> ## Documentation Index
> Fetch the complete documentation index at: https://www.krea.ai/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# إعداد SAML SSO

> اضبط تسجيل الدخول الموحّد SAML لمساحة عمل Krea Enterprise الخاصة بك مع موفّر الهوية لتمكين مصادقة فريق آمنة ومركزية.

<Info>
  **Krea Enterprise فقط** — يتوفر SAML SSO حصريًا لعملاء Krea Enterprise. [تواصل مع فريق المبيعات](mailto:sales@krea.ai) لمعرفة المزيد عن خطط Enterprise.
</Info>

يرشدك هذا الدليل خلال ضبط تسجيل الدخول الموحّد SAML (SSO) لمساحة عمل Krea الخاصة بك. بمجرد الضبط، يمكن للمستخدمين الذين تنتمي عناوين بريدهم الإلكتروني إلى نطاقك الموثّق تسجيل الدخول باستخدام موفّر الهوية (IdP) الخاص بمؤسستك.

## المتطلبات الأساسية

قبل أن تبدأ، تأكد من توفر ما يلي:

<CardGroup cols={2}>
  <Card title="نطاق موثّق" icon="circle-check">
    أكمل [توثيق النطاق](/user-guide/help-and-support/domain-verification) أولًا
  </Card>

  <Card title="دور مساحة العمل" icon="user-shield">
    يجب أن تكون **مالك مساحة عمل** أو **مشرفًا**
  </Card>

  <Card title="الوصول إلى موفّر الهوية" icon="key">
    صلاحية المشرف على IdP الخاص بك (Okta، Google Workspace، إلخ.)
  </Card>

  <Card title="خطة Enterprise" icon="building">
    اشتراك Krea Enterprise نشط
  </Card>
</CardGroup>

## الخطوة 1: احصل على تفاصيل موفّر الخدمة من Krea

بعد إكمال توثيق النطاق، ستعرض نافذة الإعداد قسم ضبط SAML.

![نافذة ضبط SAML](https://s.krea.ai/docs/sso-saml-config-modal.png)

ستحتاج إلى هاتين القيمتين لضبط موفّر الهوية الخاص بك:

| الحقل            | القيمة                                             |
| ---------------- | -------------------------------------------------- |
| **ACS URL**      | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
| **Entity ID**    | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
| **Metadata XML** | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |

<Tip>
  انقر على **أيقونة النسخ** بجانب كل عنوان URL في النافذة المنبثقة لنسخها بدقة.
</Tip>

## الخطوة 2: اضبط موفّر الهوية الخاص بك

أنشئ تطبيق SAML في موفّر الهوية الخاص بك باستخدام القيم من الخطوة 1.

<Tabs>
  <Tab title="Okta">
    <Steps>
      <Step title="الوصول إلى Applications">
        سجّل الدخول إلى Okta Admin Console الخاصة بك (عادةً `https://your-org.okta.com/admin`) وانتقل إلى **Applications** ← **Applications** في الشريط الجانبي.
      </Step>

      <Step title="أنشئ App Integration">
        انقر على **Create App Integration**.

        اختر **SAML 2.0** كطريقة تسجيل الدخول وانقر على **Next**.
      </Step>

      <Step title="اضبط الإعدادات العامة">
        أدخل **Krea** كاسم للتطبيق.

        اختياريًا، حمّل شعارًا لتسهيل التعرّف.

        انقر على **Next**.
      </Step>

      <Step title="اضبط إعدادات SAML">
        أدخل القيم التالية:

        | الحقل                       | القيمة                                             |
        | --------------------------- | -------------------------------------------------- |
        | Single sign-on URL          | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Audience URI (SP Entity ID) | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format              | **EmailAddress**                                   |
        | Application username        | **Email**                                          |
      </Step>

      <Step title="أكمل الإعداد">
        انقر على **Next**.

        في صفحة Feedback، اختر "I'm an Okta customer adding an internal app" وانقر على **Finish**.
      </Step>

      <Step title="احصل على عنوان URL لـ Metadata">
        في صفحة التطبيق، انتقل إلى علامة التبويب **Sign On**.

