From 735c35969b26379f36ef8e068adb98dca41c92c9 Mon Sep 17 00:00:00 2001
From: "mintlify[bot]" <109931778+mintlify[bot]@users.noreply.github.com>
Date: Thu, 18 Jun 2026 15:11:18 +0000
Subject: [PATCH 1/3] docs: document SSO enforcement and allowed auth methods
---
dashboard/sso.mdx | 32 ++++++++++++++++++++++++++++++++
fr/dashboard/sso.mdx | 40 ++++++++++++++++++++++++++++++++++++++++
zh/dashboard/sso.mdx | 40 ++++++++++++++++++++++++++++++++++++++++
3 files changed, 112 insertions(+)
diff --git a/dashboard/sso.mdx b/dashboard/sso.mdx
index b26100d0a8..d39308f4c1 100644
--- a/dashboard/sso.mdx
+++ b/dashboard/sso.mdx
@@ -98,6 +98,38 @@ When you enable JIT (just-in-time) provisioning, users who sign in through your
To enable JIT provisioning, you must have SSO enabled. Navigate to the [Single Sign-On](https://app.mintlify.com/settings/organization/sso) page in your dashboard, set up SSO, and then enable JIT provisioning.
+## Require SSO
+
+Enterprise admins can require organization members to sign in through their identity provider, blocking other authentication methods like password, magic link, and Google OAuth. Use this to ensure that every dashboard sign-in flows through your IdP so that account lifecycle, MFA, and access policies are enforced centrally.
+
+### Enable SSO enforcement
+
+Before you can require SSO, you must have an active SSO connection with a default connection configured. Attempting to enforce SSO without a configured connection returns an error to prevent locking your organization out.
+
+
+
+ Configure a SAML connection following the steps in [Configure SSO](#configure-sso) and confirm the connection shows as **Active** on the [Single Sign-On](https://app.mintlify.com/settings/organization/sso) page.
+
+
+ On the same page, turn on **Require SSO**. Once enabled, password, magic link, and Google OAuth sign-ins are disabled for your organization. Members who try to sign in with another method are redirected to your IdP.
+
+
+
+### Choose allowed authentication methods
+
+If you want to allow a combination of methods instead of SSO-only, you can choose which methods are permitted for your organization from the SSO settings. The available options are:
+
+- **SSO** through your configured identity provider
+- **Password**
+- **Magic link** sent to the member's email
+- **Google OAuth**
+
+Saving an empty list resets your organization to allow all methods. Saving a list that contains only SSO requires an active default SSO connection, the same as toggling **Require SSO** on.
+
+### Switching organizations as a non-SSO user
+
+If a member belongs to multiple organizations and is signed in with a non-SSO method (for example, password or Google), switching into an organization that requires SSO triggers an SSO step-up. The dashboard sends the member to your IdP to complete authentication before the org switch finishes. Existing sessions in other organizations are not affected.
+
## Map RBAC roles with SAML groups
Assign [roles](/dashboard/roles) to users based on their identity provider group membership. When a user signs in through SSO, Mintlify reads the `groups` attribute from the SAML assertion and maps those groups to dashboard roles.
diff --git a/fr/dashboard/sso.mdx b/fr/dashboard/sso.mdx
index 07b75537f8..aeeaac904e 100644
--- a/fr/dashboard/sso.mdx
+++ b/fr/dashboard/sso.mdx
@@ -106,6 +106,46 @@ Lorsque vous activez le provisionnement JIT (just-in-time), les utilisateurs qui
Pour activer le provisionnement JIT, vous devez avoir activé le SSO. Accédez à la page [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) de votre Dashboard, configurez le SSO, puis activez le provisionnement JIT.
+
+ ## Exiger le SSO
+
+
+Les administrateurs Enterprise peuvent exiger que les membres de l'organisation se connectent via leur fournisseur d'identité, en bloquant les autres méthodes d'authentification comme le mot de passe, le lien magique et Google OAuth. Utilisez cette option pour garantir que chaque connexion au tableau de bord passe par votre IdP afin que la gestion du cycle de vie des comptes, le MFA et les politiques d'accès soient appliqués de manière centralisée.
