在配置 SAML SSO 之前,必须先进行域名验证。请先完成这些步骤,然后再前往 SAML SSO 设置。
前提条件
工作区角色
您必须是工作区所有者或管理员
DNS 访问权限
可访问您组织的 DNS 设置(Cloudflare、Route 53、GoDaddy 等)
为什么要验证您的域名?
域名验证可确保只有授权的管理员才能:- 配置域名捕获,以便自动邀请或注册使用您域名的用户
- 为使用您公司电子邮件域名的用户启用 SAML SSO
- 管理您组织的身份验证设置
- 控制团队成员如何访问您的 Krea 工作区
第 1 步:添加您的域名
打开工作区设置
导航至工作区设置 ↗。您也可以点击侧边栏左下角的工作区头像,然后选择设置。
第 2 步:添加 DNS TXT 记录
添加域名后,Krea 将显示一个验证令牌。在验证完成之前,您的域名将显示为等待。
您将看到:
- 一个包含验证令牌的成功提示(以
krea-verification=开头) - 您的域名列表显示为等待状态
- 一个可复制的 TXT 记录值
DNS 记录详情
| 字段 | 值 |
|---|---|
| 类型 | TXT |
| 主机/名称 | @(或留空,取决于您的 DNS 提供商) |
| 内容/值 | 弹窗中显示的验证令牌 |
| TTL | 3600(1 小时)或您提供商的默认值 |
按提供商添加记录
- Cloudflare
- AWS Route 53
- GoDaddy
- Namecheap
- Google Domains
- 其他提供商
- 登录 Cloudflare 仪表板
- 选择您的域名
- 点击左侧边栏中的 DNS
- 点击添加记录
- 将类型设为
TXT,名称设为@,并将令牌粘贴到内容中 - 点击保存
第 3 步:验证您的域名
DNS 传播可能需要几分钟到 72 小时不等。如果验证失败,请等待 5-10 分钟后再试。
配置域名捕获
域名捕获控制当具有匹配的已验证电子邮件域名的用户登录 Krea 时会发生什么。您可以自动将他们添加到您的工作区、提示他们加入,或不采取任何操作。捕获模式
| 模式 | 设置中的标签 | 行为 |
|---|---|---|
| 关闭 | 已禁用 | 用户仅通过管理员直接邀请加入。 |
| 可选 | 自动邀请已启用 | 用户会看到”加入您的已验证工作区”弹窗。他们可以接受或忽略(1 周后再次提示)。 |
| 强制 | 自动注册已启用 | 用户在下次登录时被自动添加到您的工作区。他们的活动工作区会自动切换,并会看到一个确认弹窗。无法选择退出。 |
设置捕获模式
打开域名管理
导航至工作区设置 ↗,然后滚动至域名管理部分。
关键细节
多个工作区使用同一域名
多个工作区使用同一域名
多个工作区可以验证同一电子邮件域名。每个工作区独立管理自己的捕获模式。匹配多个工作区的用户可能会被注册或针对每个工作区被提示加入。
现有工作区成员
现有工作区成员
已经是您工作区成员的用户不受域名捕获的影响。不会发生重复的邀请或注册操作。
故障排查
找不到 DNS 记录
找不到 DNS 记录
- 等待传播 — DNS 更改可能需要长达 72 小时(通常不到 1 小时)
- 验证您的记录 — 使用 MXToolbox TXT 查询检查记录是否可见
- 检查错字 — 确保验证令牌已被准确复制
- 检查主机字段 — 某些提供商需要
@,有些需要留空,有些则需要您的域名
记录存在但验证仍然失败
记录存在但验证仍然失败
- 检查重复记录 — 删除任何旧的或重复的 TXT 记录
- 验证确切值 — 某些提供商会自动添加引号;不要再添加额外的引号
- 尝试不同的 TTL — 较低的 TTL 值(300 秒)传播更快
我无权访问 DNS 设置
我无权访问 DNS 设置
请联系您的 IT 管理员或管理您组织域名的人员。他们将需要为您添加 TXT 记录。
后续步骤
当您的域名通过验证并配置好域名捕获后,您可以继续设置 SAML SSO 以实现集中式身份验证:SAML SSO 设置
为您的 Krea 企业工作区配置单点登录