Zum Hauptinhalt springen
Nur für Krea Enterprise — SAML-SSO ist ausschließlich für Krea-Enterprise-Kunden verfügbar. Wende dich an unser Sales-Team, um mehr über Enterprise-Pläne zu erfahren.
Dieser Leitfaden führt dich durch die Konfiguration von SAML Single Sign-On (SSO) für deinen Krea-Workspace. Nach der Konfiguration können sich Nutzer mit E-Mail-Adressen deiner verifizierten Domain über den Identity-Provider (IdP) deiner Organisation anmelden.

Voraussetzungen

Bevor du beginnst, stelle sicher, dass du Folgendes hast:

Verifizierte Domain

Schließe zuerst die Domain-Verifizierung ab

Workspace-Rolle

Du musst Workspace-Owner oder Admin sein

Identity-Provider-Zugriff

Admin-Zugriff auf deinen IdP (Okta, Google Workspace usw.)

Enterprise-Plan

Aktives Krea-Enterprise-Abonnement

Schritt 1: Service-Provider-Details von Krea abrufen

Nach Abschluss der Domain-Verifizierung zeigt das Setup-Modal den Abschnitt zur SAML-Konfiguration an. SAML-Konfigurations-Modal Du benötigst diese beiden Werte, um deinen Identity-Provider zu konfigurieren:
FeldWert
ACS URLhttps://superb.krea.ai/auth/v1/sso/saml/acs
Entity IDhttps://superb.krea.ai/auth/v1/sso/saml/metadata
Metadata XMLhttps://superb.krea.ai/auth/v1/sso/saml/metadata
Klicke auf das Kopieren-Symbol neben jeder URL im Modal, um sie exakt zu übernehmen.

Schritt 2: Deinen Identity-Provider konfigurieren

Erstelle in deinem Identity-Provider eine SAML-Anwendung mit den Werten aus Schritt 1.
1

Anwendungen aufrufen

Melde dich in deiner Okta Admin Console an (typischerweise https://your-org.okta.com/admin) und gehe in der Seitenleiste zu ApplicationsApplications.
2

App-Integration erstellen

Klicke auf Create App Integration.Wähle SAML 2.0 als Anmeldemethode und klicke auf Next.
3

Allgemeine Einstellungen konfigurieren

Gib Krea als App-Name ein.Lade optional ein Logo zur einfachen Identifikation hoch.Klicke auf Next.
4

SAML-Einstellungen konfigurieren

Gib die folgenden Werte ein:
FeldWert
Single sign-on URLhttps://superb.krea.ai/auth/v1/sso/saml/acs
Audience URI (SP Entity ID)https://superb.krea.ai/auth/v1/sso/saml/metadata
Name ID formatEmailAddress
Application usernameEmail
5

Einrichtung abschließen

Klicke auf Next.Wähle auf der Feedback-Seite „I’m an Okta customer adding an internal app“ und klicke auf Finish.
6

Metadata-URL abrufen

Wechsle auf der Anwendungsseite zum Tab Sign On.Scrolle nach unten zu SAML Signing Certificates und suche die Metadata URL. Klicke auf ActionsView IdP metadata, um die URL zu erhalten.
7

Nutzer zuweisen

Wechsle zum Tab Assignments und weise die Nutzer oder Gruppen zu, die Zugriff auf Krea haben sollen.
Referenz: Okta-Hilfe – SAML-App-Integrationen erstellen ↗

Schritt 3: Deinen IdP mit Krea verbinden

Stelle im Krea-Modal die Metadaten deines IdP bereit:
Am besten für: Okta und andere IdPs, die eine öffentliche Metadata-URL bereitstellen
  1. Wähle im Krea-Modal den Tab URL
  2. Füge die Metadata URL deines IdP in das Textfeld ein
  3. Klicke auf Änderungen speichern
Die Verwendung einer URL ermöglicht es Krea, aktualisierte Zertifikate automatisch abzurufen, wenn dein IdP sie rotiert.

Schritt 4: Deine Konfiguration testen

1

Inkognito-Fenster öffnen

Verwende ein frisches Inkognito-/privates Browserfenster, um zwischengespeicherte Sitzungen zu vermeiden.
2

Zur Krea-Anmeldung gehen

Navigiere zu krea.ai/login ↗
3

Auf den SSO-Button klicken

Klicke auf der Anmeldeseite auf den Button SSO, um die SAML-Authentifizierung zu starten.
Krea leitet dich nicht automatisch anhand deiner E-Mail-Domain weiter. Du musst auf den SSO-Button klicken, um die SAML-Authentifizierung zu nutzen. Nutzer können sich weiterhin mit E-Mail und Passwort anmelden, sofern ein Passwort gesetzt ist.
4

E-Mail-Adresse eingeben

Gib eine E-Mail-Adresse aus deiner verifizierten Domain ein (z. B. you@acme.com)
5

Mit deinem IdP authentifizieren

Du solltest zur Anmeldeseite deiner Organisation weitergeleitet werden.
6

Zugriff bestätigen

Nach erfolgreicher Authentifizierung bist du in Krea angemeldet.
Erfolg! Wenn du dich anmelden kannst, ist dein SAML-SSO korrekt konfiguriert. Lade deine Teammitglieder ein, sich über den SSO-Button mit ihrer Arbeits-E-Mail-Adresse anzumelden.

