跳过内容

组织安全

Capgo 提供了全面安全控制的功能,允许组织管理员强制执行安全策略,覆盖所有成员。这些功能有助于您满足合规要求、保护敏感数据并维持强大的安全姿态。

组织安全设置允许超级管理员配置:

  • 两因素认证(2FA)强制 - 要求所有成员启用 2FA
  • 密码策略 - 设定密码复杂度要求
  • API Key Security - 强制安全的 API 密钥和过期策略
  • SSO (企业版) - 为您的域提供 SAML 2.0 单点登录。仅在企业版中可用。请参阅 SSO 配置指南.

组织安全设置

安全页面分为清晰标记的部分:

  1. 安全选项卡 - 从组织设置侧边栏访问所有安全设置
  2. 2FA 强制 - 开关和状态显示两因素身份验证要求
  3. 密码策略 - 为组织成员配置密码复杂性规则
  4. API 密钥策略 - 安全的 API 密钥设置和过期要求
  5. API 密钥过期 - 控制 API 密钥是否必须具有过期日期

访问安全设置

访问安全设置
  1. 点击侧边栏中的 Settings 进入组织设置
  2. 点击顶部设置页面的 Organization 从组织导航栏(带有盾牌图标)中选择
  3. 安全 两因素认证(2FA)强制 两因素认证(2FA)强制

Section titled “Two-Factor Authentication (2FA) Enforcement”

Section titled “Accessing Security Settings”

2FA 强制所有组织成员在他们的帐户上启用双因素身份验证。这增加了一个关键的安全层,要求同时输入密码和验证 code。

2FA 强制的后果

标题:2FA 强制的后果
  • 没有启用 2FA 的成员 立即被阻止 访问组织应用
  • 两者都是 web 控制台和 CLI 都强制执行此要求
  • 新成员必须在访问组织资源之前启用 2FA
  • 系统实时跟踪哪些成员已启用 2FA

了解 2FA 状态面板

标题:了解 2FA 状态面板

安全页面显示全面 成员 2FA 状态 显示以下内容的面板:

  • 总成员数 - 你的组织中成员的总数
  • 2FA 已启用 (绿色指示器) - 成员已成功启用两因素认证
  • 2FA 未启用 (橙色警告指示器) - 成员仍需要设置 2FA

成员没有启用 2FA 时,他们会出现在一个 未启用 2FA 的成员 警告框中。这一框显示:

  • 每个成员的电子邮件地址和他们在组织中的角色
  • A 复制邮箱列表 快速复制所有受影响的邮箱地址以便沟通

启用 2FA 强制

启用 2FA 强制
  1. 前往 组织设置 > 安全
  2. 找到顶部页面的 要求所有成员启用 2FA 查看
  3. 成员 2FA 状态 __CAPGO_KEEP_0__ 查看哪些成员会受到影响的面板
  4. 如果有成员没有启用 2FA,请使用 复制邮箱列表 按钮在启用 2FA 前通知他们
  5. 切换下面的开关 为所有成员启用 2FA 来启用强制
  6. 开关右侧会显示 禁用启用 状态

您还可以通过 CLI:

终端窗口管理 2FA 强制
# Enable 2FA enforcement
npx @capgo/cli organization set YOUR_ORG_ID --enforce-2fa
# Disable 2FA enforcement
npx @capgo/cli organization set YOUR_ORG_ID --no-enforce-2fa
# Check member 2FA status
npx @capgo/cli organization members YOUR_ORG_ID

有关 2FA 强制执行的详细信息,请参阅 2FA 强制执行指南.

密码策略允许您为所有组织成员强制实施密码复杂性要求。当成员的密码不符合策略要求时,他们必须更新密码才能访问组织资源。

密码策略部分(在概述图像中标记为 3 在您启用密码策略时:

所有组织成员必须符合密码复杂性要求

标题为“密码策略如何工作”的部分

当您启用密码策略时:

  • 所有组织成员必须符合密码复杂性要求
  • 用户未满足要求将被锁定直到他们更新密码
  • 该政策适用于所有成员,无论他们的角色如何

启用密码政策

标题:启用密码政策
  1. 前往 组织设置 > 安全
  2. 向下滚动找到 密码政策 部分:要求组织成员使用符合特定复杂性要求的密码
  3. 切换
  4. 强制执行密码政策 __CAPGO_KEEP_0__ 切换使其生效
  5. 该开关描述为:“启用后,所有组织成员必须满足密码要求才能访问组织”

可用密码要求

标题:可用密码要求
设置描述范围
最小长度最少需要的字符数6-128 个字符
要求大写密码必须包含至少一个大写字母(A-Z)开/关
需要数字密码必须包含至少一个数字(0-9)开/关
需要特殊字符密码必须包含至少一个特殊字符(!@#$%^&*,等)开/关

