组织安全
复制一个包含安装步骤和本插件的完整 Markdown 指南的配置提示。
Capgo 提供了全面安全控制的功能,允许组织管理员强制执行安全策略,覆盖所有成员。这些功能有助于您满足合规要求、保护敏感数据并维持强大的安全姿态。
组织安全设置允许超级管理员配置:
- 两因素认证(2FA)强制 - 要求所有成员启用 2FA
- 密码策略 - 设定密码复杂度要求
- API Key Security - 强制安全的 API 密钥和过期策略
- SSO (企业版) - 为您的域提供 SAML 2.0 单点登录。仅在企业版中可用。请参阅 SSO 配置指南.

安全页面分为清晰标记的部分:
- 安全选项卡 - 从组织设置侧边栏访问所有安全设置
- 2FA 强制 - 开关和状态显示两因素身份验证要求
- 密码策略 - 为组织成员配置密码复杂性规则
- API 密钥策略 - 安全的 API 密钥设置和过期要求
- API 密钥过期 - 控制 API 密钥是否必须具有过期日期
访问安全设置
访问安全设置- 点击侧边栏中的 Settings 进入组织设置
- 点击顶部设置页面的 Organization 从组织导航栏(带有盾牌图标)中选择
- 安全 两因素认证(2FA)强制 两因素认证(2FA)强制
Section titled “Two-Factor Authentication (2FA) Enforcement”
Section titled “Accessing Security Settings”2FA 强制所有组织成员在他们的帐户上启用双因素身份验证。这增加了一个关键的安全层,要求同时输入密码和验证 code。
2FA 强制的后果
标题:2FA 强制的后果- 没有启用 2FA 的成员 立即被阻止 访问组织应用
- 两者都是 web 控制台和 CLI 都强制执行此要求
- 新成员必须在访问组织资源之前启用 2FA
- 系统实时跟踪哪些成员已启用 2FA
了解 2FA 状态面板
标题:了解 2FA 状态面板安全页面显示全面 成员 2FA 状态 显示以下内容的面板:
- 总成员数 - 你的组织中成员的总数
- 2FA 已启用 (绿色指示器) - 成员已成功启用两因素认证
- 2FA 未启用 (橙色警告指示器) - 成员仍需要设置 2FA
成员没有启用 2FA 时,他们会出现在一个 未启用 2FA 的成员 警告框中。这一框显示:
- 每个成员的电子邮件地址和他们在组织中的角色
- A 复制邮箱列表 快速复制所有受影响的邮箱地址以便沟通
启用 2FA 强制
启用 2FA 强制- 前往 组织设置 > 安全
- 找到顶部页面的 要求所有成员启用 2FA 查看
- 成员 2FA 状态 __CAPGO_KEEP_0__ 查看哪些成员会受到影响的面板
- 如果有成员没有启用 2FA,请使用 复制邮箱列表 按钮在启用 2FA 前通知他们
- 切换下面的开关 为所有成员启用 2FA 来启用强制
- 开关右侧会显示 禁用 或 启用 状态
CLI 2FA 强制支持
标题为“CLI 2FA 强制支持”您还可以通过 CLI:
# Enable 2FA enforcementnpx @capgo/cli organization set YOUR_ORG_ID --enforce-2fa
# Disable 2FA enforcementnpx @capgo/cli organization set YOUR_ORG_ID --no-enforce-2fa
# Check member 2FA statusnpx @capgo/cli organization members YOUR_ORG_ID有关 2FA 强制执行的详细信息,请参阅 2FA 强制执行指南.
密码策略
标题为“密码策略”的部分密码策略允许您为所有组织成员强制实施密码复杂性要求。当成员的密码不符合策略要求时,他们必须更新密码才能访问组织资源。
密码策略部分(在概述图像中标记为 3 在您启用密码策略时:
所有组织成员必须符合密码复杂性要求
标题为“密码策略如何工作”的部分当您启用密码策略时:
- 所有组织成员必须符合密码复杂性要求
- 用户未满足要求将被锁定直到他们更新密码
- 该政策适用于所有成员,无论他们的角色如何
启用密码政策
标题:启用密码政策- 前往 组织设置 > 安全
- 向下滚动找到 密码政策 部分:要求组织成员使用符合特定复杂性要求的密码
- 切换
- 强制执行密码政策 __CAPGO_KEEP_0__ 切换使其生效
- 该开关描述为:“启用后,所有组织成员必须满足密码要求才能访问组织”
可用密码要求
标题:可用密码要求| 设置 | 描述 | 范围 |
|---|---|---|
| 最小长度 | 最少需要的字符数 | 6-128 个字符 |
| 要求大写 | 密码必须包含至少一个大写字母(A-Z) | 开/关 |
| 需要数字 | 密码必须包含至少一个数字(0-9) | 开/关 |
| 需要特殊字符 | 密码必须包含至少一个特殊字符(!@#$%^&*,等) | 开/关 |
成员遵守度跟踪
关于成员遵守度跟踪的部分当密码策略处于激活状态时,您可以监控遵守度:
- 总成员数: 你的组织中成员的数量
- 遵循: 成员密码符合策略要求的成员
- 不符合: 需要更新密码的成员
不符合策略的成员将列出他们的电子邮件地址。您可以复制电子邮件列表来通知他们关于策略和所需密码更改。
密码策略最佳实践
关于“密码策略最佳实践”的部分- 从合理要求开始: 10-12 个字符的最小长度,包含大小写和数字,提供了良好的安全性而不至于过于限制
