组织安全

Capgo 提供了全面安全控制的功能，使组织管理员能够在所有成员中强制实施安全策略。这些功能有助于您满足合规要求、保护敏感数据并维持强大的安全姿态。

概述

组织安全设置允许超级管理员配置：

• 两因素认证（2FA）强制 - 要求所有成员启用 2FA
• 密码策略 - 设置密码复杂度要求
• API 密钥安全 - 强制使用安全的 API 密钥和过期策略
• 企业级 SSO（仅限企业） - 为您的域提供 SAML 2.0 单点登录。可在企业计划中使用。请参阅 SSO 配置指南.

安全页面分为清晰标记的部分：

1. 安全标签 - 从组织设置侧边栏访问所有安全设置
2. 2FA 强制 - 开关和状态显示两因素身份验证要求
3. 密码策略 - 为组织成员配置密码复杂度规则
4. API 密钥策略 - 安全 API 密钥设置和过期要求
5. API Key Expiration - 是否必须为API密钥设置过期日期

注意

只有拥有 super_admin 角色权限的用户才能配置组织安全设置。其他成员可以查看他们的合规状态，但无法修改政策。

访问安全设置

1. 进入组织设置，点击侧边栏中的 Settings in the sidebar
2. 点击组织 组织 在设置页面顶部的标签
3. 从组织导航栏（带有盾牌图标）选择 两因素认证（2FA）强制 两因素认证（2FA）强制

2FA 强制所有组织成员在他们的帐户上启用两因素认证。这会添加一个关键的安全层，要求同时输入密码和验证 __CAPGO_KEEP_0__。

2FA enforcement requires all organization members to have two-factor authentication enabled on their accounts. This adds a critical layer of security by requiring both a password and a verification code.

没有 2FA 的成员

• 两因素认证（2FA）强制需要所有组织成员在他们的帐户上启用两因素认证。这会添加一个关键的安全层，要求同时输入密码和验证 __CAPGO_KEEP_0__。 立即被阻止 无法访问组织应用
• Both the web dashboard and CLI 强制执行此要求
• 新成员必须在访问组织资源之前启用 2FA
• 系统实时跟踪哪些成员已启用 2FA

了解 2FA 状态面板

安全页面显示一个全面 成员 2FA 状态 面板显示：

• 总成员数 - 组织中成员总数
• 2FA 已启用 (绿色指示器) - 成功启用两因素认证的成员
• 2FA 未启用 (橙色警告指示器) - 还需要设置 2FA 的成员

当成员没有启用 2FA 时，他们会出现在一个 未启用 2FA 的成员 警告框中。这一框显示：

• 每个成员的电子邮件地址和他们在组织中的角色
• A 复制电子邮件列表 按钮，以便快速复制所有受影响的电子邮件地址以便沟通

启用 2FA 强制

1. [Navigate to] [Organization Settings > Security]
2. [Locate the] [Require 2FA for All Members] [section at the top of the page]
3. [Review the] [Members 2FA Status] [If there are members without 2FA, use the]
4. [Copy Email List] [button to notify them before enabling] __CAPGO_KEEP_0__
5. Toggle __CAPGO_KEEP_0__ next to 对所有成员要求 2FA 启用强制
6. 右侧将显示 禁用 或 状态 注意

在启用 2FA 强制之前：

事先通知受影响的成员并分享此信息

• __CAPGO_KEEP_0__ 双重验证设置指南
• 请让他们在他们的帐户上启用双重验证
• 在启用强制实施时，未启用双重验证的成员将立即失去访问权限
• 考虑联系上列在“未启用双重验证的成员”警告框中的成员

CLI 双重验证强制实施支持

您还可以通过CLI管理双重验证强制实施

# Enable 2FA enforcement
npx @capgo/cli organization set YOUR_ORG_ID --enforce-2fa

# Disable 2FA enforcement
npx @capgo/cli organization set YOUR_ORG_ID --no-enforce-2fa

# Check member 2FA status
npx @capgo/cli organization members YOUR_ORG_ID

有关双重验证强制实施的详细信息，请参见 双重验证强制实施指南.

密码策略

密码策略允许您为所有组织成员强制实施密码复杂性要求。当成员的密码不符合策略要求时，他们必须在访问组织资源之前更新密码。

密码策略部分（在概述图像中用指示器标记）提供一个简单的开关，用于在您的组织中强制实施密码要求。 3 密码策略如何工作

当您启用密码策略时：

不符合要求的用户将被锁定，直到他们更新密码

• 策略适用于所有成员，无论他们的角色如何
• 启用密码策略
• 密码策略

密码策略部分（在概述图像中用指示器标记）提供一个简单的开关，用于在您的组织中强制实施密码要求。

1. 前往 组织设置 > 安全
2. 向下滚动找到 密码策略 部分
3. 阅读描述：“要求组织成员使用符合特定复杂性要求的密码”
4. 切换 强制密码策略 切换开关以启用它
5. 切换描述指出：“启用后，所有组织成员必须符合密码要求才能访问组织”

可用密码要求

设置	描述	范围
最小长度	最少需要的字符数	6-128 个字符
需要大写	密码必须包含至少一个大写字母 (A-Z)	开/关
需要数字	密码必须包含至少一个数字 (0-9)	开/关
Require Special Character	密码必须包含至少一个特殊字符 (!@#$%^&*，等等）	On/Off