+
+
+ ### Activer l'application du SSO
+
+
+Avant de pouvoir exiger le SSO, vous devez disposer d'une connexion SSO active et d'une connexion par défaut configurée. Tenter d'imposer le SSO sans connexion configurée renvoie une erreur afin d'éviter de verrouiller l'accès à votre organisation.
+
+
+
+ Configurez une connexion SAML en suivant les étapes décrites dans [Configurer le SSO](#configure-sso) et vérifiez que la connexion apparaît comme **Active** sur la page [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso).
+
+
+ Sur la même page, activez **Require SSO**. Une fois activé, les connexions par mot de passe, lien magique et Google OAuth sont désactivées pour votre organisation. Les membres qui tentent de se connecter avec une autre méthode sont redirigés vers votre IdP.
+
+
+
+
+ ### Choisir les méthodes d'authentification autorisées
+
+
+Si vous souhaitez autoriser une combinaison de méthodes plutôt que le SSO uniquement, vous pouvez choisir les méthodes autorisées pour votre organisation depuis les paramètres SSO. Les options disponibles sont :
+
+- **SSO** via votre fournisseur d'identité configuré
+- **Mot de passe**
+- **Lien magique** envoyé à l'adresse e-mail du membre
+- **Google OAuth**
+
+Enregistrer une liste vide réinitialise votre organisation pour autoriser toutes les méthodes. Enregistrer une liste qui ne contient que le SSO nécessite une connexion SSO par défaut active, comme l'activation de **Require SSO**.
+
+
+ ### Changer d'organisation en tant qu'utilisateur non‑SSO
+
+
+Si un membre appartient à plusieurs organisations et est connecté avec une méthode non‑SSO (par exemple, un mot de passe ou Google), basculer vers une organisation qui exige le SSO déclenche une élévation SSO. Le tableau de bord redirige le membre vers votre IdP pour terminer l'authentification avant que le changement d'organisation ne soit finalisé. Les sessions existantes dans d'autres organisations ne sont pas affectées.
+
## Mapper les rôles RBAC avec les groupes SAML
diff --git a/zh/dashboard/sso.mdx b/zh/dashboard/sso.mdx
index 2b498d8cc6..35138ac937 100644
--- a/zh/dashboard/sso.mdx
+++ b/zh/dashboard/sso.mdx
@@ -106,6 +106,46 @@ keywords: ["SSO", "SAML 认证", "Okta 集成", "Microsoft Entra", "身份提供
要启用 JIT 预配,你必须先启用 SSO。前往控制台中的 [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) 页面,完成 SSO 设置,然后启用 JIT 预配。
+
+ ## 强制使用 SSO
+
+
+企业管理员可以要求组织成员通过身份提供商登录,从而禁用密码、魔术链接和 Google OAuth 等其他身份验证方式。使用此设置可确保每次控制台登录都通过你的 IdP 完成,便于集中实施账号生命周期管理、MFA 和访问策略。
+
+
+ ### 启用 SSO 强制要求
+
+
+在你能够强制使用 SSO 之前,必须先配置一个处于活动状态的 SSO 连接,并设置默认连接。如果在没有配置连接的情况下尝试启用强制 SSO,系统会返回错误,以防止将组织锁定在外。
+
+
+
+ 按照 [配置 SSO](#configure-sso) 中的步骤配置 SAML 连接,并确认连接在 [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) 页面显示为 **Active**。
+
+
+ 在同一页面上打开 **Require SSO**。启用后,密码、魔术链接和 Google OAuth 登录方式将对你的组织禁用。尝试使用其他方式登录的成员会被重定向到你的 IdP。
+
+
+
+
+ ### 选择允许的身份验证方式
+
+
+如果你希望允许多种方式的组合而不是仅 SSO,可以在 SSO 设置中选择组织允许的方式。可用选项包括:
+
+- 通过已配置的身份提供商进行 **SSO** 登录
+- **密码**
