组织安全

复制一个包含安装步骤和本插件的完整 Markdown 指南的设置提示。

Capgo provides comprehensive security controls that allow organization administrators to enforce security policies across all members. These features help you meet compliance requirements, protect sensitive data, and maintain a strong security posture.

Overview

组织安全设置允许超级管理员配置：

两因素认证（2FA）强制 - 需要所有成员启用 2FA
密码策略 - 设置密码复杂度要求
API 密钥安全 - 强制使用安全的 API 密钥和过期策略
SSO（企业版） - 仅限企业版，SAML 2.0 单点登录您的域。请参阅 SSO 设置指南.

组织安全设置

安全页面分为清晰标记的部分:

安全选项卡 - 从组织设置侧边栏访问所有安全设置
2FA 强制 - 开关和状态显示两因素认证要求
密码策略 - 为组织成员配置密码复杂度规则
API 密钥策略 - 安全的 API 密钥和过期要求的设置
API 密钥过期 - 控制 API 密钥是否必须具有过期日期

访问安全设置

导航到您的组织设置，单击 __CAPGO_KEEP_0__ 侧边栏中的
，然后单击组织顶部设置页面的标签
选择安全从组织导航栏（带有盾牌图标的）中选择安全选项

强制两因素认证（2FA）

2FA 强制要求所有组织成员在他们的帐户上启用两因素认证。这会添加一个关键的安全层，要求同时输入密码和验证 code。

2FA 被强制执行时会发生什么

会被立即阻止 访问组织应用 Web 控制台和 __CAPGO_KEEP_0__ 都会强制执行此要求
Both the web dashboard and CLI enforce this requirement
新成员必须启用 2FA 才能访问组织资源
系统实时跟踪哪些成员已启用 2FA

了解 2FA 状态面板

安全页面显示一个全面 成员 2FA 状态 面板显示:

总成员 - 你的组织中成员总数
已启用 2FA (绿色指示器) - 成功启用两因素认证的成员
未启用 2FA (橙色警告指示器) - 还需要设置 2FA 的成员

当成员没有启用 2FA 时，他们会出现在一个警告框中 没有启用 2FA 的成员 这个框显示：

每个成员的电子邮件地址和他们在组织中的角色
A 复制电子邮件列表 一个按钮，快速复制所有受影响的电子邮件地址以便沟通

启用 2FA 强制

导航到 组织设置 > 安全
定位到 为所有成员要求 2FA 页面顶部的部分
查看 成员 2FA 状态 面板以查看将受影响的成员
如果有没有 2FA 的成员，请使用 复制电子邮件列表 按钮在启用之前通知他们
切换 为所有成员要求 2FA 开启强制
将toggle显示在右侧禁用或启用注意

CLI 2FA 强制支持

您还可以通过 CLI 来管理 2FA 强制

# Enable 2FA enforcement
npx @capgo/cli organization set YOUR_ORG_ID --enforce-2fa

# Disable 2FA enforcement
npx @capgo/cli organization set YOUR_ORG_ID --no-enforce-2fa

# Check member 2FA status
npx @capgo/cli organization members YOUR_ORG_ID

有关 2FA 强制的详细信息，请参阅 2FA 强制指南.

密码策略

密码策略允许您为所有组织成员强制实施密码复杂度要求。当成员的密码不符合策略要求时，他们必须更新密码才能访问组织资源。

__CAPGO_KEEP_0__ 密码策略部分（带有指示器） 3 在概览图片中，提供一个简单的切换开关来强制在您的组织中实施密码要求。

密码策略工作原理

当您启用密码策略时：

所有组织成员必须满足密码复杂度要求
不符合要求的用户将被锁定直到他们更新密码
该策略适用于所有成员，无论他们的角色如何

启用密码策略

前往 组织设置 > 安全
向下滚动以找到 密码策略 部分
请阅读描述：“要求组织成员使用符合特定复杂性要求的密码”
切换 强制密码策略 切换使其生效
切换描述指出：“启用后，所有组织成员必须符合密码要求才能访问组织”

可用密码要求

设置	描述	范围
最小长度	密码必须至少包含 __CAPGO_KEEP_0__ 个字符	6-128 个字符
包含大写	密码必须包含至少一个大写字母 (A-Z)	开/关
包含数字	密码必须包含至少一个数字 (0-9)	开/关
包含特殊字符	密码必须包含至少一个特殊字符 (!@#$%^&*，等等)	开/关

