mintlify · mintlify · Jun 18, 2026 · Jun 18, 2026 · Jun 19, 2026
diff --git a/dashboard/sso.mdx b/dashboard/sso.mdx
@@ -1,6 +1,6 @@
 ---
 title: "Single sign-on (SSO)"
 description: "Set up single sign-on with SAML or OIDC identity providers like Okta, Azure AD, and Google Workspace for secure team authentication."
 keywords: ["SSO", "SAML authentication", "Okta integration", "Microsoft Entra", "identity provider", "JIT", "provisioning", "OIDC"]
 ---

@@ -98,6 +98,57 @@
 
 To enable JIT provisioning, you must have SSO enabled. Navigate to the [Single Sign-On](https://app.mintlify.com/settings/organization/sso) page in your dashboard, set up SSO, and then enable JIT provisioning.
 
+## Require SSO
+
+Enterprise admins can require organization members to sign in through their identity provider, blocking other authentication methods like password, magic link, and Google OAuth. Use this to ensure that every dashboard sign-in flows through your IdP so that account lifecycle, MFA, and access policies are enforced centrally.
+
+### Enable SSO enforcement
+
+Before you can require SSO, you must have an active SSO connection with a default connection configured. Attempting to enforce SSO without a configured connection returns an error to prevent locking your organization out.
+
+<Steps>
+  <Step title="Set up SSO">
+    Configure a SAML connection following the steps in [Configure SSO](#configure-sso) and confirm the connection shows as **Active** on the [Single Sign-On](https://app.mintlify.com/settings/organization/sso) page.
+  </Step>
+  <Step title="Toggle Require SSO">
+    On the same page, turn on **Require SSO**. Once enabled, password, magic link, and Google OAuth sign-ins are disabled for your organization. Members who try to sign in with another method are redirected to your IdP.
+  </Step>
+</Steps>
+
+### Choose allowed authentication methods
+
+If you want to allow a combination of methods instead of SSO-only, you can choose which methods are permitted for your organization from the SSO settings. The available options are:
+
+- **SSO** through your configured identity provider
+- **Password**
+- **Magic link** sent to the member's email
+- **Google OAuth**
+
+Saving an empty list resets your organization to allow all methods. Saving a list that contains only SSO requires an active default SSO connection, the same as toggling **Require SSO** on.
+
+### Switching organizations as a non-SSO user
+
+If a member belongs to multiple organizations and is signed in with a non-SSO method (for example, password or Google), switching into an organization that requires SSO triggers an SSO step-up. The dashboard sends the member to your IdP to complete authentication before the org switch finishes. Existing sessions in other organizations are not affected.
+
+### Break-glass access
+
+Break-glass access lets specific members bypass SSO enforcement and sign in with a password or magic link. Use it to keep emergency access available if your identity provider is unreachable or misconfigured.
+
+Manage the list from the **Break-glass access** card on the [Single Sign-On](https://app.mintlify.com/settings/organization/sso) page once an SSO connection is active:
+
+<Steps>
+  <Step title="Add an email">
+    Enter the email address of an existing organization member and click **Add**. The address must match a member who already exists in your organization.
+  </Step>
+  <Step title="Remove an email">
+    Click the delete icon next to an email to revoke break-glass access. The member is once again subject to SSO enforcement on their next sign-in.
+  </Step>
+</Steps>
+
+<Warning>
+  Anyone on the break-glass list can sign in without going through your identity provider. Limit the list to a small number of trusted admins and review it regularly.
+</Warning>
+
 ## Map RBAC roles with SAML groups
 
 Assign [roles](/dashboard/roles) to users based on their identity provider group membership. When a user signs in through SSO, Mintlify reads the `groups` attribute from the SAML assertion and maps those groups to dashboard roles.
@@ -163,7 +214,7 @@

 For providers other than Microsoft Entra or Okta SAML, [contact us](mailto:support@mintlify.com) to configure SSO.

