SSO (Enterprise)

このプラグインのインストールステップとフルマークダウンガイドまでの全てのステップを含む設定プロンプトをコピーする

SSOとは何ですか

Single Sign-On (SSO) を使用すると、チームは会社の ID プロバイダー (IdP) を使用して Capgo にログインできます。 Capgo は SAML 2.0 を使用して Supabase Auth をサポートしています。ユーザーのメールドメインが有効な SSO プロバイダーと一致すると、ユーザーは IdP に対して認証され、SSO コールバック中に組織にプロビジョニングされます。

SSOはユーザーができることは変えません。許可は__CAPGO_KEEP_0__によって制御されます。団体役割.SSOは、どのように認証するかだけが変わる。

必要な環境

開始する前に：

ビジネス向けサブスクリプションは、Capgo 組織で有効です。
CapgoでサポートするIDプロバイダー SAML 2.0 CapgoはIdPを公開します。 メタデータ URL (HTTPS).
組織のメンバーとして、組織設定を更新する権限を持つ メールドメインのDNS TXTレコード 例えば、 company.com 組織のメンバーとしてログインするユーザー向けの user@company.com).
A Capgo organization member with permission to update organization settings.
IDP管理者 IT/セキュリティ側の連絡先 SSO設定の場所

「SSO設定の場所」を含むセクション

開く https://console.capgo.app/
クリック設定左サイドバーの
組織タブセキュリティ
タブ 下にスクロール セキュリティ
タブ SSO 設定. Enterprise プランの場合のみ、フォームが利用可能です。

ステップ 1 - IdP を構成する

アイデンティティプロバイダーで、SAML 2.0 アプリケーションを作成します。必要な情報は以下の通りです。 サービスプロバイダー Capgo SSO 設定パネルに表示される値

フィールド	使用する場所
ACS URL	IdP の SAML アプリケーションで使用する Assertion Consumer Service URL
Entity ID	サービスプロバイダーエンティティ識別子
SP メタデータ URL	オプション: URL で IdP が SP メタデータのインポートをサポートする場合にインポートしてください
NameID フォーマット	SAML 名称識別子形式で期待されるフォーマット

IdP はユーザーの電子メールアドレスを __CAPGO_KEEP_0__ がメールドメインを使用してアクティブな SSO プロバイダーを解決し、既存のアカウントを一致させるために、証明書に公開する必要があります。 Step 2 - __CAPGO_KEEP_0__ に SSO プロバイダーを追加する セクション「Step 2 - Capgo に SSO プロバイダーを追加する」

Step 2 - Add the SSO provider in Capgo

ここに値を入力してください
ここ メールドメイン (例) company.com. ドメインのサインインメールのユーザーの部分を一致させる必要があります
IDPを入力してください メタデータURL (HTTPS)
送信

ステータスでプロバイダーが作成されました 承認待ち.

ステップ 3 - DNS ドメイン検証

Capgo はドメインのコントロールを確認する前に SSO が有効になることを確認します。

DNS プロバイダでTXTレコードを追加してください: TXT DNS プロバイダでレコードを追加してください:

フィールド	値
タイプ	`TXT`
ホスト名/名前	`_capgo-sso.<your-domain>` (例: `_capgo-sso.company.com`)
値	ダッシュボードパネルに表示される検証トークン

レコードが公開されると (DNS TTL プロパゲーションは通常数分から 1 時間程度かかります)、レコードが公開されたらクリックしてください: 検証DNS ダッシュボード内で実行します。成功すると、プロバイダーは 検証済み.

ステップ 4 - プロバイダーを有効化

DNS 検証後、クリックしてください 有効化プロバイダーステータスは アクティブアクティブ プロバイダーステータスは アクティブ

アクティブなプロバイダーだけが SSO ログインフローで使用されます。 無効化 __CAPGO_KEEP_0__のダッシュボードでいつでも無効化します。これにより、プロバイダーは無効に移動し、ドメインのSSOを一時停止しますが、構成を削除しません。

ステップ 5 - テストとロールの割り当て

ユーザーがSSOを介して初めてサインインし、その組織内に既存のメンバーがいない場合、Capgoは 読み取り ロールを割り当てます。

パイロットユーザーがサインインした後:

以下の手順に従ってください。 設定 → 組織 → メンバー
各ユーザーを検索して
ロールを適切なレベルに調整する (アップロード, 書き込み, 管理者、など)

Capgoの詳細な権限の詳細を参照してください。各ロールが何ができるかを確認してください。

Optional - SSOを強制する

On an Active provider では、を切り替えることができます SSOを強制する. 有効にすると、Capgo は、指定されたメールドメインの既存の認証ユーザーを SSO-Only にマークし、ドメインに対してログインフローが IdP 認証を必要とするようになります。への設定を Disabled (無効化Deactivate

プロバイダーステータス参照

ステータス	意味
確認待ち	DNS TXT レコードがまだ検証されていません
検証済み	ドメインの所有権が確認され、有効化する準備ができました
有効	このドメインのSSOが稼働しています
無効	__CAPGO_KEEP_0__ Deactivate in the dashboard; SSO not used for that domain; use __CAPGO_KEEP_0__ to return to Active

Rollout checklist

Enterprise plan confirmed
Capgo
IdP configured to release a stable email claim
Enterprise planが確認されました。SAMLアプリケーションはIdPにACS URLとEntity IDから__CAPGO_KEEP_0__で作成されました。IdPは安定したメールクレームをリリースするように設定されています。DNS TXTレコードは公開されています。 DNSの検証 成功しました
プロバイダーが有効化されました
パイロットユーザーが正常にログインしました
デフォルトのロールから昇格 必要に応じて読み取り 有効化された場合に通知される決定
関連するドキュメント

SSO (Enterprise)から続けてください

SSO (Enterprise)を利用している場合 SSO (Enterprise) 認証とアカウントフローの計画に利用している場合、SSO (Enterprise)を @capgo/capacitor-social-login @capgo/capacitor-social-loginの実装詳細については、@capgo/capacitor-social-loginを参照してください @capgo/capacitor-passkey @capgo/capacitor-passkeyの実装詳細については、@capgo/capacitor-passkeyを参照してください @capgo/capacitor-native-biometric @capgo/capacitor-native-biometricの実装詳細については、@capgo/capacitor-native-biometricを参照してください 2要素認証 2要素認証の実装詳細について 5 Steps to Implement OAuth2 in Capacitor Apps for the practical context in 5 Steps to Implement OAuth2 in Capacitor Apps.