成员遵守度跟踪

当密码策略处于激活状态时，您可以监控遵守情况：

总成员数:您的组织中成员的总数
遵守:符合密码策略要求的成员
不遵守:需要更新密码的成员

不遵守的成员将列出他们的电子邮件地址。您可以复制电子邮件列表以通知他们关于策略和所需密码更改的信息。

密码策略最佳实践

开始合理要求：最少10-12个字符，包含大小写和数字，提供良好的安全性而不被过度限制
通知变更：在启用新密码要求之前通知您的团队
允许过渡时间：为成员提供更新密码的时间
考虑密码管理器：建议团队成员使用密码管理器生成和存储强密码

API Key Security

Capgo provides two security controls for API keys: enforcing secure (hashed) API keys and requiring expiration dates. The API Key Policy section (marked with indicator 4 在概述图中标记的__CAPGO_KEEP_3__ 密钥策略部分（以密钥图标标识）是通过密钥图标标识的。

强制使用安全API 密钥

API 密钥策略部分的第一项是 强制使用安全API 密钥。启用此设置时，所有API 密钥都必须使用安全/散列格式创建。

散列API 密钥更安全，因为：

实际密钥值不会存储在我们的服务器上
只有你（和你的系统）才能访问完整的密钥
即使我们的数据库被破坏，也无法使用你的密钥

当启用时，仅安全（散列）API密钥才能访问该组织。未加密的API密钥将被拒绝。

标题：启用安全API密钥

组织设置 > 安全 向下滚动找到
__CAPGO_KEEP_0__密钥策略 API Key Policy 定位
__CAPGO_KEEP_2__ Enforce Secure API Keys toggle
开启安全 API 密钥强制
现有密钥不受影响，新密钥创建将受此策略影响

API 密钥过期策略

概览图中标记的第二个选项是 5 要求 __CAPGO_KEEP_0__ 密钥过期 您可以要求所有 API 密钥具有过期日期，限制其有效期. You can require all API keys to have an expiration date, limiting their validity period.

限制如果密钥被泄露的暴露时间窗口

Require __CAPGO_KEEP_0__ Key Expiration
确保密钥轮换
帮助满足凭证管理的合规要求

toggle描述如下：“启用后，组织中所有API密钥都必须具有过期日期”

配置过期策略

前往 组织设置 > 安全
找到 API密钥策略 部分
找到 要求API密钥过期 toggle (below Enforce Secure API Keys)
开启或关闭过期时间限制
启用后，请设置 最大过期天数 (1-365 天)
- 这限制了过期日期可以设置的未来天数
- 示例：设置 90 天意味着密钥最多可以在创建后 90 天过期

用例	安全密钥	过期时间	最大天数
开发	推荐	可选	30-90
CI/CD管道	必需	__CAPGO_KEEP_0__	90-180
生产环境	__CAPGO_KEEP_0__	__CAPGO_KEEP_0__	30-90
企业/合规	__CAPGO_KEEP_0__	__CAPGO_KEEP_0__	30-60

合规和审计

组织安全功能帮助您满足各种合规要求：

标准	相关功能
SOC 2	2FA 强制、密码策略、API 密钥控制
ISO 27001	所有安全功能都有助于证明访问控制
HIPAA	强大的身份验证和访问管理
GDPR	通过访问控制保护数据
PCI DSS	多因素身份验证、强密码

监控合规状态

安全中心提供实时可见性：

已启用 2FA 的成员人数
组织内密码策略遵从度
API 密钥安全采用

使用“复制电子邮件列表”功能轻松导出非符合成员列表进行针对性沟通。

故障排除

”Access Denied: Security policy not met”

问题：成员无法访问组织。解决方案

targetLanguage:

检查是否启用了 2FA - 成员需要启用 2FA
检查密码策略是否激活 - 成员需要更新密码
在安全中心验证成员的合规状态

无法启用安全功能

问题: 安全开关被禁用或未响应。

解决方案:

确保您有 在组织中具有超级管理员 角色
检查您的网络连接
尝试刷新页面
如果问题持续存在，请联系支持

API密钥创建失败

问题:无法创建新API密钥。