        مرّر للأسفل إلى **SAML Signing Certificates** وابحث عن **Metadata URL**. انقر على **Actions** ← **View IdP metadata** للحصول على عنوان URL.
      </Step>

      <Step title="عيّن المستخدمين">
        انتقل إلى علامة التبويب **Assignments** وعيّن المستخدمين أو المجموعات التي يجب أن تكون لها صلاحية الوصول إلى Krea.
      </Step>
    </Steps>

    <Info>
      مرجع: [مساعدة Okta - إنشاء تكاملات تطبيقات SAML ↗](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm)
    </Info>
  </Tab>

  <Tab title="Google Workspace">
    <Steps>
      <Step title="افتح Admin Console">
        سجّل الدخول إلى [Google Admin Console ↗](https://admin.google.com) باستخدام حساب مشرف عام.

        انتقل إلى **Apps** ← **Web and mobile apps**.
      </Step>

      <Step title="أضف تطبيق SAML مخصصًا">
        انقر على **Add app** ← **Add custom SAML app**.

        أدخل **Krea** كاسم للتطبيق وحمّل شعارًا اختياريًا.

        انقر على **Continue**.
      </Step>

      <Step title="حمّل بيانات IdP الوصفية">
        في صفحة **Google Identity Provider details**، لديك خياران:

        **الخيار 1 (موصى به):** انقر على **Download Metadata** لتنزيل ملف XML.

        **الخيار 2:** انسخ **SSO URL** و**Entity ID**، وحمّل **Certificate**.

        انقر على **Continue**.
      </Step>

      <Step title="اضبط تفاصيل موفّر الخدمة">
        أدخل القيم التالية:

        | الحقل          | القيمة                                             |
        | -------------- | -------------------------------------------------- |
        | ACS URL        | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Entity ID      | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format | **EMAIL**                                          |
        | Name ID        | **Basic Information > Primary email**              |

        انقر على **Continue**.
      </Step>

      <Step title="اضبط تعيين السمات (اختياري)">
        يمكنك تخطي تعيين السمات لإعداد SSO الأساسي.

        انقر على **Finish**.
      </Step>

      <Step title="فعّل التطبيق">
        في صفحة تفاصيل التطبيق، انقر على **User access**.

        اختر **ON for everyone** (أو اضبط لوحدات تنظيمية معيّنة).

        انقر على **Save**.
      </Step>
    </Steps>

    <Note>
      لا يوفّر Google Workspace عنوان URL للبيانات الوصفية يمكن الوصول إليه علنًا. ستحتاج إلى استخدام خيار **Metadata XML** في Krea (راجع الخطوة 3).
    </Note>

    <Info>
      مرجع: [مساعدة مشرف Google Workspace - إعداد تطبيق SAML مخصص ↗](https://support.google.com/a/answer/6087519)
    </Info>
  </Tab>
</Tabs>

## الخطوة 3: اربط موفّر الهوية بـ Krea

عُد إلى نافذة Krea، وقدّم البيانات الوصفية لموفّر الهوية الخاص بك:

<Tabs>
  <Tab title="URL (موصى به)">
    **الأفضل لـ:** Okta وموفّري الهوية الآخرين الذين يقدّمون عنوان URL عامًا للبيانات الوصفية

    1. في نافذة Krea، اختر علامة التبويب **URL**
    2. الصق **Metadata URL** الخاص بـ IdP في حقل النص
    3. انقر على **Save changes**

    <Info>
      يتيح استخدام عنوان URL لـ Krea جلب الشهادات المحدّثة تلقائيًا عندما يدوّرها موفّر الهوية الخاص بك.
    </Info>
  </Tab>

  <Tab title="Metadata XML">
    **الأفضل لـ:** Google Workspace أو إذا كان عنوان URL للبيانات الوصفية غير قابل للوصول علنًا

    1. افتح ملف SAML metadata XML الذي تم تنزيله في محرر نصوص
    2. انسخ كل المحتويات
    3. في نافذة Krea، اختر علامة التبويب **Metadata XML**
    4. الصق محتوى XML في مربع النص
    5. انقر على **Save changes**

    <Warning>
      إذا استخدمت XML، ستحتاج إلى تحديثه يدويًا عندما يدوّر موفّر الهوية الخاص بك الشهادات.
    </Warning>
  </Tab>
</Tabs>

## الخطوة 4: اختبر التهيئة الخاصة بك

<Steps>
  <Step title="افتح نافذة تصفّح متخفٍ">
    استخدم نافذة تصفّح متخفٍ/خاصة جديدة لتجنّب الجلسات المخزّنة مؤقتًا.
  </Step>

  <Step title="انتقل إلى صفحة تسجيل الدخول إلى Krea">
    انتقل إلى [krea.ai/login ↗](https://krea.ai/login)
  </Step>

  <Step title="انقر على زر SSO">
    في صفحة تسجيل الدخول، انقر على زر **SSO** لبدء مصادقة SAML.

