Перейти к основному содержанию
Только Krea Enterprise — SAML SSO доступен исключительно для клиентов Krea Enterprise. Свяжитесь с отделом продаж, чтобы узнать больше о корпоративных тарифах.
Это руководство проведёт вас по настройке SAML Single Sign-On (SSO) для вашего рабочего пространства Krea. После настройки пользователи с e-mail-адресами из вашего подтверждённого домена смогут входить в систему через провайдер идентификации (IdP) вашей организации.

Предварительные требования

Прежде чем начать, убедитесь, что у вас есть:

Подтверждённый домен

Сначала выполните подтверждение домена

Роль в рабочем пространстве

Вы должны быть владельцем или администратором рабочего пространства

Доступ к провайдеру идентификации

Административный доступ к вашему IdP (Okta, Google Workspace и т. д.)

Корпоративный тариф

Активная подписка Krea Enterprise

Шаг 1: Получите параметры Service Provider Krea

После завершения подтверждения домена в модальном окне настройки появится раздел SAML-конфигурации. Модальное окно SAML-конфигурации Для настройки провайдера идентификации вам потребуются эти два значения:
ПолеЗначение
ACS URLhttps://superb.krea.ai/auth/v1/sso/saml/acs
Entity IDhttps://superb.krea.ai/auth/v1/sso/saml/metadata
Metadata XMLhttps://superb.krea.ai/auth/v1/sso/saml/metadata
Нажмите значок копирования рядом с каждым URL в модальном окне, чтобы скопировать их точно.

Шаг 2: Настройте провайдер идентификации

Создайте SAML-приложение в вашем провайдере идентификации, используя значения из шага 1.
1

Откройте Applications

Войдите в Okta Admin Console (обычно https://your-org.okta.com/admin) и перейдите в ApplicationsApplications в боковой панели.
2

Создайте App Integration

Нажмите Create App Integration.Выберите SAML 2.0 в качестве метода входа и нажмите Next.
3

Настройте общие параметры

Введите Krea в качестве App name.При желании загрузите логотип для удобной идентификации.Нажмите Next.
4

Настройте параметры SAML

Введите следующие значения:
ПолеЗначение
Single sign-on URLhttps://superb.krea.ai/auth/v1/sso/saml/acs
Audience URI (SP Entity ID)https://superb.krea.ai/auth/v1/sso/saml/metadata
Name ID formatEmailAddress
Application usernameEmail
5

Завершите настройку

Нажмите Next.На странице Feedback выберите «I’m an Okta customer adding an internal app» и нажмите Finish.
6

Получите Metadata URL

На странице приложения перейдите на вкладку Sign On.Прокрутите вниз до SAML Signing Certificates и найдите Metadata URL. Нажмите ActionsView IdP metadata, чтобы получить URL.
7

Назначьте пользователей

Перейдите на вкладку Assignments и назначьте пользователей или группы, которые должны иметь доступ к Krea.
Справка: Помощь Okta — Create SAML App Integrations ↗

Шаг 3: Подключите ваш IdP к Krea

Вернитесь в модальное окно Krea и укажите метаданные вашего IdP:
Лучше всего для: Okta и других IdP, предоставляющих публичный URL метаданных
  1. В модальном окне Krea выберите вкладку URL
  2. Вставьте Metadata URL вашего IdP в текстовое поле
  3. Нажмите Save changes
Использование URL позволяет Krea автоматически получать обновлённые сертификаты при их ротации в вашем IdP.

Шаг 4: Проверьте вашу конфигурацию

1

Откройте окно инкогнито

Используйте новое окно браузера в режиме инкогнито/приватного просмотра, чтобы избежать кэшированных сессий.
2

Перейдите на страницу входа Krea

Перейдите по адресу krea.ai/login ↗
3

Нажмите кнопку SSO

На странице входа нажмите кнопку SSO, чтобы инициировать SAML-аутентификацию.
Krea не выполняет автоматическое перенаправление на основе вашего e-mail-домена. Чтобы использовать SAML-аутентификацию, необходимо нажать кнопку SSO. Пользователи также могут входить с помощью e-mail и пароля, если он у них настроен.
4

Введите ваш e-mail

Введите e-mail-адрес из вашего подтверждённого домена (например, you@acme.com)
5

Пройдите аутентификацию через ваш IdP

Вы должны быть перенаправлены на страницу входа вашей организации.
6

Подтвердите доступ

После успешной аутентификации вы будете авторизованы в Krea.
Успех! Если вы смогли войти, значит, SAML SSO настроен правильно. Пригласите членов команды использовать кнопку SSO с их рабочим e-mail для входа.

