メニューに進む
Capgo - Capacitor アプリ向けのライブ更新 Capgo

SSO (Enterprise)

「SSO とは」

Single Sign-On (SSO) は、チームが __CAPGO_KEEP_0__ に __CAPGO_KEEP_1__ の社内認証プロバイダー (IdP) を使用してログインできるようにします。 Supabase Auth を使用して SAML 2.0 を実行します。ユーザーのメール ドメインが有効な SSO プロバイダーと一致すると、ユーザーは IdP に対して認証され、SSO コールバック時に組織にプロビジョニングされます。

Single Sign-On (SSO) lets your team log in to Capgo using your company identity provider (IdP). Capgo uses SAML 2.0 through Supabase Auth. When a user’s email domain matches an active SSO provider, they can authenticate against your IdP and are provisioned into the organization during the SSO callback.

組織ロール SSO は認証方法のみを変更します。前提条件

「前提条件」

prerequisites_before_starting

prerequisites_section

  • Capgo組織のエンタープライズサブスクリプションが有効です。
  • __CAPGO_KEEP_0__がサポートするIDプロバイダーは SAML 2.0 IDPのメタデータURLを公開する (HTTPS). メールドメインのDNS TXT レコードを公開する
  • ユーザーが組織メンバーとしてログインする場合の例 __CAPGO_KEEP_0__組織のメンバーで組織設定を更新する権限がある場合 __CAPGO_KEEP_0__ company.com __CAPGO_KEEP_0__ user@company.com).
  • Capgo
  • __CAPGO_KEEP_0__ IdP管理者 IT/セキュリティ側の連絡先

SSO設定の場所を探す

「SSO設定の場所を探す」のセクション
  1. 開く https://console.capgo.app/
  2. クリック 左サイドバーの設定 左サイドバーの設定
  3. 組織 組織 タブ
  4. 選択してください セキュリティ タブ
  5. 下にスクロールしてください SSO設定組織がエンタープライズプランに登録されている場合にのみ、フォームが利用可能です。

ステップ 1 - IdPを設定する

「ステップ 1 - IdPを設定する」名のセクション

あなたのアイデンティティプロバイダーで、SAML 2.0アプリケーションを作成してください。必要なのは以下の サービスプロバイダー 「Capgo」SSO設定パネルに表示されている値

フィールド使用する場所
ACS URLIdPのSAMLアプリ内で使用するAssertion Consumer Service URL
Entity IDサービスプロバイダのエンティティ識別子
SPメタデータURLオプション: IdPがURLでSPメタデータをインポートすることをサポートしている場合にインポート
NameID形式SAML Name Identifierの期待される形式

IdPはユーザーの メールアドレス アサーションでリリースする必要があります。 Capgo はメールドメインを使用してアクティブなSSOプロバイダを解決し、既存のアカウントを一致させる

Step 2 - Add the SSO provider in Capgo

Section titled “Step 2 - Add the SSO provider in Capgo”
  1. SSO 設定パネルで、新しいプロバイダーを追加するボタンをクリック
  2. メール ドメインを入力 ドメイン名 (例: ) ユーザーのサインイン メールのドメイン部分と一致する必要があります company.comIdP のメタデータ URL を入力
  3. HTTPS 登録 プロバイダーは正常に作成されました
  4. ステップ 2 - __CAPGO_KEEP_0__ で SSO プロバイダーを追加する

ステップ 2 - __CAPGO_KEEP_0__ で SSO プロバイダーを追加する 確認待ち.

ステップ 3 - DNS ドメインの確認

ステップ 3 - DNS ドメインの確認

Capgo はドメインの管理権を持つことを確認する前に SSO が有効になることを確認します。

追加 TXT ドメインの管理者で

タイプ
名前 / ホストTXT
(例_capgo-sso.<your-domain> (e.g. _capgo-sso.company.com)
__CAPGO_KEEP_0__

レコードが公開され(DNS TTL プロパゲーションは通常数分から1時間かかります)後、 DNS検証 検証済み ステップ 4 - プロバイダーを有効化.

ステップ 4 - プロバイダーを有効化

DNS検証後、

有効 アクティブステップ 4 - プロバイダーを有効化 有効. Only 有効 SSO ログインフロー中のみ使用されるアクティブなプロバイダーです。

ダッシュボードでいつでも選択できます。 無効化 ダッシュボードでいつでも選択できます。 無効化すると、ドメインのSSOが一時停止されますが、設定は削除されません。ステップ 5 - テストとロール割り当て

「ステップ 5 - テストとロール割り当て」セクション

ユーザーが組織内に存在しない場合、最初のSSOによるサインイン時に、__CAPGO_KEEP_0__はユーザーに「読み取り」権限を付与します。

When a user signs in via SSO for the first time and has no existing membership in that organization, Capgo provisions them with the Section titled “Step 5 - Test and assign roles” 役割。

パイロットユーザーがサインインした後:

  1. 設定 → 組織 → メンバー SSOでプロビジョニングされた各ユーザーを検索
  2. 適切なレベルのロールをユーザーに割り当てる (
  3. アップロード書き込み, 管理者, など)詳細な権限の分解

__CAPGO_KEEP_0__ __CAPGO_KEEP_1__ 各ロールの機能についてはこちら。

オプション - SSOを強制する

「オプション - SSOを強制する」セクション

「オプション - SSOを強制する」セクション 「オプション - SSOを強制する」セクション 有効なプロバイダーで、SSOを有効/無効に切り替えることができます。 SSOを強制するSSOを有効にすると、Capgoはそのメールドメインの既存の認証ユーザーをSSO専用にマークし、ドメインに対してIdP認証が必要になります。プロバイダーを 無効 (無効化) または強制をオフにすることで、ドメインの SSO のみフラグが削除されます。

プロバイダーの状態の参照

「プロバイダーの状態の参照」のセクション
状態意味
検証待ちDNS TXT レコードがまだ検証されていません。
検証済みドメイン所有権が確認されました; アクティブ化を準備中
アクティブこのドメインのSSOが稼働しています
無効設定された値 無効化 ダッシュボードで確認してください; SSOはそのドメインでは使用されていません; そのドメインで使用するには 再アクティブ化 ダッシュボードに戻る アクティブ

ロールアウトチェックリスト

ロールアウトチェックリスト
  • ビジネス向けプランが確定しました
  • CapgoからACS URLとEntity IDを使用してSAMLアプリがIdPに作成されました
  • IdPは安定したメールのクレームをリリースするように設定されています
  • DNS TXTレコードが公開されました DNSを検証してください 成功
  • プロバイダーが有効になりました
  • パイロットユーザーが正常にサインインしました
  • デフォルトのロールから必要に応じて権限が引き上げられました 読み取り 必要に応じて
  • 強制措置の決定が行われました(有効にすると通知されます)
関連ドキュメント