    <Warning>
      لا يعيد Krea توجيهك تلقائيًا بناءً على نطاق بريدك الإلكتروني. يجب عليك النقر على زر **SSO** لاستخدام مصادقة SAML. يمكن للمستخدمين تسجيل الدخول بالبريد الإلكتروني وكلمة المرور إذا كانت لديهم كلمة مرور مضبوطة.
    </Warning>
  </Step>

  <Step title="أدخل بريدك الإلكتروني">
    اكتب عنوان بريد إلكتروني من نطاقك الموثّق (مثل `you@acme.com`)
  </Step>

  <Step title="صادق عبر موفّر الهوية الخاص بك">
    يجب أن تتم إعادة توجيهك إلى صفحة تسجيل الدخول الخاصة بمؤسستك.
  </Step>

  <Step title="أكّد الوصول">
    بعد المصادقة الناجحة، سيتم تسجيل دخولك إلى Krea.
  </Step>
</Steps>

<Check>
  **نجاح!** إذا تمكنت من تسجيل الدخول، فإن SAML SSO الخاص بك مضبوط بشكل صحيح. ادعُ أعضاء فريقك لاستخدام زر SSO ببريدهم الإلكتروني للعمل لتسجيل الدخول.
</Check>

## فرض SAML SSO

بمجرد ضبط SSO واختباره، يمكنك فرضه على جميع المستخدمين الذين يستخدمون نطاقك الموثّق. هذا يضمن أن يصادق كل من في مؤسستك عبر موفّر الهوية الخاص بك.

![مفتاح فرض SSO في إعدادات مساحة العمل](https://s.krea.ai/docs/sso-enforcement.png)

<Steps>
  <Step title="انتقل إلى إعدادات مساحة العمل">
    انتقل إلى [إعدادات مساحة العمل ↗](https://www.krea.ai/settings/workspace-settings) ومرّر إلى قسم **Single Sign-On (SSO)**.
  </Step>

  <Step title="حدّد موقع SSO Enforcement">
    ابحث عن مفتاح **SSO Enforcement** في بطاقة SSO لنطاقك الموثّق.
  </Step>

  <Step title="فعّل المفتاح">
    انقر على المفتاح لتفعيل فرض SSO.
  </Step>

  <Step title="أكّد">
    راجع نافذة التأكيد وأكّد لتفعيل الفرض.
  </Step>
</Steps>

<Warning>
  **عند تفعيل الفرض:**

  * سيُطلب من جميع المستخدمين الذين يستخدمون نطاقك الموثّق تسجيل الدخول عبر موفّر الهوية الخاص بك
  * سيتم تعطيل تسجيل الدخول بكلمة المرور ورابط السحر لهؤلاء المستخدمين
  * ستستمر الجلسات الحالية حتى تسجيل دخول المستخدم التالي، وعندها يجب عليه استخدام SSO
</Warning>

### تعطيل الفرض

إذا كنت بحاجة إلى تعطيل فرض SSO:

1. انتقل إلى [إعدادات مساحة العمل ↗](https://www.krea.ai/settings/workspace-settings)
2. في قسم **Single Sign-On (SSO)**، ابحث عن مفتاح **Enforce SSO**
3. انقر على المفتاح لتعطيل الفرض
4. سيستعيد المستخدمون القدرة على تسجيل الدخول بكلمة المرور أو رابط السحر

<Note>
  لا يُعطّل إلغاء الفرض SSO نفسه — لا يزال بإمكان المستخدمين اختيار تسجيل الدخول عبر SSO باستخدام زر SSO في صفحة تسجيل الدخول.
</Note>

## استكشاف الأخطاء وإصلاحها

<AccordionGroup>
  <Accordion title="فشل في ضبط SSO">
    * **تحقق من عناوين URL** — تأكد من أن ACS URL وEntity ID مطابقان تمامًا كما هو معروض (بدون شُرَط مائلة لاحقة)
    * **تحقق من الوصول إلى البيانات الوصفية** — إذا كنت تستخدم عنوان URL، تأكد من أنه يمكن الوصول إليه علنًا
    * **جرّب XML بدلًا من ذلك** — إذا لم يعمل عنوان URL، فقم بتنزيل ملف XML والصقه مباشرة
    * **تحقق من انتهاء صلاحية الشهادة** — ستؤدي شهادات IdP منتهية الصلاحية إلى فشل التهيئة
  </Accordion>