Принудительное использование SAML SSO

После настройки и проверки SSO вы можете сделать его обязательным для всех пользователей с вашим подтверждённым доменом. Это гарантирует, что все в вашей организации аутентифицируются через ваш провайдер идентификации. Переключатель принудительного SSO в настройках рабочего пространства
1

Перейдите в настройки рабочего пространства

Перейдите в Workspace Settings ↗ и прокрутите до раздела Single Sign-On (SSO).
2

Найдите SSO Enforcement

Найдите переключатель SSO Enforcement на карточке SSO для вашего подтверждённого домена.
3

Включите переключатель

Нажмите переключатель, чтобы включить принудительное использование SSO.
4

Подтвердите

Просмотрите диалог подтверждения и подтвердите включение принудительного использования.
Когда принудительное использование включено:
  • Все пользователи с вашим подтверждённым доменом будут обязаны входить через ваш провайдер идентификации
  • Вход по паролю и magic link будет отключён для этих пользователей
  • Текущие сессии будут продолжаться до следующего входа пользователя, после чего ему придётся использовать SSO

Отключение принудительного использования

Если вам нужно отключить принудительное использование SSO:
  1. Перейдите в Workspace Settings ↗
  2. В разделе Single Sign-On (SSO) найдите переключатель Enforce SSO
  3. Нажмите переключатель, чтобы отключить принудительное использование
  4. Пользователи снова получат возможность входить с помощью пароля или magic link
Отключение принудительного использования не отключает сам SSO — пользователи всё ещё смогут входить через SSO с помощью кнопки SSO на странице входа.

Устранение неполадок

  • Проверьте URL — убедитесь, что ACS URL и Entity ID указаны точно как показано (без завершающих слэшей)
  • Проверьте доступ к метаданным — если используете URL, убедитесь, что он публично доступен
  • Попробуйте XML — если URL не работает, скачайте и вставьте XML напрямую
  • Проверьте срок действия сертификата — просроченные сертификаты IdP приведут к ошибке настройки
  • Нажмите кнопку SSO — пользователи должны нажать кнопку SSO на странице входа (а не просто ввести e-mail)
  • Назначьте пользователей в IdP — пользователи должны быть назначены SAML-приложению Krea в вашем IdP
  • Проверьте Name ID — убедитесь, что Name ID задан в формате email/EmailAddress в вашем IdP
  • Проверьте e-mail-домен — e-mail пользователей должны точно соответствовать подтверждённому домену
  • Проверьте provisioning пользователей — возможно, пользователей нужно сначала пригласить в рабочее пространство Krea
  • Расхождение часов — убедитесь, что часы сервера IdP точны (в пределах 5 минут от фактического времени)
  • Условия assertion — проверьте, что условия NotBefore/NotOnOrAfter SAML-assertion действительны
  • Проблемы с подписью — убедитесь, что используется правильный сертификат
  • Очистите cookies — удалите все cookies, связанные с Krea, и попробуйте снова
  • Проверьте ACS URL — убедитесь в отсутствии опечаток в ACS URL, настроенном в вашем IdP
  • Проверьте домен — убедитесь, что подтверждение домена всё ещё активно

Управление SSO

Просмотр состояния SSO

  1. Перейдите в Workspace Settings ↗
  2. Прокрутите до раздела Domain Management
  3. Карточка SSO показывает:
    • Статус Enabled с зелёным индикатором
    • Ваш подтверждённый домен
    • Кнопку Configure для изменения настроек

Обновление метаданных IdP

Если вам нужно обновить метаданные IdP (например, после ротации сертификата):
  1. Перейдите в Workspace Settings ↗
  2. В разделе Domain Management нажмите Configure на карточке SSO
  3. Обновите URL или XML метаданных
  4. Нажмите Save changes

Отключение SSO

Отключение SSO потребует от всех пользователей входить с помощью e-mail и пароля. Убедитесь, что у пользователей установлены пароли, прежде чем отключать.
  1. Перейдите в Workspace Settings ↗
  2. В разделе Domain Management нажмите Configure на карточке SSO
  3. Нажмите Disable SSO внизу модального окна
  4. Подтвердите действие

Нужна помощь?

Корпоративная поддержка

Свяжитесь с нашей корпоративной поддержкой по адресу support@krea.ai

Отдел продаж

Вопросы о корпоративных тарифах? Напишите на sales@krea.ai