SSO (企业版)

注意

SSO设置仅在企业计划中可用。 如果您无法看到 SSO配置 在 → 组织 → 安全设置 确保您的组织已升级至企业计划或联系您的__CAPGO_KEEP_0__账户联系人。, ensure your organization is on the Enterprise plan or contact your Capgo account contact.

关于 SSO 的说明

Single Sign-On (SSO) lets your team log in to Capgo using your company identity provider (IdP). Capgo uses SAML 2.0 through Supabase Auth. When a user’s email domain matches an active SSO provider, they can authenticate against your IdP and are provisioned into the organization during the SSO callback.

组织角色 控制。 SSO 只会改变他们的身份验证方式。前提条件

开始之前：

关于 SSO 的说明

• 企业订阅在Capgo组织中有效。
• 支持 SAML 2.0 并暴露 IdP 元数据 URL (HTTPS)。
• 发布一个 DNS TXT 记录 用于电子邮件域名（例如 company.com 用于登录为 user@company.com).
• A Capgo 组织成员，具有更新组织设置的权限。
• 一个 IdP管理员 联系您的IT/安全部门。

找到SSO设置的位置

1. 打开 https://console.capgo.app/
2. 点击 在左侧菜单中选择“设置” 选择“组织”选项卡
3. 组织 在左侧菜单中选择“设置” 选择“组织”选项卡
4. 选择 安全 选项卡
5. 滚动到 SSO 配置仅在企业计划下组织可用。

步骤 1 - 配置您的 IdP

在您的身份提供者中，创建一个新的 SAML 2.0 应用程序。您需要以下 服务提供商 配置面板中的值：Capgo

字段	在哪里使用它
ACS URL	SAML IdP应用程序中的 Assertion Consumer Service URL
实体 ID	服务提供者实体标识符
SP元数据URL	可选：如果您的 IdP 支持通过 URL 导入 SP 元数据，请导入
NameID 格式	SAML 名称标识符的期望格式

您的 IdP 必须在断言中发布用户的 电子邮件地址 Capgo 使用电子邮件域来解析活动 SSO 提供商并匹配现有帐户

第 2 步 - 在 Capgo 中添加 SSO 提供商

1. 在 SSO 配置面板中，点击添加新提供商
2. 输入 电子邮件域名 (例如，) company.com它必须与您的用户登录电子邮件的域名部分匹配
3. 输入 IdP 元数据 URL (HTTPS)
4. 提交

提供商已创建，状态为 __CAPGO_KEEP_0__验证您控制域名之前，SSO才能激活。.

步骤 3 - DNS 域名验证

Capgo验证您控制域名之前，SSO才能激活。

添加一个 TXT 域名提供商的

值	类型
名称/主机	TXT
(例如	_capgo-sso.<your-domain> 域名提供商的 _capgo-sso.company.com)
值	在控制面板中显示的验证令牌

一旦记录发布（DNS TTL 传播通常需要几分钟到一小时），请点击 验证 DNS 在控制面板中成功后，提供商将移动到 已验证.

步骤 4 - 激活提供商

验证 DNS 后，请点击 激活. 提供商状态变为 已激活. Only Active 服务提供商在SSO登录流程中使用。

您可以选择 禁用 在控制台中任何时候都可以禁用。禁用后，服务提供商将被暂停，SSO配置不会被删除。 第五步 - 测试和分配角色标题：第五步 - 测试和分配角色

当用户首次通过SSO登录并在该组织中没有现有会员时，__CAPGO_KEEP_0__将为他们分配

When a user signs in via SSO for the first time and has no existing membership in that organization, Capgo provisions them with the 第五步 - 测试和分配角色 角色.

试点用户登录后:

1. 前往 设置 → 组织 → 成员
2. 找到每个 SSO 配置的用户
3. 调整他们的角色到适当的等级（上传, 写入, 管理员等）

查看 完整权限分配 每个角色都可以做什么。

注意

If Supabase creates a separate SSO auth user for an email that already exists in Capgo, Capgo merges the SSO identity into the existing account and asks the user to sign in again.

可选 - 强制 SSO

在一个 激活 提供者上，您可以切换 强制 SSO当启用时，Capgo 将标记该电子邮件域的现有认证用户为 SSO-only，并且登录流程将要求 IdP 身份验证。 禁用 (激活) 或关闭强制验证，会移除该域名的 SSO-仅限标志。

注意

与 IdP 管理员协调，并在启用强制验证之前通知所有受影响用户。无法完成 IdP 认证的用户将无法使用密码登录该域名。

提供者状态参考

状态	含义
待验证	DNS TXT 记录尚未验证
已验证	域名所有权已确认，准备激活
激活	此域名的SSO已启用
禁用	由 禁用 在控制台中激活，SSO未用于该域名，使用 重新激活 返回到 激活

发布清单

• Enterprise plan confirmed
• SAML app created in IdP with ACS URL and Entity ID from Capgo
• IdP configured to release a stable email claim
• DNS TXT record published and Verify DNS succeeded
• Provider activated
• Pilot users signed in successfully
• Roles elevated from default read as needed
• Enforcement decision made (and communicated if enabled)

相关文档

• 组织：角色和权限
• 组织安全：2FA、密码、API密钥

从SSO（企业版）继续

如果您正在使用 SSO（企业版） 来规划身份验证和帐户流程，连接它与 @capgo/capacitor-social-login 在@capgo/capacitor-social-login中实现详细信息 @capgo/capacitor-passkey for the implementation detail in @capgo/capacitor-passkey, @capgo/capacitor-native-biometric for the implementation detail in @capgo/capacitor-native-biometric, 双因素认证 for the implementation detail in 双因素认证, and 5 步OAuth2在Capacitor应用中的实现 for the practical context in 5 步OAuth2在Capacitor应用中的实现.