+- 发送到成员邮箱的 **魔术链接**
+- **Google OAuth**
+
+保存为空列表会将组织恢复为允许所有方式。保存仅包含 SSO 的列表与启用 **Require SSO** 一样,要求存在活动的默认 SSO 连接。
+
+
+ ### 非 SSO 用户切换组织
+
+
+如果成员同时属于多个组织,并且使用非 SSO 方式(例如密码或 Google)已登录,那么在切换到要求 SSO 的组织时会触发 SSO 二次验证。控制台会将成员转到你的 IdP 完成身份验证,然后才能完成组织切换。其他组织中已存在的会话不会受到影响。
+
## 将 RBAC 角色映射到 SAML 组
From 316ee9ca9db54d412bcd5b7136d4c5fd754bdc24 Mon Sep 17 00:00:00 2001
From: "mintlify[bot]" <109931778+mintlify[bot]@users.noreply.github.com>
Date: Thu, 18 Jun 2026 15:12:27 +0000
Subject: [PATCH 2/3] docs: translate Require SSO section to Spanish
---
es/dashboard/sso.mdx | 40 ++++++++++++++++++++++++++++++++++++++++
1 file changed, 40 insertions(+)
diff --git a/es/dashboard/sso.mdx b/es/dashboard/sso.mdx
index 24b1a4e863..9f30ee472f 100644
--- a/es/dashboard/sso.mdx
+++ b/es/dashboard/sso.mdx
@@ -106,6 +106,46 @@ Cuando habilites el aprovisionamiento JIT (just-in-time), los usuarios que inici
Para habilitar el aprovisionamiento JIT, debes tener SSO habilitado. Ve a la página de [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) en tu dashboard, configura el SSO y luego habilita el aprovisionamiento JIT.
+
+ ## Exigir SSO
+
+
+Los administradores de Enterprise pueden exigir que los miembros de la organización inicien sesión a través de su proveedor de identidad, bloqueando otros métodos de autenticación como contraseña, enlace mágico y Google OAuth. Usa esta opción para asegurar que cada inicio de sesión en el dashboard pase por tu IdP, de modo que la gestión del ciclo de vida de la cuenta, la MFA y las políticas de acceso se apliquen de forma centralizada.
+
+
+ ### Habilitar la exigencia de SSO
+
+
+Antes de poder exigir SSO, debes tener una conexión SSO activa con una conexión predeterminada configurada. Intentar exigir SSO sin una conexión configurada devuelve un error para evitar bloquear el acceso a tu organización.
+
+
+
+ Configura una conexión SAML siguiendo los pasos en [Configurar SSO](#configure-sso) y confirma que la conexión aparece como **Active** en la página de [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso).
+
+
+ En la misma página, activa **Require SSO**. Una vez habilitado, los inicios de sesión con contraseña, enlace mágico y Google OAuth se deshabilitan para tu organización. Los miembros que intenten iniciar sesión con otro método son redirigidos a tu IdP.
+
+
+
+
+ ### Elegir los métodos de autenticación permitidos
+
+
+Si quieres permitir una combinación de métodos en lugar de solo SSO, puedes elegir qué métodos se permiten para tu organización desde la configuración de SSO. Las opciones disponibles son:
+
+- **SSO** a través de tu proveedor de identidad configurado
+- **Contraseña**
+- **Enlace mágico** enviado al correo del miembro
+- **Google OAuth**
+
+Guardar una lista vacía restablece tu organización para permitir todos los métodos. Guardar una lista que solo contenga SSO requiere una conexión SSO predeterminada activa, igual que al activar **Require SSO**.
