SSO (Enterprise)

このプラグインのインストールステップとフルマークダウンガイドまでの設定プロンプトをコピーしてください。

SSOとは何ですか?

Single Sign-On (SSO) を使用すると、チームは会社の ID プロバイダー (IdP) を使用して Capgo にログインできます。 Capgo は SAML 2.0 を使用して Supabase Auth を使用します。ユーザーのメールドメインが有効な SSO プロバイダーと一致すると、ユーザーは IdP に対して認証され、SSO コールバック中に組織にプロビジョニングされます。

SSOはユーザーが行うことができることは変えません。許可は団体役割.SSOは、どのように認証するかだけが変わる。

必要な環境

開始する前に

ビジネス向けサブスクリプションは、Capgo 組織で有効です。
CapgoがサポートするIDプロバイダー SAML 2.0 そして、IDPを公開します。 メタデータ URL (HTTPS).
組織のメンバーとして、組織設定を更新する権限がある場合の、__CAPGO_KEEP_0__ 組織のメンバーの能力 ドメインのメール (例: example.com) の DNS TXT レコード ユーザーが、組織メンバーとしてログインする場合の、ドメインのメール (例: example.com) の DNS TXT レコード company.com 組織のメンバーとして、組織設定を更新する権限がある場合の、__CAPGO_KEEP_0__ 組織のメンバーの能力 user@company.com).
A Capgo organization member with permission to update organization settings.
IT/セキュリティ側の連絡先 SSO設定の場所 「SSO設定の場所」セクション

Where to find SSO settings

Open https://console.capgo.app/
Click 設定左側のサイドバー
選択組織タブ
選択 セキュリティ タブ
下にスクロール SSO 設定組織が Enterprise プランに登録されている場合にのみ、フォームが利用可能です。

ステップ 1 - IdP を構成する

アイデンティティプロバイダーで、SAML 2.0 アプリケーションを作成します。必要なのは以下の値です。 サービスプロバイダー Capgo SSO 設定パネルに表示される値

フィールド	使用する場所
ACS URL	IdP の SAML アプリケーションで Assertion Consumer Service URL
Entity ID	サービスプロバイダーエンティティ識別子
SP メタデータ URL	オプション: URL で IdP が SP メタデータのインポートをサポートする場合にインポート
NameID フォーマット	SAML 名称識別子形式で期待されるフォーマット

IdP はユーザーのメールアドレスを __CAPGO_KEEP_0__ がメールドメインを使用してアクティブな SSO プロバイダーを解決し、既存のアカウントを照合するために __CAPGO_KEEP_0__ にリリースする必要があります。 Step 2 - __CAPGO_KEEP_0__ に SSO プロバイダーを追加する セクション “Step 2 - Capgo に SSO プロバイダーを追加する”

Step 2 - Add the SSO provider in Capgo

新しいプロバイダーを追加するには、ここをクリックしてください
入力 メールドメイン (例) company.com. ドメインのサインインメールのユーザーの部分を一致させる必要があります
IDPを入力してください メタデータURL (HTTPS)
送信

ステータスでプロバイダーが作成されました 承認待ち.

ステップ 3 - DNS ドメインの検証

Capgo はドメインを管理することを確認する必要があります。 SSO が有効になる前に

DNS プロバイダで TXT レコードを追加してください: TXT あなたの DNS プロバイダでレコードを追加してください:

フィールド	値
タイプ	`TXT`
ホスト名/名前	`_capgo-sso.<your-domain>` (例: `_capgo-sso.company.com`)
値	ダッシュボードパネルの表示される検証トークン

レコードが公開されると (DNS TTL プロパゲーションは通常数分から 1 時間かかります)、レコードが公開されるまで待ってください。確認ダッシュボード内で実行します。成功すると、プロバイダーは に移動します。.

確認済み

ステップ 4 - プロバイダーを有効化するセクションのタイトル DNS 検証後、クリックしてください有効化 。プロバイダーステータスはアクティブ に変更されます。 アクティブ

プロバイダーだけが SSO ログインフローで使用されます。 無効化 __CAPGO_KEEP_0__のダッシュボードでいつでも無効化できます。これにより、プロバイダーは無効に移動され、ドメインに対してSSOが一時停止されますが、構成は削除されません。

ステップ 5 - テストとロールの割り当て

ユーザーがSSOを介して初めてサインインし、その組織内に既存のメンバーがいない場合、Capgoは 読み取り ロールをユーザーに割り当てます。

パイロットユーザーがサインインした後:

以下の手順に従ってください。 設定 → 組織 → メンバー
各ユーザーを検索して
ロールを適切なレベルに調整する (アップロード, 書き込み, 管理者、など)

Capgoの詳細な権限の分解を参照してください。各ロールが何ができるかを確認してください。

オプション - SSO 強制

「有効プロバイダーの場合、強制 SSO を切り替えることができます。 強制 SSO。有効にすると、Capgo はそのメールドメインの既存の認証ユーザーを SSO-オンリーとしてマークし、ドメインに対してログインフローは IdP 認証を必要とします。 プロバイダーを「無効」に設定すると、または強制をオフにすると、そのドメインの SSO-オンリーフラグを削除します。 (注意注意

プロバイダーステータス参照

意味	検証待ち
DNS TXT レコード未検証	検証済み
ドメイン所有権確認済み; 有効化準備完了	有効
このドメインのSSOが稼働中	無効
非推奨のステータス	ドメインによって設定されます無効化ダッシュボードで設定; SSOはそのドメインでは使用されません; そのドメインで使用するには再有効化を使用してアクティブ

ロールアウトチェックリスト

エンタープライズプランが確認されました
SAML app created in IdP with ACS URL and Entity ID from Capgo
IdPは安定したメールクレームをリリースするように設定されています
DNS TXTレコードが公開されています DNSの検証 成功
プロバイダーが有効化されました
パイロットユーザーが正常にログインしました
デフォルトのロールから昇格 必要に応じて読み取り 有効化された場合に決定された強制措置 (および有効化された場合に伝達された場合)
関連ドキュメント

SSO (Enterprise)から続けてください

SSO (Enterprise)を利用している場合 SSO (Enterprise) 認証とアカウントフローの計画に使用し、@__CAPGO_KEEP_0__/__CAPGO_KEEP_1__-social-loginに接続する詳細は@capgo/capacitor-social-loginを参照してください詳細は@capgo/capacitor-passkeyを参照してください詳細は@capgo/capacitor-passkeyを参照してください詳細は@capgo/capacitor-native-biometricを参照してください @capgo/capacitor-native-biometric for the implementation detail in @capgo/capacitor-native-biometric, Two-factor authentication 2要素認証の実装詳細について 5 Steps to Implement OAuth2 in Capacitor Apps for the practical context in 5 Steps to Implement OAuth2 in Capacitor Apps.