メイン コンテンツにスキップ

SSO (エンタープライズ)

Single Sign-On (SSO)は、チームがCapgoに、会社のID プロバイダー (IdP) を使用してログインできるようにします。Capgoは、Supabase Authを通じてSAML 2.0を使用します。ユーザーのメール ドメインが有効なSSO プロバイダーと一致すると、ユーザーはIdPに認証され、SSOコールバック時に組織にプロビジョニングされます。

SSOはユーザーの権限を変更しません。 組織ロールSSOは認証方法のみを変更します。

__CAPGO_KEEP_0__組織でエンタープライズ サブスクリプションが有効になっていること

  • Enterprise subscription active on the Capgo organization.
  • ID管理者がサポートする SAML 2.0 IDPのメタデータURL (HTTPS) を公開する メタデータURL DNS TXT レコードを公開する
  • DNS TXT レコード 組織メンバーとしてログインするユーザー (e.g. 組織メンバーとしてログインするユーザー company.com 組織設定を更新する権限を持つ組織メンバー user@company.com).
  • A Capgo organization member with permission to update organization settings.
  • ID管理者 ID管理者 IT/セキュリティ側で連絡してください。
  1. 開く https://console.capgo.app/
  2. クリック 左サイドバーの設定 左サイドバーの設定から
  3. 組織 組織 組織
  4. 左サイドバーの設定から セキュリティ タブ
  5. 下にスクロール SSO設定組織がEnterpriseプランにアップグレードされている場合にのみ、フォームが利用可能です。

アイデンティティプロバイダで、SAML 2.0アプリケーションを作成してください。必要なのは以下のものです。 サービス プロバイダー Capgo SSO設定パネルに表示される値

フィールド使用する場所
ACS URL__CAPGO_KEEP_0__のIdP SAMLアプリ内にあるAssertion Consumer Service URL
Entity IDサービス プロバイダーのエンティティ識別子
SP メタデータ URLオプション: URL で IdP が SP メタデータのインポートをサポートする場合にインポートしてください
NameID形式SAML 名称識別子で期待される形式

IdP はユーザーの メールアドレス Capgoはメールドメインを使用してアクティブなSSOプロバイダを解決し、既存のアカウントを一致させるために使用します。

ステップ 2 - CapgoにSSOプロバイダを追加してください

セクションのタイトル “ステップ 2 - Capgo で SSO プロバイダーを追加する”
  1. SSO 設定パネルで、新しいプロバイダーを追加するボタンをクリック
  2. Enter the メール ドメイン (例: )。ユーザーのサインイン メールのドメイン部分と一致する必要があります company.comIdP
  3. メタデータ URL (HTTPS) 送信
  4. プロバイダーは、検証中の状態で作成されます

ステータス:検証中 ステータス:検証済み.

Capgo はドメインの管理権を持つことを確認する前に SSO が有効になることを確認します。

ドメインに TXT レコードを追加します。

フィールド
タイプTXT
ホスト名 / ドメイン_capgo-sso.<your-domain> (例えば _capgo-sso.company.com)
ダッシュボードパネルに表示されている検証トークン

レコードが公開され(DNS TTL プロパゲーションは通常数分から 1 時間かかることがあります)、クリック 検証 ダッシュボードで。成功すると、プロバイダーは 検証済み.

ステップ 4 - プロバイダーを有効化

ステップ 4 - プロバイダーを有効化

DNS 検証後、クリック 有効化。プロバイダーのステータスは アクティブオンリー 有効 __CAPGO_KEEP_0__のプロバイダーは、SSOログインフロー中使用されます。

あなたは選択できます 無効化 ダッシュボードでいつでも行うことができます。それは、ドメインのSSOを一時停止するためにプロバイダーを"Disabled"に移動しますが、構成を削除しません。 ステップ 5 - テストとロール割り当てユーザーが組織内に既存のメンバーがいない場合、SSOで初めてサインインしたときに、__CAPGO_KEEP_0__はユーザーに"read"ロールを割り当てます。

ステップ 5 - テストとロール割り当て

ステップ 5 - テストとロール割り当て

When a user signs in via SSO for the first time and has no existing membership in that organization, Capgo provisions them with the ステップ 5 - テストとロール割り当て ステップ 5 - テストとロール割り当て

パイロットユーザーがサインインした後:

  1. Go to 設定 → 組織 → メンバー
  2. 各 SSO プロビジョニング ユーザーを検索
  3. 適切なレベルのロールをユーザーに割り当てる (アップロード, 書き込み, 管理者など)

各ロールが実行できる権限の詳細な説明 を参照してください。 protectedTokens

「オプション - SSOを強制」セクション 有効な アクティブ プロバイダーで、SSOを切り替えることができます。. When enabled, Capgo marks existing auth users for that email domain as SSO-only and the login flow requires IdP authentication for that domain. Setting the provider to 有効にすると、__CAPGO_KEEP_0__はそのメールドメインの既存の認証ユーザーをSSO専用にマークし、ドメインでIdP認証が必要になります。プロバイダーを (無効化または、強制をオフにすることで、ドメインのSSO専用フラグが削除されます。

ステータス意味
検証待ちDNS TXT レコードがまだ検証されていません。
検証済みドメインの所有権が確認され、有効化する準備が整っています。
Active__CAPGO_KEEP_0__はこのドメインで有効です
Disabled__CAPGO_KEEP_1__で設定されています Deactivate ダッシュボードで有効にし、__CAPGO_KEEP_0__が使用されていないドメインの場合に使用してください Re-activate __CAPGO_KEEP_0__に戻る Active

__CAPGO_KEEP_2__

__CAPGO_KEEP_3__
  • ビジネス向けプランが確認されています
  • IdPでCapgoからACS URLとEntity IDを使用してSAMLアプリを作成しました。
  • IdPは、安定したメールのクレームをリリースするように設定されています。
  • DNS TXTレコードが公開されました。 DNSを検証してください。 成功
  • プロバイダーが有効になりました。
  • パイロットユーザーが正常にサインインしました。
  • デフォルトのロールから必要に応じてロールを昇格しました。 読み取り 決定された強制措置 (有効にすると通知されます)。
  • 関連するドキュメント
関連ドキュメントのセクション

SSO (エンタープライズ) から続けて

SSO (エンタープライズ) から続けてのセクション

SSO (エンタープライズ) を使用している場合 SSO (エンタープライズ) 認証とアカウントフローの計画に使用するには、@__CAPGO_KEEP_0__/__CAPGO_KEEP_1__-social-login と接続する 認証とアカウントフローの計画に使用するには、@capgo/capacitor-social-login の実装詳細については、@capgo/capacitor-social-login を参照してください 認証とアカウントフローの計画に使用するには、@capgo/capacitor-passkey と接続する 認証とアカウントフローの計画に使用するには、@capgo/capacitor-passkey の実装詳細については、@capgo/capacitor-passkey を参照してください for the implementation detail in @capgo/capacitor-passkey, @capgo/capacitor-native-biometric @capgo/capacitor-native-biometricの実装詳細について 2要素認証 2要素認証の実装詳細について、 CapacitorアプリにOAuth2を実装する5つのステップ CapacitorアプリにOAuth2を実装する実践的なコンテキストについて