Organization Security
复制一个包含安装步骤和完整Markdown指南的设置提示。
Capgo 提供了全面安全控制,允许组织管理员强制执行安全策略,涵盖所有成员。这些功能有助于您满足合规要求、保护敏感数据并维持强大的安全姿态。
组织安全设置允许超级管理员配置:
- 两因素认证(2FA)强制 - 要求所有成员启用 2FA
- 密码策略 - 设置密码复杂度要求
- API 密钥安全 - 强制使用安全的 API 密钥和过期策略
- SSO (企业版) - 仅在企业版中可用的域内 SAML 2.0 单点登录。请参阅 SSO 配置指南.
安全页面分为清晰标记的部分:
- 安全选项卡 - 从组织设置侧边栏访问所有安全设置
- 2FA 强制 - 开关和状态显示两因素身份验证要求
- 密码策略 - 为组织成员配置密码复杂性规则
- API Key Policy - 安全的 API 密钥和过期要求的设置
- API Key Expiration - 控制 API 密钥是否必须具有过期日期
安全设置
标题:“安全设置”- 进入您的组织设置,单击侧边栏中的 设置 在侧边栏中单击
- 组织 在设置页面顶部的 安全
- 从组织导航栏(带有盾牌图标)中选择 两因素认证(2FA)强制 标题为“两因素认证(2FA)强制”的部分
2FA 强制所有组织成员在其帐户上启用两因素认证。 这会通过要求同时输入密码和验证 __CAPGO_KEEP_0__ 来添加一个关键的安全层。
所有组织成员必须在其帐户上启用两因素认证2FA enforcement requires all organization members to have two-factor authentication enabled on their accounts. This adds a critical layer of security by requiring both a password and a verification code.
当 2FA 被强制执行时会发生什么
标题:当 2FA 被强制执行时会发生什么- 没有启用 2FA 的成员 将被立即阻止 访问组织应用
- 两者都是 web 控制台和 CLI 都会强制执行此要求
- 新成员必须在访问组织资源之前启用 2FA
- 系统实时跟踪哪些成员已启用 2FA
了解 2FA 状态面板
标题:了解 2FA 状态面板安全页面显示一个全面 成员 2FA 状态 显示以下内容的面板:
- 总成员数 - 你的组织中成员总数
- 已启用 2FA (绿色指示器) - 成功启用两因素认证的成员
- 未启用 2FA (橙色警告指示器) - 还需要设置 2FA 的成员
成员未启用 2FA 时,他们会出现在一个 未启用 2FA 的成员 警告框中。这一框显示:
- 每个成员的电子邮件地址和他们在组织中的角色
- A 复制电子邮件列表 快速复制所有受影响的电子邮件地址以便沟通的按钮
启用 2FA 强制
标题为“启用 2FA 强制”的部分- 导航到 组织设置 > 安全
- 找到 要求所有成员启用 2FA 页面顶部的部分
- 查看 成员 2FA 状态 面板以查看将受影响的成员
- 如果有成员没有启用 2FA,请使用 复制邮箱列表 按钮在启用强制 2FA 前通知他们
- 切换按钮旁边的 为所有成员启用 2FA 开启强制
- 开关右侧会显示 禁用 或 启用 状态
CLI 2FA 强制支持
标题:CLI 2FA 强制支持您还可以通过 CLI:
