跳过内容
Capgo - 实时更新的 Capacitor 应用 Capgo

SSO (企业)

标题:什么是 SSO?

单点登录(SSO)允许您的团队使用公司身份提供商(IdP)登录__CAPGO_KEEP_0__。__CAPGO_KEEP_1__使用 SAML 2.0 通过 Supabase Auth。 当用户的电子邮件域匹配一个活跃的 SSO 提供商时,他们可以使用 IdP 进行身份验证,并在 SSO 回调期间将其添加到组织中。

Single Sign-On (SSO) lets your team log in to Capgo using your company identity provider (IdP). Capgo uses SAML 2.0 through Supabase Auth. When a user’s email domain matches an active SSO provider, they can authenticate against your IdP and are provisioned into the organization during the SSO callback.

组织角色 控制。 SSO 只改变了他们的身份验证方式。前提条件

标题:前提条件

在开始之前:

前提条件

  • 企业订阅在Capgo组织中有效。
  • 支持 SAML 2.0 并暴露 IdP 元数据 URL (HTTPS).
  • 发布一个 DNS TXT 记录 用于邮箱域 (例如 company.com 用于登录为 user@company.com).
  • 一个有权更新组织设置的Capgo组织成员。
  • 一个 身份提供者管理员 联系您的IT/安全部门。

找到SSO设置的位置

标题:找到SSO设置的位置
  1. 打开 https://console.capgo.app/
  2. 点击 在左侧菜单栏中选择 选择
  3. 组织 选项卡 在左侧菜单栏中选择
  4. 选择 安全 选项卡
  5. 向下滚动到 SSO 配置仅在企业计划时,表单才可用。

步骤 1 - 配置您的 IdP

标题为“步骤 1 - 配置您的 IdP”

在您的身份提供者中,创建一个新的 SAML 2.0 应用程序。您需要以下 服务提供商 values shown in the Capgo SSO configuration panel:

字段使用场景
ACS URL在 IdP SAML 应用程序中配置 Assertion Consumer Service URL
实体 ID服务提供者实体标识符
SP 元数据 URL可选:如果您的 IdP 支持通过 URL 导入 SP 元数据,请导入
NameID 格式SAML 名称标识符期望的格式

您的 IdP 必须在断言中发布用户的 电子邮件地址 Capgo 使用电子邮件域名来解析活动 SSO 提供商并匹配现有帐户

步骤 2 - 在 Capgo 中添加 SSO 提供商

标题:步骤 2 - 在 Capgo 中添加 SSO 提供商
  1. 在 SSO 配置面板中,点击添加新提供商
  2. 输入 电子邮件域 (例如,) company.com它必须与您的用户登录电子邮件的域部分匹配
  3. 输入您的 IdP 元数据 URL (HTTPS)
  4. 提交

提供商已创建,状态为 待验证.

步骤 3 - DNS 域名验证

步骤 3 - DNS 域名验证

Capgo 验证您控制域名之前,SSO 才能激活。

添加 TXT 在您的 DNS 提供商处添加:

域名
类型TXT
名称/主机名_capgo-sso.<your-domain> (例如 _capgo-sso.company.com)
在控制面板中显示的验证令牌

一旦记录发布(DNS TTL 传播通常需要几分钟到一小时),请点击 验证 DNS 在成功后,提供商将移动到 已验证.

步骤 4 - 激活提供商

标题为“步骤 4 - 激活提供商”

在 DNS 验证后,请点击 激活. 提供商状态变为 已激活. Only Active 在单点登录流程中仅使用活动的提供者。

您可以在控制台中随时选择 Deactivate 将该提供者移动到 Disabled,该状态会暂停该域名的单点登录功能,但不会删除配置。

步骤 5 - 测试和分配角色

标题:步骤 5 - 测试和分配角色

When a user signs in via SSO for the first time and has no existing membership in that organization, Capgo provisions them with the read 角色.

试点用户登录后:

  1. 前往 设置 → 组织 → 成员
  2. 找到每个 SSO 配置的用户
  3. 调整他们的角色到适当的等级(上传, 写入, 管理员等)

查看 完整权限分配 每个角色都可以做什么。

可选 - 强制 SSO

可选 - 强制 SSO

在一个 激活 提供商上,您可以切换 强制 SSO。当启用时,Capgo 将现有认证用户标记为 SSO-only,并且登录流程需要 IdP 身份验证。 禁用 (激活) 或关闭强制验证,会移除该域名的 SSO-仅限标志。

服务提供商状态参考

服务提供商状态参考
状态含义
待验证DNS TXT 记录尚未验证
已验证域名所有权已确认,准备激活
激活此域名的 SSO 已激活
已禁用禁用 在控制台中激活;此域名未使用 SSO;请使用 重新激活 返回 激活

部署清单

部署清单
  • 企业计划确认
  • Capgo中的ACS URL和实体 ID用于在 IdP 中创建 SAML 应用
  • IdP 配置为释放稳定的电子邮件声明
  • DNS TXT 记录发布并 验证 DNS 成功
  • 提供者激活
  • 试点用户登录成功
  • 角色从默认值提升 根据需要 执行决策已做出(并在启用时通知)
  • 如果需要,通知已发送
相关文档