+
+
+ ### Cambiar de organización como usuario no SSO
+
+
+Si un miembro pertenece a varias organizaciones y tiene una sesión iniciada con un método no SSO (por ejemplo, contraseña o Google), al cambiar a una organización que exige SSO se activa una verificación SSO adicional. El dashboard envía al miembro a tu IdP para completar la autenticación antes de finalizar el cambio de organización. Las sesiones existentes en otras organizaciones no se ven afectadas.
+
## Mapear roles RBAC con grupos SAML
From 1858233cfdfcb9cdd912308d38048da49d66f6a0 Mon Sep 17 00:00:00 2001
From: "mintlify[bot]" <109931778+mintlify[bot]@users.noreply.github.com>
Date: Fri, 19 Jun 2026 15:16:39 +0000
Subject: [PATCH 3/3] docs: document break-glass access for SSO-enforced orgs
---
dashboard/sso.mdx | 19 +++++++++++++++++++
es/dashboard/sso.mdx | 21 +++++++++++++++++++++
fr/dashboard/sso.mdx | 21 +++++++++++++++++++++
zh/dashboard/sso.mdx | 21 +++++++++++++++++++++
4 files changed, 82 insertions(+)
diff --git a/dashboard/sso.mdx b/dashboard/sso.mdx
index d39308f4c1..665ac5a9bf 100644
--- a/dashboard/sso.mdx
+++ b/dashboard/sso.mdx
@@ -130,6 +130,25 @@ Saving an empty list resets your organization to allow all methods. Saving a lis
If a member belongs to multiple organizations and is signed in with a non-SSO method (for example, password or Google), switching into an organization that requires SSO triggers an SSO step-up. The dashboard sends the member to your IdP to complete authentication before the org switch finishes. Existing sessions in other organizations are not affected.
+### Break-glass access
+
+Break-glass access lets specific members bypass SSO enforcement and sign in with a password or magic link. Use it to keep emergency access available if your identity provider is unreachable or misconfigured.
+
+Manage the list from the **Break-glass access** card on the [Single Sign-On](https://app.mintlify.com/settings/organization/sso) page once an SSO connection is active:
+
+
+
+ Enter the email address of an existing organization member and click **Add**. The address must match a member who already exists in your organization.
+
+
+ Click the delete icon next to an email to revoke break-glass access. The member is once again subject to SSO enforcement on their next sign-in.
+
+
+
+
+ Anyone on the break-glass list can sign in without going through your identity provider. Limit the list to a small number of trusted admins and review it regularly.
+
+
## Map RBAC roles with SAML groups
Assign [roles](/dashboard/roles) to users based on their identity provider group membership. When a user signs in through SSO, Mintlify reads the `groups` attribute from the SAML assertion and maps those groups to dashboard roles.
diff --git a/es/dashboard/sso.mdx b/es/dashboard/sso.mdx
index 9f30ee472f..d57a13b264 100644
--- a/es/dashboard/sso.mdx
+++ b/es/dashboard/sso.mdx
@@ -146,6 +146,27 @@ Guardar una lista vacía restablece tu organización para permitir todos los mé
Si un miembro pertenece a varias organizaciones y tiene una sesión iniciada con un método no SSO (por ejemplo, contraseña o Google), al cambiar a una organización que exige SSO se activa una verificación SSO adicional. El dashboard envía al miembro a tu IdP para completar la autenticación antes de finalizar el cambio de organización. Las sesiones existentes en otras organizaciones no se ven afectadas.
+
+ ### Acceso de emergencia (break-glass)
+
+
+El acceso de emergencia permite que ciertos miembros omitan la exigencia de SSO e inicien sesión con contraseña o enlace mágico. Úsalo para mantener el acceso de emergencia disponible si tu proveedor de identidad no está disponible o está mal configurado.
+
+Gestiona la lista desde la tarjeta **Break-glass access** en la página de [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) una vez que haya una conexión SSO activa:
+
+
+
+ Introduce la dirección de correo de un miembro existente de la organización y haz clic en **Add**. La dirección debe coincidir con un miembro que ya exista en tu organización.
