SSO (Enterprise)
复制一个包含安装步骤和本插件的完整 Markdown 指南的配置提示。
什么是 SSO?
Section titled “What is SSO?”单点登录(SSO)允许您的团队使用公司身份提供商(IdP)登录Capgo。Capgo使用SAML 2.0通过Supabase Auth。 当用户的电子邮件域匹配一个活跃的SSO提供商时,他们可以在IdP中进行身份验证,并在SSO回调期间将其添加到组织中。
单点登录(SSO)不会改变用户可以做什么。 权限由 组织角色控制。 单点登录(SSO)只改变他们的身份验证方式。
开始之前:
- 在Capgo组织上启用企业订阅。
- 支持 SAML 2.0 并暴露一个IdP 元数据 URL (HTTPS).
- 发布组织设置的能力 为电子邮件域名 (例如 为用户登录作为
company.com具有更新组织设置权限的__CAPGO_KEEP_0__组织成员user@company.com). - A Capgo organization member with permission to update organization settings.
- 您的 IT/安全侧的联系人 找到 SSO 设置的位置 标题为“找到 SSO 设置的位置”
Section
Where- 打开 https://console.capgo.app/
- 点击 设置 在左侧菜单中
- 选择 组织 选项卡
- 选择 安全 滚动到
- __CAPGO_KEEP_0__ SSO 配置仅在企业计划下组织可使用此表单。
步骤 1 - 配置您的 IdP
步骤 1 - 配置您的 IdP在您的身份提供商中,创建一个新的 SAML 2.0 应用程序。您需要以下信息 服务提供者 在 Capgo SSO 配置面板中显示的值
| 字段 | 使用位置 |
|---|---|
| ACS URL | 在您的 IdP SAML 应用程序中,声明消费者服务 URL |
| 实体 ID | 服务提供者实体标识符 |
| SP元数据URL | 可选:如果您的IdP支持通过URL导入SP元数据,请导入 |
| NameID格式 | SAML Name Identifier期望的格式 |
您的IdP必须在断言中发布用户的 电子邮件地址。__CAPGO_KEEP_0__使用电子邮件域名来解析活动的SSO提供者并匹配现有的帐户。 步骤2 - 在Capgo中添加SSO提供者
标题为“步骤2 - 在Capgo中添加SSO提供者”的部分
Section titled “Step 2 - Add the SSO provider in Capgo”- 输入
- 添加新SSO提供者 邮箱域名 (例如)
company.com.它必须与用户登录邮箱的域名部分匹配 - 请输入IdP 元数据URL (HTTPS)
- 提交
服务提供者创建状态为 待验证.
步骤 3 - DNS 域名验证
步骤 3 - DNS 域名验证Capgo 验证您控制域名之前,SSO 才能激活。
在您的 DNS 提供商处添加一个 TXT 记录: TXT 在您的 DNS 提供商处添加一个 TXT 记录:
| 字段 | 值 |
|---|---|
| 类型 | TXT |
| 名称/主机 | _capgo-sso.<your-domain> (例如 _capgo-sso.company.com) |
| 值 | 在控制台面板中显示的验证令牌 |
一旦记录发布(DNS TTL 传播通常需要几分钟到一个小时),请点击 验证 DNS 在仪表盘中。成功后,提供者将移动到 已验证.
第 4 步 - 激活提供者
标题为“第 4 步 - 激活提供者”的部分DNS 验证后,点击 激活。提供者状态变为 Active。只有 Active 提供者在 SSO 登录流程中使用。
您可以选择 在控制台中任何时候都可以取消激活。 这会将提供者移动到 禁用 , 这会暂停该域名的 SSO 而不删除配置。第 5 步 - 测试和分配角色
标题为“第 5 步 - 测试和分配角色”
当用户首次通过 SSO 登录并在该组织中没有现有会员时,__CAPGO_KEEP_0__ 为他们分配When a user signs in via SSO for the first time and has no existing membership in that organization, Capgo provisions them with the 角色。 试验用户登录后:
转到
- 设置 → 组织 → 成员 第 5 步 - 测试和分配角色
- 在__CAPGO_KEEP_0__中找到每个SSO分配的用户
- 调整他们的角色到适当的等级(上传, 写, 管理员,等)
查看 权限详细表 了解每个角色可以做什么的详细信息。
Optional - Enforce SSO
可选 - 强制 SSO在 Active 在 Enforce SSO。启用后,Capgo 将该电子邮件域的现有认证用户标记为 SSO-only,登录流程将要求 IdP 身份提供者进行身份验证。将提供者设置为 Disabled (禁用Deactivate
服务提供商状态参考
状态| 含义 | 待验证 |
|---|---|
| DNS TXT 记录尚未验证 | 已验证 |
| 域名所有权已确认,准备激活 | 已激活 |
| SSO 对该域的登录已启用 | 已禁用 |
| __CAPGO_KEEP_0__ | 由 关闭 在控制台中设置; 该域名未使用 SSO; 使用 重新激活 返回 激活 |
发布清单
发布清单- 企业计划确认
- 在 IdP 中创建 SAML 应用程序,ACS URL 和实体 ID 从 Capgo
- 配置 IdP 以释放稳定的电子邮件声明
- 发布 DNS TXT 记录 验证 DNS 成功
- 服务提供商激活
- 试点用户登录成功
- 角色从默认值提升 读取 按需
- 已做出执行决策(并在启用时通知)
相关文档
名为“相关文档”的部分继续从 SSO (企业版) 中进行
Section titled “继续从 SSO (企业版) 中进行”如果您正在使用 SSO (企业版) 来规划身份验证和帐户流程,连接它与 @capgo/capacitor-social-login 在 @capgo/capacitor-social-login 中的实现细节中, @capgo/capacitor-passkey 在 @capgo/capacitor-passkey 中的实现细节中, @capgo/capacitor-native-biometric 在 @capgo/capacitor-native-biometric 中的实现细节中, 两因素身份验证 关于在 Two-factor authentication 中的实现细节,以及 5 步实现 OAuth2 在 Capacitor 应用中的 关于在 5 步实现 OAuth2 在 Capacitor 应用中的实际背景。