 ### Google Workspace with SAML

 <Steps>
  <Step title="Create an application">
@@ -176,7 +227,7 @@
  <Step title="Send us your IdP information">
    Copy the provided SSO URL, Entity ID, and x509 certificate and send it to the Mintlify team.
    <Frame>
      ![Screenshot of the Google Workspace SAML application page with the SSO URL, Entity ID, and x509 certificate highlighted. The specific values for each of these are blurred out.](/images/gsuite-saml-metadata.png)
    </Frame>
  </Step>
  <Step title="Configure integration">
@@ -206,7 +257,7 @@

 <Steps>
  <Step title="Create an application">
    In Okta, under **Applications**, create a new app integration using OIDC. Choose the **Web Application** application type.
  </Step>
  <Step title="Configure integration">
    Select the authorization code grant type and enter the Redirect URI provided by Mintlify.

diff --git a/es/dashboard/sso.mdx b/es/dashboard/sso.mdx
@@ -106,6 +106,67 @@ Cuando habilites el aprovisionamiento JIT (just-in-time), los usuarios que inici
 
 Para habilitar el aprovisionamiento JIT, debes tener SSO habilitado. Ve a la página de [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) en tu dashboard, configura el SSO y luego habilita el aprovisionamiento JIT.
 
+<div id="require-sso">
+  ## Exigir SSO
+</div>
+
+Los administradores de Enterprise pueden exigir que los miembros de la organización inicien sesión a través de su proveedor de identidad, bloqueando otros métodos de autenticación como contraseña, enlace mágico y Google OAuth. Usa esta opción para asegurar que cada inicio de sesión en el dashboard pase por tu IdP, de modo que la gestión del ciclo de vida de la cuenta, la MFA y las políticas de acceso se apliquen de forma centralizada.
+
+<div id="enable-sso-enforcement">
+  ### Habilitar la exigencia de SSO
+</div>
+
+Antes de poder exigir SSO, debes tener una conexión SSO activa con una conexión predeterminada configurada. Intentar exigir SSO sin una conexión configurada devuelve un error para evitar bloquear el acceso a tu organización.
+
+<Steps>
+  <Step title="Configurar SSO">
+    Configura una conexión SAML siguiendo los pasos en [Configurar SSO](#configure-sso) y confirma que la conexión aparece como **Active** en la página de [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso).
+  </Step>
+  <Step title="Activar Require SSO">
+    En la misma página, activa **Require SSO**. Una vez habilitado, los inicios de sesión con contraseña, enlace mágico y Google OAuth se deshabilitan para tu organización. Los miembros que intenten iniciar sesión con otro método son redirigidos a tu IdP.
+  </Step>
+</Steps>
+
+<div id="choose-allowed-authentication-methods">
+  ### Elegir los métodos de autenticación permitidos
+</div>
+
+Si quieres permitir una combinación de métodos en lugar de solo SSO, puedes elegir qué métodos se permiten para tu organización desde la configuración de SSO. Las opciones disponibles son:
+
+- **SSO** a través de tu proveedor de identidad configurado
+- **Contraseña**
+- **Enlace mágico** enviado al correo del miembro
+- **Google OAuth**
+
+Guardar una lista vacía restablece tu organización para permitir todos los métodos. Guardar una lista que solo contenga SSO requiere una conexión SSO predeterminada activa, igual que al activar **Require SSO**.
+
+<div id="switching-organizations-as-a-non-sso-user">
+  ### Cambiar de organización como usuario no SSO
+</div>
+
+Si un miembro pertenece a varias organizaciones y tiene una sesión iniciada con un método no SSO (por ejemplo, contraseña o Google), al cambiar a una organización que exige SSO se activa una verificación SSO adicional. El dashboard envía al miembro a tu IdP para completar la autenticación antes de finalizar el cambio de organización. Las sesiones existentes en otras organizaciones no se ven afectadas.
+
+<div id="break-glass-access">
+  ### Acceso de emergencia (break-glass)
+</div>
+
+El acceso de emergencia permite que ciertos miembros omitan la exigencia de SSO e inicien sesión con contraseña o enlace mágico. Úsalo para mantener el acceso de emergencia disponible si tu proveedor de identidad no está disponible o está mal configurado.
+
+Gestiona la lista desde la tarjeta **Break-glass access** en la página de [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) una vez que haya una conexión SSO activa:
+
+<Steps>
+  <Step title="Agregar un correo">
+    Introduce la dirección de correo de un miembro existente de la organización y haz clic en **Add**. La dirección debe coincidir con un miembro que ya exista en tu organización.
+  </Step>
+  <Step title="Eliminar un correo">
+    Haz clic en el icono de eliminar junto a un correo para revocar el acceso de emergencia. El miembro vuelve a estar sujeto a la exigencia de SSO en su próximo inicio de sesión.
+  </Step>
+</Steps>
+
+<Warning>
+  Cualquier persona en la lista de acceso de emergencia puede iniciar sesión sin pasar por tu proveedor de identidad. Limita la lista a un pequeño número de administradores de confianza y revísala con regularidad.
+</Warning>
+
 <div id="map-rbac-roles-with-saml-groups">
   ## Mapear roles RBAC con grupos SAML
 </div>

diff --git a/fr/dashboard/sso.mdx b/fr/dashboard/sso.mdx
@@ -106,6 +106,67 @@ Lorsque vous activez le provisionnement JIT (just-in-time), les utilisateurs qui
 