+
+
+ Haz clic en el icono de eliminar junto a un correo para revocar el acceso de emergencia. El miembro vuelve a estar sujeto a la exigencia de SSO en su próximo inicio de sesión.
+
+
+
+
+ Cualquier persona en la lista de acceso de emergencia puede iniciar sesión sin pasar por tu proveedor de identidad. Limita la lista a un pequeño número de administradores de confianza y revísala con regularidad.
+
+
## Mapear roles RBAC con grupos SAML
diff --git a/fr/dashboard/sso.mdx b/fr/dashboard/sso.mdx
index aeeaac904e..bcc700c10a 100644
--- a/fr/dashboard/sso.mdx
+++ b/fr/dashboard/sso.mdx
@@ -146,6 +146,27 @@ Enregistrer une liste vide réinitialise votre organisation pour autoriser toute
Si un membre appartient à plusieurs organisations et est connecté avec une méthode non‑SSO (par exemple, un mot de passe ou Google), basculer vers une organisation qui exige le SSO déclenche une élévation SSO. Le tableau de bord redirige le membre vers votre IdP pour terminer l'authentification avant que le changement d'organisation ne soit finalisé. Les sessions existantes dans d'autres organisations ne sont pas affectées.
+
+ ### Accès de secours (break-glass)
+
+
+L'accès de secours permet à certains membres de contourner l'application du SSO et de se connecter avec un mot de passe ou un lien magique. Utilisez-le pour conserver un accès d'urgence si votre fournisseur d'identité est inaccessible ou mal configuré.
+
+Gérez la liste depuis la carte **Break-glass access** sur la page [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) une fois qu'une connexion SSO est active :
+
+
+
+ Saisissez l'adresse e-mail d'un membre existant de l'organisation et cliquez sur **Add**. L'adresse doit correspondre à un membre qui existe déjà dans votre organisation.
+
+
+ Cliquez sur l'icône de suppression à côté d'une adresse pour révoquer l'accès de secours. Le membre est de nouveau soumis à l'application du SSO lors de sa prochaine connexion.
+
+
+
+
+ Toute personne figurant sur la liste d'accès de secours peut se connecter sans passer par votre fournisseur d'identité. Limitez la liste à un petit nombre d'administrateurs de confiance et révisez-la régulièrement.
+
+
## Mapper les rôles RBAC avec les groupes SAML
diff --git a/zh/dashboard/sso.mdx b/zh/dashboard/sso.mdx
index 35138ac937..cb3657d778 100644
--- a/zh/dashboard/sso.mdx
+++ b/zh/dashboard/sso.mdx
@@ -146,6 +146,27 @@ keywords: ["SSO", "SAML 认证", "Okta 集成", "Microsoft Entra", "身份提供
如果成员同时属于多个组织,并且使用非 SSO 方式(例如密码或 Google)已登录,那么在切换到要求 SSO 的组织时会触发 SSO 二次验证。控制台会将成员转到你的 IdP 完成身份验证,然后才能完成组织切换。其他组织中已存在的会话不会受到影响。
+
+ ### 应急访问(Break-glass access)
+
+
+应急访问允许特定成员绕过 SSO 强制要求,使用密码或魔术链接登录。当你的身份提供商不可用或配置错误时,可以使用它保留紧急访问通道。
+
+在 SSO 连接处于活动状态后,从 [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) 页面上的 **Break-glass access** 卡片管理此列表:
+
+
+
+ 输入组织中现有成员的邮箱地址,然后点击 **Add**。该地址必须与你组织中已存在的成员相匹配。
+
+
+ 点击邮箱旁的删除图标可撤销该成员的应急访问权限。该成员在下次登录时将再次受 SSO 强制要求约束。
+
+
+
+
+ 应急访问列表上的任何人都可以在不通过身份提供商的情况下登录。请将名单限制为少数受信任的管理员,并定期审查。
+
+
## 将 RBAC 角色映射到 SAML 组