跳过内容

SSO (企业)

单点登录(SSO)允许您的团队使用公司身份提供者(IdP)登录Capgo。Capgo通过 Supabase Auth 使用 SAML 2.0。 当用户的电子邮件域匹配一个活动的 SSO 提供商时,他们可以使用 IdP 进行身份验证,并在 SSO 回调期间将其分配到组织中。

SSO 不会改变用户可以做什么。 权限由 组织角色控制。 SSO 只会改变他们的身份验证方式。

前提条件

开始之前:

__CAPGO_KEEP_0__ 组织中已激活企业订阅。

  • Enterprise subscription active on the Capgo organization.
  • 支持的身份提供者 SAML 2.0 并暴露 IdP 元数据 URL (HTTPS).
  • 发布 DNS TXT 记录 用于组织成员 (例如 组织成员 company.com 具有更新组织设置权限的 user@company.com).
  • A Capgo organization member with permission to update organization settings.
  • An IdP 管理员 与您的IT/安全部门联系。

找到SSO设置的位置

标题:找到SSO设置的位置
  1. 打开 https://console.capgo.app/
  2. 点击 在左侧菜单中选择设置 选择
  3. 组织 选项卡 选择
  4. tab 安全性 标签
  5. 滚动到 SSO 配置. 该表单仅在组织位于企业计划时可用。

在您的身份提供者中,创建一个新的 SAML 2.0 应用程序。您需要以下信息 服务提供者 values shown in the Capgo SSO configuration panel:

字段在哪里使用它
ACS URL在您的 IdP SAML 应用程序中,声明消费者服务 URL
Entity ID服务提供者实体标识符
SP 元数据 URL可选:如果您的 IdP 支持通过 URL 导入 SP 元数据,请导入
NameID 格式期望的 SAML 名称标识符格式

您的 IdP 必须在断言中发布用户的 电子邮件地址 Capgo 使用电子邮件域来解析活动 SSO 提供商并匹配现有帐户。

步骤 2 - 在 Capgo 中添加 SSO 提供商

Section titled “Step 2 - 在Capgo中添加 SSO 提供者”
  1. 在 SSO 配置面板中,点击添加新提供者
  2. 输入 电子邮件域 (例如,) company.com它必须与您的用户登录电子邮件的域部分匹配
  3. 输入 IdP 元数据 URL (HTTPS)
  4. 提交

提供者以状态“待验证”创建 Section titled “Step 2 - 在__CAPGO_KEEP_0__中添加 SSO 提供者”.

步骤 3 - DNS 域名验证

步骤 3 - DNS 域名验证

Capgo 验证您控制域名之前,SSO 才能激活。

添加一个 TXT 记录到您的 DNS 提供商:

字段
类型TXT
名称/主机_capgo-sso.<your-domain> (例如 _capgo-sso.company.com)
在控制台面板中显示的验证令牌

一旦记录发布(DNS TTL 传播通常需要几分钟到一小时),请点击 验证 DNS 在控制台中。成功后,提供商将移动到 已验证.

验证 DNS 后,请点击 激活。提供商状态变为 已激活Active 在 SSO 登录流程中使用的提供者。

您可以在控制台任意时间选择 Deactivate 将其移动到 Disabled,该域名的 SSO 将暂停,而配置文件不会被删除。

步骤 5 - 测试和 Assign 角色

标题:步骤 5 - 测试和 Assign 角色

当用户首次通过 SSO 登录并在该组织中没有现有会员时,Capgo 为他们分配 read 角色。

登陆试点用户后:

  1. 前往 设置 → 组织 → 成员
  2. 找到每个 SSO 配置的用户
  3. 调整他们的角色到适当的级别(上传, 写入, 管理员等)

查看 每个角色权限的详细说明 了解每个角色可以做什么

可选 - 强制 SSO

标题:可选 - 强制 SSO

在一个 激活 提供商上,您可以切换 强制 SSO。当启用时,Capgo 将现有认证用户标记为 SSO-only,并且登录流程要求 IdP 身份验证以该域名。 禁用 (禁用或关闭强制措施可以移除该域的 SSO-仅限标志。

服务提供商状态参考

服务提供商状态参考部分
状态含义
待验证域名 TXT 记录尚未验证
已验证域名所有权已确认,准备激活
Active此域名的 SSO 已经激活
DisabledDeactivate 在控制台中激活 SSO; 该域名的 SSO 未使用; 使用 Re-activate 返回 Active
  • Section titled “Rollout checklist”
  • 在 IdP 中创建 SAML 应用程序,ACS URL 和实体 ID 从 Capgo
  • IdP 配置以释放稳定的电子邮件声明
  • 发布 DNS TXT 记录并 验证 DNS 成功
  • 提供商激活
  • 试点用户登录成功
  • 角色从默认值提升 根据需要 做出执行决策(并在启用时通信)
  • 相关文档

从SSO(企业版)继续

从SSO(企业版)继续

如果您正在使用 SSO(企业版) 来规划身份验证和帐户流程,连接它到 @capgo/capacitor-social-login 查看@capgo/capacitor-social-login的实现细节 @capgo/capacitor-passkey 查看@capgo/capacitor-passkey的实现细节 @capgo/capacitor-native-biometric 关于@capgo/capacitor-native-biometric的实现细节 双因素认证 关于双因素认证的实现细节, 在Capacitor应用中实施OAuth2的5个步骤 在实施OAuth2的Capacitor应用的实际场景中