SSO (Enterprise)
Copia un prompt di configurazione con i passaggi di installazione e la guida markdown completa per questo plugin.
Cos'è la SSO?
Sezione intitolata “Cos'è l'SSO?”L'accesso singolo (SSO) consente al tuo team di accedere a Capgo utilizzando il proprio provider di identità aziendale (IdP). Capgo utilizza SAML 2.0 attraverso Supabase Auth. Quando l'indirizzo email di un utente corrisponde a un provider SSO attivo, possono autenticarsi contro il proprio IdP e vengono provisionati nell'organizzazione durante il callback SSO.
L'accesso singolo non modifica cosa gli utenti possono fare. I permessi sono controllati dai ruoli dell'organizzazione. L'accesso singolo cambia solo come si autenticano.
Requisiti
Sezione intitolata “Requisiti”Prima di iniziare:
- Sottoscrizione aziendale attiva sull'organizzazione Capgo.
- Un provider di identità che supporta SAML 2.0 e esporre un IdP URL dei metadati (HTTPS).
- Capacità di pubblicare un record TXT DNS per il dominio di posta elettronica (ad esempio
company.comper gli utenti che accedono comeuser@company.com). - Un membro dell'organizzazione Capgo con le autorizzazioni per aggiornare le impostazioni dell'organizzazione.
- Un amministratore IdP contatto sul lato IT/ Sicurezza.
Dove trovare le impostazioni SSO
Sottosezione intitolata “Dove trovare le impostazioni SSO”- Apri https://console.capgo.app/
- Clicca Impostazioni in il riquadro laterale sinistro
- Seleziona la Organizzazione scheda
- Seleziona la Sicurezza scheda
- Scorri fino a Configurazione SSOLa form è disponibile solo quando l'org è sottoscritta al piano Enterprise.
Passo 1 - Configura il tuo IdP
Sezione intitolata “Passo 1 - Configura il tuo IdP”In tuo provider di identità, crea una nuova applicazione SAML 2.0. Avrai bisogno dei seguenti Fornitore di servizi i valori mostrati nella Capgo configurazione SSO:
| Campo | Dove utilizzarlo |
|---|---|
| URL del servizio di consumo delle dichiarazioni | URL del servizio di consumo delle dichiarazioni nel tuo app SAML IdP |
| ID entità | Identificatore dell'entità del fornitore di servizi |
| URL dei metadati SP | Facoltativo: importa se il tuo IdP supporta l'importazione dei metadati SP tramite URL |
| Formato del nome ID | Formato previsto per l'identificatore del nome SAML |
Il tuo IdP deve rilasciare l'indirizzo e-mail dell'utente nell'asserzione. __CAPGO_KEEP_0__ utilizza il dominio dell'indirizzo e-mail per risolvere il provider SSO attivo e per corrispondere agli account esistenti. Passo 2 - Aggiungi il provider SSO in Capgo
Sottosezione intitolata “Passo 2 - Aggiungi il provider SSO in Capgo”
Section titled “Step 2 - Add the SSO provider in Capgo”- Inserisci
- Inserisci il Dominio email (ad es.
company.com). Deve corrispondere alla parte del dominio degli indirizzi email di accesso dei tuoi utenti - Inserisci il tuo IdP URL dei metadati (HTTPS)
- Invia
Il provider è stato creato con lo stato Verifica in corso.
Passo 3 - Verifica del dominio DNS
Sezione intitolata “Passo 3 - Verifica del dominio DNS”Capgo verifica che tu controlli il dominio prima che l'accesso SSO diventi attivo.
Aggiungi un TXT record presso il tuo provider DNS:
| Campo | Valore |
|---|---|
| Tipo | TXT |
| Nome / host | _capgo-sso.<your-domain> (ad es. _capgo-sso.company.com) |
| Valore | Il token di verifica visualizzato nella scheda del pannello di controllo |
Una volta pubblicato il record (la propagazione del TTL DNS tipicamente richiede alcuni minuti o un'ora), clicca su Verifica DNS in dashboard. Al successo, il provider si sposta a Verificato.