成员遵守性跟踪

当密码策略处于激活状态时，您可以监控遵守性：

• 总成员数: 你的组织中成员的总数
• 符合要求: 符合密码策略要求的成员
• 不符合要求: 需要更新密码的成员

非符合要求的成员将列出他们的电子邮件地址。您可以复制电子邮件列表来通知他们关于政策和所需密码更改。

提示

首次启用密码策略时，成员将被要求在下一次登录时更改密码。他们不会被立即锁定，但他们的访问可能会受到限制，直到他们符合要求。

密码策略最佳实践

• 从合理的要求开始: 使用混合大小写和数字的最少10-12个字符提供了良好的安全性而不被过于限制
• 沟通变化: 在启用新密码要求之前通知您的团队
• 允许过渡时间: 给成员时间更新密码
• 考虑使用密码管理器: 建议团队成员使用密码管理器生成和存储强密码

API 密钥安全

Capgo 提供了两种安全控制措施：API 密钥的强制安全（散列）API 密钥和要求过期日期。 API 密钥策略部分（标记在概述图像中）由一个密钥图标标识。 4 强制安全__CAPGO_KEEP_0__ 密钥

标题：强制安全API 密钥

强制安全API 密钥 。启用此设置时，所有API 密钥在您的组织中都必须使用安全/散列格式创建。散列API 密钥更安全，因为：

Hashed API keys are more secure because:

• The actual key value is never stored on our servers
• Only you (and your systems) have access to the full key
• Even if our database were compromised, your keys couldn’t be used

When enabled, only secure (hashed) API keys can access this organization. Plain-text API keys will be rejected.

Note

Existing legacy (non-hashed) API keys will continue to work, but members won’t be able to create new non-hashed keys when this policy is enabled.

Enable Secure API Keys

1. Go to Organization Settings > Security Scroll down to find the security settings
2. Scroll down to find the security settings API 密钥策略 查找带有钥匙图标的部分
3. 定位 强制使用安全的 API 密钥 切换
4. 切换开关以启用安全 API 密钥强制
5. 现有密钥不受影响，策略仅适用于新密钥创建

API 密钥过期策略

概览图中标记的第二个选项（带有指示器 5 是 要求 API 密钥过期. 您可以要求所有 API 键具有过期日期，限制其有效期。

这是一个安全最佳实践：

• 限制如果密钥被破坏的暴露时间窗口
• 确保密钥轮换
• 有助于满足凭据管理的合规要求

切换描述为：“启用时，组织的所有 API 键必须具有过期日期”

配置过期策略

1. 前往 组织设置 > 安全
2. 找到 API 密钥策略 section
3. 找到 Require API Key Expiration 切换 (下面 Enforce Secure API Keys)
4. 切换开关以启用过期要求
5. 启用后，设置 Maximum expiration days (1-365 days)
   • 这限制了过期日期可以设置的未来时间范围
   • 例如：设置 90 天意味着密钥最多可以在创建后 90 天过期

注意

When you enable the expiration requirement:

• 新 API 密钥必须具有过期日期
• 继续有效的现有密钥
• 建议审计现有密钥并旋转那些没有过期的密钥

推荐 API 密钥策略

用例	安全密钥	过期	最大天数
开发	推荐	可选	30-90
CI/CD管道	必填	必填	90-180
生产	必填	必填	30-90
企业/合规	必填	必填	30-60

合规和审计

组织安全功能帮助您满足各种合规要求：

标准	相关功能
SOC 2	2FA 强制、密码策略、API 密钥控制
ISO 27001	所有安全功能都有助于展示访问控制
HIPAA	强大的身份验证和访问管理
GDPR	通过访问控制保护数据
PCI DSS	多因素身份验证、强密码

监控合规状态

安全中心提供实时可视化：

• 有多少成员已启用 2FA
• 组织内密码策略合规情况
• API 关键安全采用

使用“复制电子邮件列表”功能轻松导出非合规成员列表，进行针对性沟通

故障排除

“访问被拒绝：安全策略未满足”

问题: 该成员无法访问组织。

解决方案:

1. 检查是否启用了 2FA - 成员需要 启用 2FA
2. 检查是否启用了密码策略 - 成员需要更新密码
3. 在安全中心验证成员的合规状态

无法启用安全功能

问题: 安全开关被禁用或未响应。

解决方案:

• 确保您有 super_admin 在组织中具有超级管理员角色
• 检查您的网络连接
• 尝试刷新页面
• 如果问题持续存在，请联系支持

API

问题：无法创建新__CAPGO_KEEP_0__: Cannot create new API keys.

如果强制使用安全密钥，请确保您正在使用安全密钥创建流程:

• __CAPGO_KEEP_0__
• 如果需要过期时间，请在允许的范围内设置过期日期
• 检查最大过期天数设置

下一步

• 在您的帐户上设置 2FA
• 了解 2FA 强制实施详细信息
• 管理 API 密钥
• 组织管理

继续从组织安全

如果您正在使用 组织安全 为安全和合规性规划，连接它 加密 加密的实现细节 合规 合规的实现细节 Capgo 安全扫描器 Capgo 安全扫描器的产品工作流程 Capgo 安全 Capgo 安全的产品工作流程 Capgo 信任中心 Capgo 信任中心的产品工作流程