- 与团队成员沟通变化: 在启用新密码要求之前通知您的团队
- 允许过渡时间: 给团队成员时间更新密码
- 考虑密码管理器: 建议团队成员使用密码管理器生成和存储强密码
API 密钥安全
标题:API 密钥安全Capgo provides two security controls for API keys: enforcing secure (hashed) API keys and requiring expiration dates. The API Key Policy section (marked with indicator 4 __CAPGO_KEEP_1__ 密钥的强制安全(哈希)
Enforce Secure API Keys
Section titled “Enforce Secure API Keys”首选项在API密钥策略部分是 强制使用安全的API密钥当启用此设置时,所有API密钥在您的组织中都必须使用安全/散列格式创建。
散列API密钥更安全,因为:
- 实际密钥值不会存储在我们的服务器上
- 只有你(和你的系统)才能访问完整的密钥
- 即使我们的数据库被破坏,密钥也不能被使用
切换描述为:“启用后,只有安全(散列)API密钥才能访问此组织。纯文本API密钥将被拒绝。”
启用安全API密钥
启用安全的API密钥- 前往 组织设置 > 安全
- 向下滚动找到 API密钥策略 部分(寻找密钥图标)
- 定位 强制使用安全的API密钥 切换
- 切换开关以启用安全API密钥强制
- 现有密钥不受影响;该策略适用于新密钥创建
API密钥过期策略
API Key Expiration Policy在概述图片中标记的第二个选项( 5 要求__CAPGO_KEEP_0__ Key Expiration 您可以要求所有API密钥具有过期日期,限制其有效期。. You can require all API keys to have an expiration date, limiting their validity period.
限制如果密钥被破坏的暴露时间窗口
- 确保密钥轮换
- 帮助满足凭证管理的合规要求
- 切换描述为:“启用时,组织中的所有__CAPGO_KEEP_0__密钥必须具有过期日期”
The toggle description states: “When enabled, all API keys for this organization must have an expiration date”
- 前往 组织设置 > 安全
- 找到 API 密钥策略 部分
- 找到 要求API 密钥过期 开关(在强制安全API 密钥下)
- 切换开关以启用过期要求
- 启用后,设置 最大过期天数 (1-365 天)
- This limits how far in the future expiration dates can be set
- Example: Setting 90 days means keys can expire at most 90 days from creation
| 安全密钥 | Recommended __CAPGO_KEEP_0__ Key Policies | 过期时间 | 最大天数 |
|---|---|---|---|
| 开发 | 推荐 | 可选 | 30-90 |
| CI/CD管道 | 必需 | 必需 | 90-180 |
| 生产 | 必需 | 必需 | 30-90 |
| 企业/合规 | Required | Required | 30-60 |
组织安全功能帮助您满足各种合规要求:
| 标准 | 相关功能 |
|---|---|
| SOC 2 | 2FA 强制、密码策略、API 密钥控制 |
| ISO 27001 | 所有安全功能都有助于证明访问控制 |
| HIPAA | 强大的身份验证和访问管理 |
| 《通用数据保护条例》 | 通过访问控制来保护数据 |
| 《支付卡行业安全标准》 | 多因素身份验证、强密码 |
监控合规状态
《监控合规状态》安全中心提供实时可视化:
- 已启用 2FA 的成员人数
- 组织内密码策略合规情况
- API 关键安全采用
使用“复制电子邮件列表”功能轻松导出非合规成员的电子邮件列表,进行针对性的沟通。
[Troubleshooting](#troubleshooting)
[解决问题](#解决问题)”访问被拒绝:安全策略未满足”
”访问被拒绝:安全策略未满足”问题:成员无法访问组织。
解决方案:
- 检查是否启用了 2FA - 成员需要 启用 2FA
- 检查密码策略是否激活 - 成员需要更新密码
- 在安全中心验证成员的合规状态
无法启用安全功能
无法启用安全功能问题:安全开关被禁用或未响应
解决方案:
- 确保您有 超级管理员 角色在组织中
- 检查网络连接
- 尝试刷新页面
- 如果问题持续存在,请联系支持
问题: 无法创建新的 API 键。
解决方案:
- 如果启用了安全键,请确保您正在使用安全键创建流程
- 如果需要过期,请在允许范围内设置过期日期
- 检查最大过期天数设置
下一步
标题为“下一步”从组织安全继续
组织安全如果您正在使用 组织安全 来规划安全性和合规性, 加密 加密 合规 合规 Capgo 安全扫描器 Capgo 安全扫描器 Capgo 安全 为产品工作流程在Capgo安全中 Capgo信任中心 为产品工作流程在Capgo信任中心中