamente richiede alcuni minuti o un'ora), clicca Verifica DNS nella finestra di controllo. Al successo, il provider si sposta a Verificato.

Passo 4 - Attiva il provider

Dopo la verifica DNS, clicca Attiva. Lo stato del provider diventa Attivo. Solo provider attivi sono utilizzati durante il flusso di accesso SSO. Puoi scegliere

Disattiva nel pannello di controllo in qualsiasi momento. Ciò sposta il provider in Disabilitato , che sospende l'accesso SSO per quel dominio senza cancellare la configurazione.Passo 5 - Testa e assegna ruoli

Sezione intitolata “Passo 5 - Testa e assegna ruoli”

Quando un utente si registra tramite SSO per la prima volta e non ha alcuna appartenenza esistente in quell'organizzazione, Capgo gli assegna il ruolo di lettura. Dopo che gli utenti pilot si sono registrati:

Vai a

Impostazioni → Organizzazione → Membri Trova ogni utente fornito tramite SSO
Regola il loro ruolo al livello appropriato (
CaricaScrivi, Amministra, , ecc.)Vai a

Vedi il la descrizione completa delle autorizzazioni per quanto ciascun ruolo può fare.

Facoltativo - Imponi SSO

Sul Provider attivo puoi abilitare/disabilitare Imponi SSOWhen abilitato, Capgo segnala gli utenti di autenticazione esistenti per quel dominio di posta elettronica come unico per l'accesso SSO e il flusso di accesso richiede l'autenticazione IdP per quel dominio. Impostando il provider su Disabilitato (Disattiva) o spegnendo l'attivazione rimuove il segnale SSO unico per il dominio.

Riferimento allo stato del provider

Stato	Significato
In attesa di verifica	Registro TXT DNS non ancora verificato
Verificato	Confermato la proprietà del dominio; pronto per l'attivazione
Attivo	L'SSO è attivo per questo dominio
Disabilitato	Impostato da Disattiva nel dashboard; l'SSO non è stato utilizzato per quel dominio; utilizza Ri-attiva per tornare a Attivo

Elenco di rilascio

Piano aziendale confermato
Applicazione SAML creata nell'IdP con l'URL ACS e l'ID entità da Capgo
L'IdP configurato per rilasciare un claim di posta elettronica stabile
Record TXT DNS pubblicato e Verifica DNS riuscito
Provider attivato
Utenti pilot autenticati con successo
Ruoli elevati da default a lettura As necessario
Decisione di applicazione della sanzione (e comunicata se abilitata)

Continua dall'accesso Single Sign-On (Enterprise)

Se stai utilizzando Single Sign-On (Enterprise) per pianificare l'autenticazione e le flussi di account, connettilo con @capgo/capacitor-login sociale For il dettaglio di implementazione in @capgo/capacitor-login-social, @capgo/capacitor-passkey For il dettaglio di implementazione in @capgo/capacitor-passkey, @capgo/capacitor-biometric-nativo For il dettaglio di implementazione in @capgo/capacitor-biometric-nativo, L'autenticazione a due fattori For il dettaglio di implementazione in L'autenticazione a due fattori, e 5 Passaggi per Implementare OAuth2 negli App Capacitor For il contesto pratico in 5 Passaggi per Implementare OAuth2 negli App Capacitor