SSO (Enterprise)

インストール手順とこのプラグインの全マークダウンガイドを含む設定プロンプトをコピーします。

SSOとは

Single Sign-On (SSO)は、Capgoにアクセスするために、会社のIDプロバイダー(IDP)を使用してチームがログインできるようにします。Capgoは、Supabase Authを介してSAML 2.0を使用します。ユーザーのメールドメインが有効なSSOプロバイダーと一致する場合、ユーザーはIDPに認証し、SSOコールバック時に組織にプロビジョニングされます。

SSOはユーザーの権限を変更しません。組織ロールSSOは認証方法のみを変更します。

前提条件

__CAPGO_KEEP_0__組織でエンタープライズサブスクリプションが有効になっていることを確認してください。

Enterprise subscription active on the Capgo organization.
__CAPGO_KEEP_0__の組織メンバーで、組織設定を更新する権限がある人。 SAML 2.0をサポートし、IdPのメタデータURL(HTTPS)を公開するIDプロバイダー。 DNS TXTレコードを公開する機能があります。 メールドメインのDNS TXTレコード (例: メンバーが組織メンバーとしてログインする場合)。 IdP管理者
IDプロバイダー管理者 IDプロバイダー IDプロバイダー company.com IDプロバイダー user@company.com).
A Capgo organization member with permission to update organization settings.
IDプロバイダー IDプロバイダー IT/セキュリティ側で連絡してください。

SSO設定の場所を探す

開く https://console.capgo.app/
クリック 左サイドバーの設定 組織の
選択 組織の 選択
__CAPGO_KEEP_0__ セキュリティ タブ
下にスクロール SSO設定. 組織がEnterpriseプランにアップグレードされている場合にのみ、フォームが利用可能です。

ステップ1 - IdPを設定する

アイデンティティプロバイダで、SAML 2.0アプリケーションを作成します。必要なのは以下の情報です サービスプロバイダ Capgo SSO設定パネルに表示されている値

フィールド	使用する場所
ACS URL	__CAPGO_KEEP_0__のIdP SAMLアプリ内にあるAssertion Consumer Service URL
Entity ID	サービスプロバイダーのEntity ID
SP メタデータ URL	オプション: URLでIdPがSPメタデータのインポートをサポートしている場合にインポート
NameID形式	SAML Name Identifierの形式

IdPはユーザーの メールアドレス Capgoはメールドメインを使用してアクティブなSSOプロバイダを解決し、既存のアカウントを一致させる

ステップ2 - CapgoにSSOプロバイダを追加する

SSO 設定パネルで、新しいプロバイダーを追加するボタンをクリック
「」を入力してください メールドメイン (例: ) company.comユーザーのサインインメールのドメイン部分と一致する必要があります
IdP のメタデータ URL を入力してください (HTTPS) 送信
ステータスは「承認待ち」になります

プロバイダーは「承認待ち」状態で作成されます __CAPGO_KEEP_0__.

ステップ 3 - DNS ドメイン検証

Capgo はドメインの管理権を持つことを確認する前に SSO が有効になることを確認します。

追加する TXT ドメインプロバイダで TXT レコードを追加する

フィールド	値
タイプ	`TXT`
ホスト名 / ドメイン名	`_capgo-sso.<your-domain>` (例 `_capgo-sso.company.com`)
値	ダッシュボードパネルに表示される検証トークン

__CAPGO_KEEP_0__ レコードが公開されると (DNS TTL プロパゲーションは通常数分から 1 時間かかります)、 Verify DNS ダッシュボードで「検証済み」と表示されます。.

ステップ 4 - プロバイダーを有効化

プロバイダー状態が「有効」になります。 ステップ 4 - プロバイダーを有効化有効化有効Only 有効 __CAPGO_KEEP_0__のプロバイダーは、SSOログインフロー中使用されます。

あなたは選択できます 無効化 ダッシュボードでいつでも設定を変更できます。それにより、プロバイダーは「無効」に移動し、ドメインのSSOを一時停止しますが、設定は削除されません。 ステップ 5 - テストとロールの割り当てステップ 5 - テストとロールの割り当て

ユーザーがSSOを介して初めてサインインし、その組織内に既存のメンバーがいない場合、__CAPGO_KEEP_0__はユーザーに「読み取り」ロールを割り当てます。

When a user signs in via SSO for the first time and has no existing membership in that organization, Capgo provisions them with the You can choose Deactivate

After pilot users sign in:

Go to Settings → Organization → Members
Find each SSO-provisioned user
Adjust their role to the appropriate level (Upload, Write, Admin, etc.)

See the full permission breakdown for what each role can do.

オプション - SSO を強制

「オプション - SSO を強制」セクション ドメインで SSO 認証ユーザーをマークし、ドメインで IdP 認証が必要なログインフローを有効にするには、__CAPGO_KEEP_0__ を有効にします。 有効 サービスプロバイダーで SSO を有効または無効にすることができます。. When enabled, Capgo marks existing auth users for that email domain as SSO-only and the login flow requires IdP authentication for that domain. Setting the provider to SSO を強制すると、メールドメインの既存の認証ユーザーを SSO のみのユーザーとしてマークし、ドメインで IdP 認証が必要なログインフローを有効にします。 (無効または、強制をオフにすると、ドメインのSSO専用フラグが削除されます。

プロバイダーステータス参照

ステータス	意味
検証待ち	DNS TXT レコードがまだ検証されていません。
検証済み	ドメインの所有権が確認されました。アクティベートに準備されています。
有効	__CAPGO_KEEP_0__ドメインでSSOが有効です
無効	__CAPGO_KEEP_0__で設定無効化 __CAPGO_KEEP_1__でダッシュボードにアクセスしてください。SSOはそのドメインでは使用されません。再有効化 __CAPGO_KEEP_2__に戻る有効

ロールアウトチェックリスト

エンタープライズプランが確認済み
SAMLアプリケーションがIdPに作成され、ACS URLとEntity IDからCapgo
IdPが安定したメールクレームをリリースするように設定
DNS TXTレコードが公開され DNSを検証 成功
プロバイダーが有効化
パイロットユーザーが正常にサインイン
ロールがデフォルトから昇格 必要に応じて読み取り 強制決定が行われ(有効にすると通信されます)
関連するドキュメント

SSO (Enterprise) から続けて

SSO (Enterprise) を使用している場合 SSO (Enterprise) を使用して 認証とアカウントフローの計画に利用するには、@__CAPGO_KEEP_0__/__CAPGO_KEEP_1__-social-login @capgo/capacitor-social-login の実装詳細については @capgo/capacitor-social-login を参照してください。 @capgo/capacitor-passkey @capgo/capacitor-passkey の実装詳細については @capgo/capacitor-passkey を参照してください。 for the implementation detail in @capgo/capacitor-passkey, @capgo/capacitor-native-biometric @capgo/capacitor-native-biometricの実装詳細 2要素認証 2要素認証の実装詳細、 CapacitorアプリケーションでOAuth2を実装する5つのステップ OAuth2を実装するCapacitorアプリケーションの実践的な背景