 Pour activer le provisionnement JIT, vous devez avoir activé le SSO. Accédez à la page [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) de votre Dashboard, configurez le SSO, puis activez le provisionnement JIT.
 
+<div id="require-sso">
+  ## Exiger le SSO
+</div>
+
+Les administrateurs Enterprise peuvent exiger que les membres de l'organisation se connectent via leur fournisseur d'identité, en bloquant les autres méthodes d'authentification comme le mot de passe, le lien magique et Google OAuth. Utilisez cette option pour garantir que chaque connexion au tableau de bord passe par votre IdP afin que la gestion du cycle de vie des comptes, le MFA et les politiques d'accès soient appliqués de manière centralisée.
+
+<div id="enable-sso-enforcement">
+  ### Activer l'application du SSO
+</div>
+
+Avant de pouvoir exiger le SSO, vous devez disposer d'une connexion SSO active et d'une connexion par défaut configurée. Tenter d'imposer le SSO sans connexion configurée renvoie une erreur afin d'éviter de verrouiller l'accès à votre organisation.
+
+<Steps>
+  <Step title="Configurer le SSO">
+    Configurez une connexion SAML en suivant les étapes décrites dans [Configurer le SSO](#configure-sso) et vérifiez que la connexion apparaît comme **Active** sur la page [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso).
+  </Step>
+  <Step title="Activer Require SSO">
+    Sur la même page, activez **Require SSO**. Une fois activé, les connexions par mot de passe, lien magique et Google OAuth sont désactivées pour votre organisation. Les membres qui tentent de se connecter avec une autre méthode sont redirigés vers votre IdP.
+  </Step>
+</Steps>
+
+<div id="choose-allowed-authentication-methods">
+  ### Choisir les méthodes d'authentification autorisées
+</div>
+
+Si vous souhaitez autoriser une combinaison de méthodes plutôt que le SSO uniquement, vous pouvez choisir les méthodes autorisées pour votre organisation depuis les paramètres SSO. Les options disponibles sont :
+
+- **SSO** via votre fournisseur d'identité configuré
+- **Mot de passe**
+- **Lien magique** envoyé à l'adresse e-mail du membre
+- **Google OAuth**
+
+Enregistrer une liste vide réinitialise votre organisation pour autoriser toutes les méthodes. Enregistrer une liste qui ne contient que le SSO nécessite une connexion SSO par défaut active, comme l'activation de **Require SSO**.
+
+<div id="switching-organizations-as-a-non-sso-user">
+  ### Changer d'organisation en tant qu'utilisateur non‑SSO
+</div>
+
+Si un membre appartient à plusieurs organisations et est connecté avec une méthode non‑SSO (par exemple, un mot de passe ou Google), basculer vers une organisation qui exige le SSO déclenche une élévation SSO. Le tableau de bord redirige le membre vers votre IdP pour terminer l'authentification avant que le changement d'organisation ne soit finalisé. Les sessions existantes dans d'autres organisations ne sont pas affectées.
+
+<div id="break-glass-access">
+  ### Accès de secours (break-glass)
+</div>
+
+L'accès de secours permet à certains membres de contourner l'application du SSO et de se connecter avec un mot de passe ou un lien magique. Utilisez-le pour conserver un accès d'urgence si votre fournisseur d'identité est inaccessible ou mal configuré.
+
+Gérez la liste depuis la carte **Break-glass access** sur la page [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) une fois qu'une connexion SSO est active :
+
+<Steps>
+  <Step title="Ajouter un e-mail">
+    Saisissez l'adresse e-mail d'un membre existant de l'organisation et cliquez sur **Add**. L'adresse doit correspondre à un membre qui existe déjà dans votre organisation.
+  </Step>
+  <Step title="Supprimer un e-mail">
+    Cliquez sur l'icône de suppression à côté d'une adresse pour révoquer l'accès de secours. Le membre est de nouveau soumis à l'application du SSO lors de sa prochaine connexion.
+  </Step>
+</Steps>
+
+<Warning>
+  Toute personne figurant sur la liste d'accès de secours peut se connecter sans passer par votre fournisseur d'identité. Limitez la liste à un petit nombre d'administrateurs de confiance et révisez-la régulièrement.
+</Warning>
+
 <div id="map-rbac-roles-with-saml-groups">
   ## Mapper les rôles RBAC avec les groupes SAML
 </div>

