SSO (企业版)

注意

仅企业版支持 SSO 设置。 如果您无法看到 SSO 配置 在 设置 → 组织 → 安全, ensure your organization is on the Enterprise plan or contact your Capgo account contact.

确保您的组织已升级到企业版或联系您的__CAPGO_KEEP_0__账户联系人。

Single Sign-On (SSO) lets your team log in to Capgo using your company identity provider (IdP). Capgo uses SAML 2.0 through Supabase Auth. When a user’s email domain matches an active SSO provider, they can authenticate against your IdP and are provisioned into the organization during the SSO callback.

单点登录（SSO）允许您的团队使用公司身份提供商（IdP）登录__CAPGO_KEEP_0__。__CAPGO_KEEP_1__通过 Supabase Auth 使用 SAML 2.0。 当用户的电子邮件域与活动 SSO 提供商匹配时，他们可以使用 IdP 进行身份验证，并在 SSO 回调期间将其添加到组织中。 组织角色. 只有 SSO 改变了他们的身份验证方式。

前提条件

开始之前：

• 在 Capgo 组织上激活企业订阅。
• 支持 SAML 2.0 的身份提供者 并暴露 IdP 元数据 URL (HTTPS). 发布一个 能力
• 能力 DNS TXT 记录 为电子邮件域名（例如 company.com 为登录作为 user@company.com).
• 一个 Capgo 组织成员，拥有更新组织设置的权限。
• 一个 IdP 管理员 您的IT/安全部门联系人。

找到 SSO 设置的位置

1. 打开 https://console.capgo.app/
2. 点击 设置 在左侧菜单中
3. 选择 组织 选项卡
4. 选择 安全 选项卡
5. 滚动到底部 SSO 配置仅在企业计划下组织可用。

步骤 1 - 配置您的 IdP

在您的身份提供者中，创建一个新的 SAML 2.0 应用程序。您需要以下信息 服务提供者 如图所示在 Capgo SSO 配置面板中显示的值

字段	使用位置
ACS URL	SAML 应用程序中的 IdP 服务消费者 URL
实体 ID	服务提供者实体标识符
SP 元数据 URL	可选：如果您的 IdP 支持通过 URL 导入 SP 元数据，请导入
NameID格式	SAML Name Identifier的期望格式

您的IdP必须在断言中发布用户的 电子邮件地址 Capgo使用电子邮件域名来解析活动的SSO提供者并匹配现有帐户。

步骤2-在Capgo中添加SSO提供者

1. 在SSO配置面板中，点击添加新提供者
2. 输入 电子邮件域名 (例如 company.com).它必须与用户登录电子邮件的域部分匹配
3. 输入您的 IdP 元数据 URL (HTTPS)
4. 提交

服务提供者已创建状态 待验证.

步骤 3 - DNS 域名验证

Capgo 验证您控制域名之前，SSO 才能激活。

添加一个 TXT 在您的 DNS 提供商处添加一个 TXT 记录：

域名	值
类型	TXT
名称/主机	_capgo-sso.<your-domain> (例如 _capgo-sso.company.com)
值	控制台面板中显示的验证令牌

一旦记录发布（DNS TTL传播通常需要几分钟到一小时），点击 验证DNS 在控制台中。成功后，提供商将转移到 已验证.

步骤 4 - 激活提供商

完成 DNS 验证后，点击 激活. 提供者状态变为 激活. 只有 激活 的提供者在 SSO 登录流程中使用。

您可以在控制台中随时选择 禁用 ，将提供者移动到 禁用, 将暂停该域名的 SSO 配置而不删除配置。

第 5 步 - 测试和分配角色

当用户首次通过 SSO 登录并在该组织中没有现有会员时，Capgo 为他们分配了 read 角色。

试验用户登录后：

1. 转到 设置 → 组织 → 成员
2. 找到每个 SSO 配置的用户
3. 调整他们的角色到适当的级别（上传, 写入, 管理员,等

查看 完整权限分配 查看每个角色可以做什么。

注意

If Supabase creates a separate SSO auth user for an email that already exists in Capgo, Capgo merges the SSO identity into the existing account and asks the user to sign in again.

可选 - 强制 SSO

在 Active 您可以切换的提供者 强制 SSO启用后，Capgo 将域名为该电子邮件域的现有认证用户标记为 SSO-only，登录流程将要求 IdP 身份提供者验证该域名。将提供者设置为 Disabled (停用) 或关闭强制设置将删除该域名的 SSO-only 标记。

注意

与您的 IdP 管理员协调并在启用强制设置之前通知所有受影响用户。无法完成 IdP 身份验证的用户将无法使用密码登录该域名。

提供者状态参考

状态	含义
待验证	DNS TXT 记录尚未验证
已验证	域名所有权已确认; 准备激活
激活	此域名的 SSO 已经启用
已禁用	由 在控制台中禁用; 该域名的 SSO 未启用; 使用 在控制台中禁用; 该域名的 SSO 未启用; 使用 重新激活 返回到 激活

发布清单

• 企业计划确认
• 在 IdP 中创建 SAML 应用程序，ACS URL 和实体 ID 从 Capgo
• IdP 配置为发布稳定的电子邮件声明
• 发布 DNS TXT 记录并 验证 DNS 成功
• 提供商激活
• __CAPGO_KEEP_0__
• 角色从默认状态提升 读取 按需
• 已做出强制措施决定（并在启用时通知）

相关文档

• 组织：角色和权限
• 组织安全：2FA、密码、API 密钥

继续从企业SSO

如果您正在使用 SSO (Enterprise) 为企业计划身份验证和帐户流程，连接它 @capgo/capacitor-social-login 在 @capgo/capacitor-social-login 中的实现细节 @capgo/capacitor-passkey 在 @capgo/capacitor-passkey 中的实现细节 @capgo/capacitor-native-biometric 在 @capgo/capacitor-native-biometric 中的实现细节 Two-factor authentication 在 Two-factor authentication 中的实现细节， 5 步实现 OAuth2 在 Capacitor 应用中的实践 在 5 步实现 OAuth2 在 Capacitor 应用中的实践背景中