当密码策略处于激活状态时,您可以监控遵守度:

  • 总成员数: 你的组织中成员的数量
  • 遵循: 成员密码符合策略要求的成员
  • 不符合: 需要更新密码的成员

不符合策略的成员将列出他们的电子邮件地址。您可以复制电子邮件列表来通知他们关于策略和所需密码更改。

  • 从合理要求开始: 10-12 个字符的最小长度,包含大小写和数字,提供了良好的安全性而不至于过于限制
  • 与团队成员沟通变化: 在启用新密码要求之前通知您的团队
  • 允许过渡时间: 给团队成员时间更新密码
  • 考虑密码管理器: 建议团队成员使用密码管理器生成和存储强密码

Capgo provides two security controls for API keys: enforcing secure (hashed) API keys and requiring expiration dates. The API Key Policy section (marked with indicator 4 __CAPGO_KEEP_1__ 密钥的强制安全(哈希)

首选项在API密钥策略部分是 强制使用安全的API密钥当启用此设置时,所有API密钥在您的组织中都必须使用安全/散列格式创建。

散列API密钥更安全,因为:

  • 实际密钥值不会存储在我们的服务器上
  • 只有你(和你的系统)才能访问完整的密钥
  • 即使我们的数据库被破坏,密钥也不能被使用

切换描述为:“启用后,只有安全(散列)API密钥才能访问此组织。纯文本API密钥将被拒绝。”

启用安全API密钥

启用安全的API密钥
  1. 前往 组织设置 > 安全
  2. 向下滚动找到 API密钥策略 部分(寻找密钥图标)
  3. 定位 强制使用安全的API密钥 切换
  4. 切换开关以启用安全API密钥强制
  5. 现有密钥不受影响;该策略适用于新密钥创建

API密钥过期策略

API Key Expiration Policy

在概述图片中标记的第二个选项( 5 要求__CAPGO_KEEP_0__ Key Expiration 您可以要求所有API密钥具有过期日期,限制其有效期。. You can require all API keys to have an expiration date, limiting their validity period.

限制如果密钥被破坏的暴露时间窗口

  • 确保密钥轮换
  • 帮助满足凭证管理的合规要求
  • 切换描述为:“启用时,组织中的所有__CAPGO_KEEP_0__密钥必须具有过期日期”

The toggle description states: “When enabled, all API keys for this organization must have an expiration date”

  1. 前往 组织设置 > 安全
  2. 找到 API 密钥策略 部分
  3. 找到 要求API 密钥过期 开关(在强制安全API 密钥下)
  4. 切换开关以启用过期要求
  5. 启用后,设置 最大过期天数 (1-365 天)
    • This limits how far in the future expiration dates can be set
    • Example: Setting 90 days means keys can expire at most 90 days from creation
安全密钥Recommended __CAPGO_KEEP_0__ Key Policies过期时间最大天数
开发推荐可选30-90
CI/CD管道必需必需90-180
生产必需必需30-90
企业/合规RequiredRequired30-60

组织安全功能帮助您满足各种合规要求:

标准相关功能
SOC 22FA 强制、密码策略、API 密钥控制
ISO 27001所有安全功能都有助于证明访问控制
HIPAA强大的身份验证和访问管理
《通用数据保护条例》通过访问控制来保护数据
《支付卡行业安全标准》多因素身份验证、强密码

监控合规状态

《监控合规状态》

安全中心提供实时可视化:

  • 已启用 2FA 的成员人数
  • 组织内密码策略合规情况
  • API 关键安全采用

使用“复制电子邮件列表”功能轻松导出非合规成员的电子邮件列表,进行针对性的沟通。

[Troubleshooting](#troubleshooting)

[解决问题](#解决问题)

”访问被拒绝:安全策略未满足”

”访问被拒绝:安全策略未满足”

问题:成员无法访问组织。

解决方案:

  1. 检查是否启用了 2FA - 成员需要 启用 2FA
  2. 检查密码策略是否激活 - 成员需要更新密码
  3. 在安全中心验证成员的合规状态

无法启用安全功能

无法启用安全功能

问题:安全开关被禁用或未响应

解决方案:

  • 确保您有 超级管理员 角色在组织中
  • 检查网络连接
  • 尝试刷新页面
  • 如果问题持续存在,请联系支持

问题: 无法创建新的 API 键。

解决方案:

  • 如果启用了安全键,请确保您正在使用安全键创建流程
  • 如果需要过期,请在允许范围内设置过期日期
  • 检查最大过期天数设置

从组织安全继续

组织安全

如果您正在使用 组织安全 来规划安全性和合规性, 加密 加密 合规 合规 Capgo 安全扫描器 Capgo 安全扫描器 Capgo 安全 为产品工作流程在Capgo安全中 Capgo信任中心 为产品工作流程在Capgo信任中心中