Passo 4 - Attiva il provider
Sezione intitolata “Passo 4 - Attiva il provider”Dopo la verifica DNS, clicca Attiva. Lo stato del provider diventa Attivo. Solo Attivo provider vengono utilizzati durante il flusso di accesso SSO.
Puoi scegliere Disattiva In dashboard, puoi disattivare il provider in qualsiasi momento. Ciò sposta il provider in Disabilitato, che sospenderà l'accesso SSO per quel dominio senza cancellare la configurazione.
Step 5 - Testa e assegna ruoli
Sottosezione intitolata “Step 5 - Testa e assegna ruoli”Quando un utente si iscrive tramite SSO per la prima volta e non ha ancora una membership esistente in quell'organizzazione, Capgo gli assegna il ruolo di lettura. Dopo che gli utenti pilot hanno effettuato l'accesso:
Vai a
- Impostazioni → Organizzazione → Membri Disattiva il provider in dashboard in qualsiasi momento. Ciò sposta il provider in stato di disabilitazione, che sospenderà l'accesso SSO per quel dominio senza cancellare la configurazione.
- Trova ogni utente SSO-provisto
- Regola il loro ruolo al livello appropriato (Incarica, Scrivi, Amministratore, ecc.)
Vedi il dettaglio della mappa delle autorizzazioni per sapere cosa ogni ruolo può fare.
Facoltativo - Imponi SSO
Sottosezione intitolata “Facoltativo - Imponi SSO”Sul fornitore attivo puoi abilitare/disabilitare Attivo l'opzione "Imponi SSO". Quando abilitata, __CAPGO_KEEP_0__ segnala gli utenti autenticati esistenti per quel dominio di posta elettronica come unici per l'accesso SSO e il flusso di accesso richiede l'autenticazione dell'IDP per quel dominio. Impostando il fornitore su Disabilitato. When enabled, Capgo marks existing auth users for that email domain as SSO-only and the login flow requires IdP authentication for that domain. Setting the provider to ) o spegnendo l'imposizione rimuove il segnale SSO unico per il dominio. (AttenzioneAttenzione
Riferimento allo stato del provider
Sezione intitolata “Riferimento allo stato del provider”| Stato | Significato |
|---|---|
| In attesa di verifica | Il record TXT DNS non è stato ancora verificato |
| Verificato | La proprietà del dominio è stata confermata; pronto per l'attivazione |
| Attivo | L'SSO è attivo per questo dominio |
| Disabilitato | Definito da Disattiva nel pannello di controllo; l'accesso singolo non viene utilizzato per quel dominio; utilizza Riattiva per tornare a Attivo |
Elenco di controllo di distribuzione
Sottosezione intitolata “Elenco di controllo di distribuzione”- Confermata la versione aziendale
- L'applicazione SAML creata nell'IDP con l'URL ACS e l'ID dell'entità da Capgo
- L'IDP configurato per rilasciare un claim di posta elettronica stabile
- Record TXT DNS pubblicato e Verifica DNS succeesso
- Fornitore attivato
- Utenti pilot connessi con successo
- Ruoli elevati da default lettura come necessario
- Decisione di applicazione dell'enforcement (e comunicata se abilitata)
Documentazione correlata
Sezione intitolata “Documentazione correlata”Continua dall'accesso SSO (Enterprise)
Sezione intitolata “Continua dall'accesso SSO (Enterprise)”Se stai utilizzando SSO (Enterprise) per pianificare l'autenticazione e le flussi di account, connettilo con @capgo/capacitor-login-social per i dettagli di implementazione in @capgo/capacitor-login-social, @capgo/capacitor-passkey per i dettagli di implementazione in @capgo/capacitor-passkey, @capgo/capacitor-biometria-nativa per i dettagli di implementazione in @capgo/capacitor-biometria-nativa, L'autenticazione a due fattori per i dettagli di implementazione in due fattori di autenticazione, e 5 passaggi per implementare OAuth2 in Capacitor App per il contesto pratico in 5 passaggi per implementare OAuth2 in Capacitor App.