# Enable 2FA enforcementnpx @capgo/cli organization set YOUR_ORG_ID --enforce-2fa
# Disable 2FA enforcementnpx @capgo/cli organization set YOUR_ORG_ID --no-enforce-2fa
# Check member 2FA statusnpx @capgo/cli organization members YOUR_ORG_ID有关 2FA 强制执行的详细信息,请参阅 2FA 强制执行指南.
密码策略
标题为“密码策略”的部分密码策略允许您为所有组织成员强制实施密码复杂度要求。 当成员的密码不符合策略要求时,他们必须更新密码才能访问组织资源。
密码策略部分(在概述图像中标记为 3 如何密码策略工作
标题为“如何密码策略工作”
当您启用密码策略时:所有组织成员必须符合密码复杂度要求
- 不符合要求的用户将被锁定,直到他们更新密码
- 用户无法访问组织资源,直到他们更新密码
- 该政策适用于所有成员,无论他们的角色如何
启用密码政策
标题:启用密码政策- 前往 组织设置 > 安全
- 向下滚动找到 密码政策 部分
- 阅读描述:“要求组织成员使用符合特定复杂性要求的密码”
- 切换 强制执行密码政策 开关以启用它
- 开关描述如下:“启用后,所有组织成员必须满足密码要求才能访问组织”
可用密码要求
标题:可用密码要求| 设置 | 描述 | 范围 |
|---|---|---|
| 最小长度 | 最少需要的字符数 | 6-128个字符 |
| 要求大写 | 密码必须包含至少一个大写字母(A-Z) | 开/关 |
| Require Number | 密码必须包含至少一个数字(0-9) | On/Off |
| Require Special Character | 密码必须包含至少一个特殊字符(!@#$%^&*,等) | On/Off |
成员遵守度跟踪
当密码策略处于激活状态时,您可以监控遵守度:总成员数
- :您的组织中成员的总数遵守成员数
- :您的组织中遵守成员的总数: 会员密码符合策略要求的成员
- Non-Compliant: 需要更新密码的会员
不符合策略的会员将列出他们的电子邮件地址。您可以复制电子邮件列表,通知他们关于策略和密码更改的要求。
密码策略最佳实践
关于“密码策略最佳实践”的部分- 从合理的要求开始: 10-12 个字符的混合大小写和数字提供了良好的安全性,而不会过于限制
- 沟通变化: 在启用新密码要求之前通知您的团队
- Allow transition time: 给成员时间更新密码
- : 建议团队成员使用密码管理器生成和存储强密码Consider password managers
API Key Security
标题:API Key SecurityCapgo 为API密钥提供两种安全控制:强制使用安全(散列)API密钥和要求过期日期。API密钥策略部分(在概述图像中标记)由一个密钥图标标识。 4 Enforce Secure __CAPGO_KEEP_0__ Keys
标题:Enforce Secure API Keys
在API密钥策略部分的第一项是API Key Security Enforce Secure API Keys启用此设置后,所有组织中的API密钥都必须使用安全/散列格式创建。
散列API密钥更安全,因为:
- 实际密钥值不会存储在我们的服务器上
- 只有你(和你的系统)才能访问完整的密钥
- 即使我们的数据库被破坏,也无法使用密钥
切换开关描述为:“启用后,只有安全(散列)API密钥才能访问此组织。纯文本API密钥将被拒绝。”
启用安全API密钥
启用安全API密钥- 前往 组织设置 > 安全
- 向下滚动找到 API 密钥策略 找到带有密钥图标的
- 找到 强制使用安全的 API 密钥 切换
- 切换开关以启用安全 API 密钥强制
- 现有密钥不会受到影响;策略仅适用于新密钥创建
API 密钥过期策略
标题为“API 密钥过期策略”第二个选项(在概述图片中标记的选项)是 5 在概述图片中标记的选项 要求API密钥过期您可以要求所有API密钥具有过期日期,限制其有效期
这是一个安全最佳实践,它:
- 限制了如果密钥被破坏的暴露时间窗口
- 确保密钥的定期轮换
- 有助于满足凭证管理的合规要求
切换描述为:“启用时,所有API密钥必须具有过期日期”
配置过期策略
标题为“配置过期策略”- 前往 组织设置 > 安全
- 找到 API 密钥策略 部分
- 定位到 要求 API 密钥过期 切换开关 (在强制安全 API 密钥下)
- 切换开关以启用过期要求
- 启用后,设置 最大过期天数 (1-365 天)
- 这限制了过期日期可以设置的未来天数
- 例如:设置 90 天意味着密钥最多在创建后 90 天内过期
| 安全密钥 | 过期 | 安全密钥过期 | __CAPGO_KEEP_0__ |
|---|---|---|---|
| 开发 | 推荐 | 可选 | 30-90 |
| CI/CD管道 | 必需 | 必需 | 90-180 |
| 生产 | 必需 | 必需 | 30-90 |
| 企业/合规 | 必需 | Required | 30-60 |
合规性和审计
Section titled “合规性和审计”组织安全功能帮助您满足各种合规要求:
| 标准 | 相关功能 |
|---|---|
| SOC 2 | 2FA 强制、密码策略、API 密钥控制 |
| ISO 27001 | 所有安全功能都有助于证明访问控制 |
| HIPAA | 强大的身份验证和访问管理 |
| 《通訊隱私法》 | 通过访问控制来保护数据 |
| 《支付卡業聯會安全規範》 | 多因素身份验证,强密码 |
监控合规状态
监控合规状态安全中心提供实时可视化:
- 已启用 2FA 的成员人数
- 组织内密码策略合规
- API 关键安全采用
使用“复制电子邮件列表”功能轻松导出非合规成员的电子邮件列表,进行针对性的沟通
故障排除
故障排除”Access Denied: Security policy not met”
Section titled “”Access Denied: Security policy not met””Problem: A member cannot access the organization.
Solutions:
- Check if 2FA is enforced - member needs to enable 2FA
- Check if password policy is active - member needs to update their password
- Verify the member’s compliance status in the Security dashboard
Cannot enable security features
Section titled “Cannot enable security features”问题: 安全开关被禁用或未响应。
解决方案:
- 确保您在组织中具有 超级管理员 角色
- 检查您的网络连接
- 尝试刷新页面
- 如果问题持续存在,请联系支持
API 键创建失败
标题为“API 键创建失败”的部分问题: 无法创建新 API 键。
解决方案:
- 如果启用了安全密钥,请确保您正在使用安全密钥创建流程
- 如果需要过期,请在允许范围内设置过期日期
- 检查最大过期天数设置