diff --git a/zh/dashboard/sso.mdx b/zh/dashboard/sso.mdx
@@ -106,6 +106,67 @@ keywords: ["SSO", "SAML 认证", "Okta 集成", "Microsoft Entra", "身份提供
 
 要启用 JIT 预配，你必须先启用 SSO。前往控制台中的 [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) 页面，完成 SSO 设置，然后启用 JIT 预配。
 
+<div id="require-sso">
+  ## 强制使用 SSO
+</div>
+
+企业管理员可以要求组织成员通过身份提供商登录，从而禁用密码、魔术链接和 Google OAuth 等其他身份验证方式。使用此设置可确保每次控制台登录都通过你的 IdP 完成，便于集中实施账号生命周期管理、MFA 和访问策略。
+
+<div id="enable-sso-enforcement">
+  ### 启用 SSO 强制要求
+</div>
+
+在你能够强制使用 SSO 之前，必须先配置一个处于活动状态的 SSO 连接，并设置默认连接。如果在没有配置连接的情况下尝试启用强制 SSO，系统会返回错误，以防止将组织锁定在外。
+
+<Steps>
+  <Step title="设置 SSO">
+    按照 [配置 SSO](#configure-sso) 中的步骤配置 SAML 连接，并确认连接在 [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) 页面显示为 **Active**。
+  </Step>
+  <Step title="切换 Require SSO 开关">
+    在同一页面上打开 **Require SSO**。启用后，密码、魔术链接和 Google OAuth 登录方式将对你的组织禁用。尝试使用其他方式登录的成员会被重定向到你的 IdP。
+  </Step>
+</Steps>
+
+<div id="choose-allowed-authentication-methods">
+  ### 选择允许的身份验证方式
+</div>
+
+如果你希望允许多种方式的组合而不是仅 SSO，可以在 SSO 设置中选择组织允许的方式。可用选项包括：
+
+- 通过已配置的身份提供商进行 **SSO** 登录
+- **密码**
+- 发送到成员邮箱的 **魔术链接**
+- **Google OAuth**
+
+保存为空列表会将组织恢复为允许所有方式。保存仅包含 SSO 的列表与启用 **Require SSO** 一样，要求存在活动的默认 SSO 连接。
+
+<div id="switching-organizations-as-a-non-sso-user">
+  ### 非 SSO 用户切换组织
+</div>
+
+如果成员同时属于多个组织，并且使用非 SSO 方式（例如密码或 Google）已登录，那么在切换到要求 SSO 的组织时会触发 SSO 二次验证。控制台会将成员转到你的 IdP 完成身份验证，然后才能完成组织切换。其他组织中已存在的会话不会受到影响。
+
+<div id="break-glass-access">
+  ### 应急访问（Break-glass access）
+</div>
+
+应急访问允许特定成员绕过 SSO 强制要求，使用密码或魔术链接登录。当你的身份提供商不可用或配置错误时，可以使用它保留紧急访问通道。
+
+在 SSO 连接处于活动状态后，从 [Single Sign-On](https://dashboard.mintlify.com/settings/organization/sso) 页面上的 **Break-glass access** 卡片管理此列表：
+
+<Steps>
+  <Step title="添加邮箱">
+    输入组织中现有成员的邮箱地址，然后点击 **Add**。该地址必须与你组织中已存在的成员相匹配。
+  </Step>
+  <Step title="移除邮箱">
+    点击邮箱旁的删除图标可撤销该成员的应急访问权限。该成员在下次登录时将再次受 SSO 强制要求约束。
+  </Step>
+</Steps>
+
+<Warning>
+  应急访问列表上的任何人都可以在不通过身份提供商的情况下登录。请将名单限制为少数受信任的管理员，并定期审查。
+</Warning>
+
 <div id="map-rbac-roles-with-saml-groups">
   ## 将 RBAC 角色映射到 SAML 组
 </div>