Krea Enterprise 限定 — SAML SSO は Krea Enterprise のお客様のみご利用いただけます。Enterprise プランの詳細については 営業チームまでお問い合わせください。
前提条件
開始する前に、次が準備されていることを確認してください:認証済みドメイン
まず ドメイン認証 を完了してください
ワークスペースのロール
ワークスペース owner または admin である必要があります
ID プロバイダーへのアクセス
IdP(Okta、Google Workspace など)への管理者アクセス
エンタープライズプラン
有効な Krea Enterprise サブスクリプション
ステップ 1:Krea のサービスプロバイダー情報を取得する
ドメイン認証が完了すると、セットアップモーダルに SAML 構成セクションが表示されます。
ID プロバイダーを構成するには、以下の 2 つの値が必要です:
| フィールド | 値 |
|---|---|
| ACS URL | https://superb.krea.ai/auth/v1/sso/saml/acs |
| Entity ID | https://superb.krea.ai/auth/v1/sso/saml/metadata |
| Metadata XML | https://superb.krea.ai/auth/v1/sso/saml/metadata |
ステップ 2:ID プロバイダーを構成する
ステップ 1 で取得した値を使用して、ID プロバイダーに SAML アプリケーションを作成します。- Okta
- Google Workspace
アプリケーションにアクセス
Okta 管理コンソール(通常は
https://your-org.okta.com/admin)にログインし、サイドバーから Applications → Applications に移動します。SAML 設定を構成
次の値を入力します:
| フィールド | 値 |
|---|---|
| Single sign-on URL | https://superb.krea.ai/auth/v1/sso/saml/acs |
| Audience URI (SP Entity ID) | https://superb.krea.ai/auth/v1/sso/saml/metadata |
| Name ID format | EmailAddress |
| Application username |
セットアップを完了
Next をクリックします。Feedback ページで「I’m an Okta customer adding an internal app」を選択し、Finish をクリックします。
メタデータ URL を取得
アプリケーションページで Sign On タブに移動します。SAML Signing Certificates までスクロールし、Metadata URL を見つけます。Actions → View IdP metadata をクリックして URL を取得します。
ステップ 3:IdP を Krea に接続する
Krea のモーダルに戻り、IdP のメタデータを入力します:- URL(推奨)
- Metadata XML
適したケース: Okta やその他、公開メタデータ URL を提供する IdP
- Krea のモーダルで URL タブを選択
- IdP の Metadata URL をテキストフィールドに貼り付け
- Save changes をクリック
URL を使用すると、IdP が証明書をローテーションした際に Krea が最新の証明書を自動的に取得できます。
ステップ 4:構成をテストする
Krea ログインに移動
krea.ai/login ↗ に移動します
成功! ログインできれば、SAML SSO は正しく構成されています。チームメンバーに、勤務先メールで SSO ボタンを使ってサインインするよう案内してください。
SAML SSO を強制する
SSO の構成とテストが完了したら、認証済みドメインを持つすべてのユーザーに対して SSO を強制できます。これにより、組織内の全員が ID プロバイダーを経由して認証することが保証されます。
ワークスペース設定に移動
ワークスペース設定 ↗ に移動し、Single Sign-On (SSO) セクションまでスクロールします。
強制を無効化する
SSO 強制を無効化する必要がある場合:- ワークスペース設定 ↗ に移動
- Single Sign-On (SSO) セクションで Enforce SSO トグルを見つける
- トグルをクリックして強制を無効化
- ユーザーは再びパスワードまたはマジックリンクでログインできるようになります
強制を無効化しても、SSO 自体が無効になるわけではありません。ユーザーは引き続きログインページの SSO ボタンを使って SSO 経由でログインできます。
トラブルシューティング
SSO の構成に失敗する
SSO の構成に失敗する
- URL を確認 — ACS URL と Entity ID が表示どおり正確であることを確認(末尾のスラッシュなし)
- メタデータへのアクセスを確認 — URL を使用する場合、公開アクセス可能であることを確認
- 代わりに XML を試す — URL が機能しない場合、XML を直接ダウンロードして貼り付けてください
- 証明書の有効期限を確認 — 期限切れの IdP 証明書は構成失敗の原因となります
ユーザーがログインできない
ユーザーがログインできない
- SSO ボタンをクリック — ユーザーは(メールを入力するだけでなく)ログインページの SSO ボタンをクリックする必要があります
- IdP でユーザーを割り当て — ユーザーは IdP 内の Krea SAML アプリに割り当てられている必要があります
- Name ID を確認 — IdP で Name ID が email/EmailAddress 形式になっているか確認
- メールドメインを確認 — ユーザーのメールは認証済みドメインと正確に一致する必要があります
- ユーザープロビジョニングを確認 — ユーザーが先に Krea ワークスペースに招待されている必要がある場合があります
「Invalid SAML response」エラーが出る
「Invalid SAML response」エラーが出る
- クロックスキュー — IdP サーバーの時刻が正確(実際の時刻から 5 分以内)であることを確認
- アサーションの条件 — SAML アサーションの NotBefore/NotOnOrAfter 条件が有効であることを確認
- 署名の問題 — 正しい証明書が使用されていることを確認
リダイレクトループまたは空白ページ
リダイレクトループまたは空白ページ
SSO の管理
SSO ステータスの確認
- ワークスペース設定 ↗ に移動
- Domain Management セクションまでスクロール
- SSO カードには以下が表示されます:
- 緑のインジケーター付きの Enabled ステータス
- 認証済み ドメイン
- 設定変更用の Configure ボタン
IdP メタデータの更新
IdP メタデータを更新する必要がある場合(証明書ローテーション後など):- ワークスペース設定 ↗ に移動
- Domain Management セクションで SSO カードの Configure をクリック
- メタデータ URL または XML を更新
- Save changes をクリック
SSO の無効化
- ワークスペース設定 ↗ に移動
- Domain Management セクションで SSO カードの Configure をクリック
- モーダル下部の Disable SSO をクリック
- 操作を確認
サポートが必要な場合
エンタープライズサポート
エンタープライズサポートチームへのお問い合わせは support@krea.ai まで
営業チーム
Enterprise プランに関するご質問は sales@krea.ai まで