SAML-SSO erzwingen

Sobald SSO konfiguriert und getestet ist, kannst du es für alle Nutzer mit deiner verifizierten Domain erzwingen. So wird sichergestellt, dass sich jeder in deiner Organisation über deinen Identity-Provider authentifiziert. SSO-Erzwingungs-Schalter in den Workspace-Einstellungen
1

Zu den Workspace-Einstellungen gehen

Navigiere zu Workspace-Einstellungen ↗ und scrolle zum Abschnitt Single Sign-On (SSO).
2

SSO-Erzwingung finden

Suche den Schalter SSO-Erzwingung auf der SSO-Karte für deine verifizierte Domain.
3

Schalter aktivieren

Klicke auf den Schalter, um die SSO-Erzwingung zu aktivieren.
4

Bestätigen

Prüfe den Bestätigungsdialog und bestätige, um die Erzwingung zu aktivieren.
Wenn die Erzwingung aktiviert ist:
  • Alle Nutzer mit deiner verifizierten Domain müssen sich über deinen Identity-Provider anmelden
  • Die Anmeldung per Passwort und Magic Link ist für diese Nutzer deaktiviert
  • Aktuelle Sitzungen bleiben bis zur nächsten Anmeldung bestehen; danach müssen die Nutzer SSO verwenden

Erzwingung deaktivieren

Wenn du die SSO-Erzwingung deaktivieren möchtest:
  1. Gehe zu Workspace-Einstellungen ↗
  2. Suche im Abschnitt Single Sign-On (SSO) den Schalter SSO erzwingen
  3. Klicke auf den Schalter, um die Erzwingung zu deaktivieren
  4. Nutzer können sich wieder per Passwort oder Magic Link anmelden
Das Deaktivieren der Erzwingung deaktiviert nicht SSO selbst – Nutzer können sich weiterhin über den SSO-Button auf der Anmeldeseite per SSO anmelden.

Fehlerbehebung

  • URLs prüfen – Stelle sicher, dass ACS URL und Entity ID exakt wie angezeigt eingegeben sind (keine abschließenden Schrägstriche)
  • Metadata-Zugriff prüfen – Wenn du eine URL verwendest, muss sie öffentlich zugänglich sein
  • Stattdessen XML versuchen – Wenn die URL nicht funktioniert, lade die XML herunter und füge sie direkt ein
  • Zertifikatsablauf prüfen – Abgelaufene IdP-Zertifikate führen dazu, dass die Konfiguration fehlschlägt
  • SSO-Button klicken – Nutzer müssen auf der Anmeldeseite den SSO-Button klicken (nicht nur die E-Mail eingeben)
  • Nutzer im IdP zuweisen – Nutzer müssen der Krea-SAML-App in deinem IdP zugewiesen sein
  • Name ID prüfen – Stelle sicher, dass Name ID in deinem IdP auf das Format E-Mail/EmailAddress gesetzt ist
  • E-Mail-Domain überprüfen – Die E-Mails der Nutzer müssen exakt der verifizierten Domain entsprechen
  • Bereitstellung prüfen – Nutzer müssen möglicherweise zuerst in den Krea-Workspace eingeladen werden
  • Zeitabweichung – Stelle sicher, dass die Uhr deines IdP-Servers korrekt ist (innerhalb von 5 Minuten zur tatsächlichen Zeit)
  • Assertion-Bedingungen – Prüfe, ob die NotBefore/NotOnOrAfter-Bedingungen der SAML-Assertion gültig sind
  • Signaturprobleme – Vergewissere dich, dass das richtige Zertifikat verwendet wird
  • Cookies löschen – Lösche alle Krea-bezogenen Cookies und versuche es erneut
  • ACS URL prüfen – Stelle sicher, dass die ACS URL in deinem IdP keine Tippfehler enthält
  • Domain überprüfen – Vergewissere dich, dass die Domain-Verifizierung weiterhin aktiv ist

SSO verwalten

SSO-Status einsehen

  1. Gehe zu Workspace-Einstellungen ↗
  2. Scrolle zum Abschnitt Domain-Verwaltung
  3. Die SSO-Karte zeigt:
    • Status Aktiviert mit grüner Anzeige
    • Deine verifizierte Domain
    • Schaltfläche Konfigurieren, um Einstellungen anzupassen

IdP-Metadaten aktualisieren

Wenn du deine IdP-Metadaten aktualisieren musst (z. B. nach einer Zertifikatsrotation):
  1. Gehe zu Workspace-Einstellungen ↗
  2. Klicke im Abschnitt Domain-Verwaltung auf Konfigurieren auf der SSO-Karte
  3. Aktualisiere die Metadata-URL oder das XML
  4. Klicke auf Änderungen speichern

SSO deaktivieren

Wenn du SSO deaktivierst, müssen sich alle Nutzer per E-Mail und Passwort anmelden. Stelle sicher, dass die Nutzer ein Passwort gesetzt haben, bevor du SSO deaktivierst.
  1. Gehe zu Workspace-Einstellungen ↗
  2. Klicke im Abschnitt Domain-Verwaltung auf Konfigurieren auf der SSO-Karte
  3. Klicke unten im Modal auf SSO deaktivieren
  4. Bestätige die Aktion

Brauchst du Hilfe?

Enterprise-Support

Wende dich an unser Enterprise-Support-Team unter support@krea.ai

Sales-Team

Fragen zu Enterprise-Plänen? Schreib an sales@krea.ai