  <Accordion title="المستخدمون لا يستطيعون تسجيل الدخول">
    * **انقر على زر SSO** — يجب على المستخدمين النقر على زر SSO في صفحة تسجيل الدخول (وليس فقط إدخال بريدهم الإلكتروني)
    * **عيّن المستخدمين في IdP** — يجب تعيين المستخدمين لتطبيق Krea SAML في موفّر الهوية الخاص بك
    * **تحقق من Name ID** — تحقق من أن Name ID مضبوط على تنسيق email/EmailAddress في موفّر الهوية الخاص بك
    * **تحقق من نطاق البريد الإلكتروني** — يجب أن تتطابق رسائل البريد الإلكتروني للمستخدمين مع النطاق الموثّق بدقة
    * **تحقق من توفير المستخدمين** — قد يحتاج المستخدمون إلى دعوتهم إلى مساحة عمل Krea أولًا
  </Accordion>

  <Accordion title="ظهور خطأ 'Invalid SAML response'">
    * **انحراف الساعة** — تأكد من أن ساعة خادم موفّر الهوية الخاص بك دقيقة (في حدود 5 دقائق من الوقت الفعلي)
    * **شروط التأكيد** — تحقق من أن شروط NotBefore/NotOnOrAfter في تأكيد SAML صالحة
    * **مشكلات التوقيع** — تحقق من استخدام الشهادة الصحيحة
  </Accordion>

  <Accordion title="حلقة إعادة توجيه أو صفحة فارغة">
    * **امسح ملفات تعريف الارتباط** — امسح كل ملفات تعريف الارتباط المرتبطة بـ Krea وحاول مرة أخرى
    * **تحقق من ACS URL** — تأكد من عدم وجود أخطاء مطبعية في ACS URL المضبوط في موفّر الهوية الخاص بك
    * **تحقق من النطاق** — تأكد من أن توثيق النطاق لا يزال نشطًا
  </Accordion>
</AccordionGroup>

## إدارة SSO

### عرض حالة SSO

1. انتقل إلى [إعدادات مساحة العمل ↗](https://www.krea.ai/settings/workspace-settings)
2. مرّر إلى قسم **Domain Management**
3. تعرض بطاقة SSO:
   * حالة **Enabled** مع مؤشر أخضر
   * **النطاق** الموثّق الخاص بك
   * زر **Configure** لتعديل الإعدادات

### تحديث بيانات IdP الوصفية

إذا كنت بحاجة إلى تحديث البيانات الوصفية لموفّر الهوية الخاص بك (مثلًا بعد تدوير الشهادة):

1. انتقل إلى [إعدادات مساحة العمل ↗](https://www.krea.ai/settings/workspace-settings)
2. في قسم **Domain Management**، انقر على **Configure** في بطاقة SSO
3. حدّث عنوان URL للبيانات الوصفية أو XML
4. انقر على **Save changes**

### تعطيل SSO

<Warning>
  سيتطلب تعطيل SSO من جميع المستخدمين تسجيل الدخول بالبريد الإلكتروني وكلمة المرور. تأكد من أن المستخدمين لديهم كلمات مرور مضبوطة قبل التعطيل.
</Warning>

1. انتقل إلى [إعدادات مساحة العمل ↗](https://www.krea.ai/settings/workspace-settings)
2. في قسم **Domain Management**، انقر على **Configure** في بطاقة SSO
3. انقر على **Disable SSO** في أسفل النافذة المنبثقة
4. أكّد الإجراء

## بحاجة إلى مساعدة؟

<CardGroup cols={2}>
  <Card title="دعم المؤسسات" icon="headset" href="mailto:support@krea.ai">
    تواصل مع فريق دعم المؤسسات على **[support@krea.ai](mailto:support@krea.ai)**
  </Card>

  <Card title="فريق المبيعات" icon="envelope" href="mailto:sales@krea.ai">
    أسئلة حول خطط Enterprise؟ راسل **[sales@krea.ai](mailto:sales@krea.ai)**
  </Card>
</CardGroup>
