SSO (企业)
复制一个包含安装步骤和此插件的完整 Markdown 指南的配置提示。
什么是 SSO?
标题为“什么是 SSO?”的部分单点登录(SSO)允许您的团队使用公司身份提供者(IdP)登录Capgo。Capgo通过 Supabase Auth 使用 SAML 2.0。 当用户的电子邮件域匹配一个活动的 SSO 提供商时,他们可以使用 IdP 进行身份验证,并在 SSO 回调期间将其分配到组织中。
SSO 不会改变用户可以做什么。 权限由 组织角色控制。 SSO 只会改变他们的身份验证方式。
前提条件
开始之前:__CAPGO_KEEP_0__ 组织中已激活企业订阅。
- Enterprise subscription active on the Capgo organization.
- 支持的身份提供者 SAML 2.0 并暴露 IdP 元数据 URL (HTTPS).
- 发布 DNS TXT 记录 用于组织成员 (例如 组织成员
company.com具有更新组织设置权限的user@company.com). - A Capgo organization member with permission to update organization settings.
- An IdP 管理员 与您的IT/安全部门联系。
找到SSO设置的位置
标题:找到SSO设置的位置- 打开 https://console.capgo.app/
- 点击 在左侧菜单中选择设置 选择
- 组织 选项卡 选择
- tab 安全性 标签
- 滚动到 SSO 配置. 该表单仅在组织位于企业计划时可用。
步骤 1 - 配置您的 IdP
标题为“步骤 1 - 配置您的 IdP”在您的身份提供者中,创建一个新的 SAML 2.0 应用程序。您需要以下信息 服务提供者 values shown in the Capgo SSO configuration panel:
| 字段 | 在哪里使用它 |
|---|---|
| ACS URL | 在您的 IdP SAML 应用程序中,声明消费者服务 URL |
| Entity ID | 服务提供者实体标识符 |
| SP 元数据 URL | 可选:如果您的 IdP 支持通过 URL 导入 SP 元数据,请导入 |
| NameID 格式 | 期望的 SAML 名称标识符格式 |
您的 IdP 必须在断言中发布用户的 电子邮件地址 Capgo 使用电子邮件域来解析活动 SSO 提供商并匹配现有帐户。
步骤 2 - 在 Capgo 中添加 SSO 提供商
Section titled “Step 2 - 在Capgo中添加 SSO 提供者”- 在 SSO 配置面板中,点击添加新提供者
- 输入 电子邮件域 (例如,)
company.com它必须与您的用户登录电子邮件的域部分匹配 - 输入 IdP 元数据 URL (HTTPS)
- 提交
提供者以状态“待验证”创建 Section titled “Step 2 - 在__CAPGO_KEEP_0__中添加 SSO 提供者”.
步骤 3 - DNS 域名验证
步骤 3 - DNS 域名验证Capgo 验证您控制域名之前,SSO 才能激活。
添加一个 TXT 记录到您的 DNS 提供商:
| 字段 | 值 |
|---|---|
| 类型 | TXT |
| 名称/主机 | _capgo-sso.<your-domain> (例如 _capgo-sso.company.com) |
| 值 | 在控制台面板中显示的验证令牌 |
一旦记录发布(DNS TTL 传播通常需要几分钟到一小时),请点击 验证 DNS 在控制台中。成功后,提供商将移动到 已验证.
步骤 4 - 激活提供商
标题为“步骤 4 - 激活提供商”的部分验证 DNS 后,请点击 激活。提供商状态变为 已激活仅 Active 在 SSO 登录流程中使用的提供者。
您可以在控制台任意时间选择 Deactivate 将其移动到 Disabled,该域名的 SSO 将暂停,而配置文件不会被删除。
步骤 5 - 测试和 Assign 角色
标题:步骤 5 - 测试和 Assign 角色当用户首次通过 SSO 登录并在该组织中没有现有会员时,Capgo 为他们分配 read 角色。
登陆试点用户后:
- 前往 设置 → 组织 → 成员
- 找到每个 SSO 配置的用户
- 调整他们的角色到适当的级别(上传, 写入, 管理员等)
查看 每个角色权限的详细说明 了解每个角色可以做什么
可选 - 强制 SSO
标题:可选 - 强制 SSO在一个 激活 提供商上,您可以切换 强制 SSO。当启用时,Capgo 将现有认证用户标记为 SSO-only,并且登录流程要求 IdP 身份验证以该域名。 禁用 (禁用或关闭强制措施可以移除该域的 SSO-仅限标志。
服务提供商状态参考
服务提供商状态参考部分| 状态 | 含义 |
|---|---|
| 待验证 | 域名 TXT 记录尚未验证 |
| 已验证 | 域名所有权已确认,准备激活 |
| Active | 此域名的 SSO 已经激活 |
| Disabled | 由 Deactivate 在控制台中激活 SSO; 该域名的 SSO 未使用; 使用 Re-activate 返回 Active |
部署清单
企业计划已确认- Section titled “Rollout checklist”
- 在 IdP 中创建 SAML 应用程序,ACS URL 和实体 ID 从 Capgo
- IdP 配置以释放稳定的电子邮件声明
- 发布 DNS TXT 记录并 验证 DNS 成功
- 提供商激活
- 试点用户登录成功
- 角色从默认值提升 根据需要 做出执行决策(并在启用时通信)
- 相关文档
Capgo
相关文档从SSO(企业版)继续
从SSO(企业版)继续如果您正在使用 SSO(企业版) 来规划身份验证和帐户流程,连接它到 @capgo/capacitor-social-login 查看@capgo/capacitor-social-login的实现细节 @capgo/capacitor-passkey 查看@capgo/capacitor-passkey的实现细节 @capgo/capacitor-native-biometric 关于@capgo/capacitor-native-biometric的实现细节 双因素认证 关于双因素认证的实现细节, 在Capacitor应用中实施OAuth2的5个步骤 在实施OAuth2的Capacitor应用的实际场景中