> ## Documentation Index
> Fetch the complete documentation index at: https://www.krea.ai/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# 域名验证与捕获

> 在 Krea 中验证您的电子邮件域名所有权，以启用域名捕获、自动注册团队成员，并为您的企业工作区解锁 SAML SSO。

域名验证证明您的组织拥有团队成员使用的电子邮件域名。这是启用 SAML 单点登录 (SSO) 及其他企业安全功能的前提。

<Note>
  在配置 SAML SSO 之前，必须先进行域名验证。请先完成这些步骤，然后再前往 [SAML SSO 设置](/user-guide/help-and-support/saml-sso-setup)。
</Note>

<Tip>
  已验证的域名在[域名捕获](#configure-domain-capture)中默认为**强制（自动注册）**，这意味着使用匹配电子邮件地址的用户在下次登录时会被自动添加到您的工作区。请在验证域名后立即查看捕获模式。
</Tip>

## 前提条件

<CardGroup cols={2}>
  <Card title="工作区角色" icon="user-shield">
    您必须是**工作区所有者**或**管理员**
  </Card>

  <Card title="DNS 访问权限" icon="globe">
    可访问您组织的 DNS 设置（Cloudflare、Route 53、GoDaddy 等）
  </Card>
</CardGroup>

## 为什么要验证您的域名？

域名验证可确保只有授权的管理员才能：

* 配置域名捕获，以便自动邀请或注册使用您域名的用户
* 为使用您公司电子邮件域名的用户启用 SAML SSO
* 管理您组织的身份验证设置
* 控制团队成员如何访问您的 Krea 工作区

## 第 1 步：添加您的域名

<Steps>
  <Step title="打开工作区设置">
    导航至[工作区设置 ↗](https://www.krea.ai/settings/workspace-settings)。

    您也可以点击侧边栏左下角的**工作区头像**，然后选择**设置**。
  </Step>

  <Step title="找到域名管理">
    向下滚动至**域名管理**部分。

    ![域名管理部分](https://s.krea.ai/docs/sso-domain-management.png)
  </Step>

  <Step title="添加您的域名">
    在输入字段中键入您公司的电子邮件域名（例如 `acme.com`），然后点击**添加域名**。
  </Step>
</Steps>

<Tip>
  使用您员工电子邮件地址中的域名部分。例如，如果员工使用 `user@acme.com`，请输入 `acme.com`。
</Tip>

## 第 2 步：添加 DNS TXT 记录

添加域名后，Krea 将显示一个验证令牌。在验证完成之前，您的域名将显示为**等待**。

![验证令牌](https://s.krea.ai/docs/sso-verification-token.png)

您将看到：

* 一个包含**验证令牌**的成功提示（以 `krea-verification=` 开头）
* 您的域名列表显示为**等待**状态
* 一个可复制的 TXT 记录值

<Warning>
  **完全准确地复制令牌** — 包括所有特殊字符。即使一个小错字也会导致验证失败。
</Warning>

### DNS 记录详情

| 字段    | 值                      |
| ----- | ---------------------- |
| 类型    | `TXT`                  |
| 主机/名称 | `@`（或留空，取决于您的 DNS 提供商） |
| 内容/值  | 弹窗中显示的验证令牌             |
| TTL   | `3600`（1 小时）或您提供商的默认值  |

### 按提供商添加记录

<Tabs>
  <Tab title="Cloudflare">
    1. 登录 [Cloudflare 仪表板](https://dash.cloudflare.com)
    2. 选择您的域名
    3. 点击左侧边栏中的 **DNS**
    4. 点击**添加记录**
    5. 将类型设为 `TXT`，名称设为 `@`，并将令牌粘贴到内容中
    6. 点击**保存**

    <Info>
      参考：[Cloudflare DNS 文档 ↗](https://developers.cloudflare.com/dns/manage-dns-records/how-to/create-dns-records/)
    </Info>
  </Tab>

  <Tab title="AWS Route 53">
    1. 打开 [Route 53 控制台](https://console.aws.amazon.com/route53)
    2. 点击**托管区域** → 选择您的域名
    3. 点击**创建记录**
    4. 将记录名称留空，类型设为 `TXT`
    5. 将令牌粘贴到值中（带引号）
    6. 点击**创建记录**

    <Info>
      参考：[AWS Route 53 文档 ↗](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)
    </Info>
  </Tab>

  <Tab title="GoDaddy">
    1. 登录 [GoDaddy](https://godaddy.com) → **我的产品**
    2. 找到您的域名 → 点击 **DNS**
    3. 在记录下点击**添加**
    4. 选择类型 `TXT`，主机 `@`，将令牌粘贴到 TXT 值中
    5. 点击**保存**

    <Info>
      参考：[GoDaddy 帮助 - 添加 TXT 记录 ↗](https://www.godaddy.com/help/add-a-txt-record-19232)
    </Info>
  </Tab>

  <Tab title="Namecheap">
    1. 登录 [Namecheap](https://namecheap.com) → **域名列表**
    2. 点击您域名旁的**管理**
    3. 转到**高级 DNS**选项卡
    4. 点击**添加新记录**
    5. 选择 `TXT Record`，主机 `@`，将令牌粘贴到值中
    6. 点击**保存所有更改**

    <Info>
      参考：[Namecheap 知识库 - TXT 记录 ↗](https://www.namecheap.com/support/knowledgebase/article.aspx/317/2237/how-do-i-add-txtspfdkimdmarc-records-for-my-domain/)
    </Info>
  </Tab>

  <Tab title="Google Domains">
    1. 登录 [Google Domains](https://domains.google.com)
    2. 选择您的域名
    3. 点击左侧菜单中的 **DNS**
    4. 滚动至**自定义记录** → 点击**管理自定义记录**
    5. 点击**创建新记录**
    6. 将类型设为 `TXT`，主机名设为 `@`，将令牌粘贴到数据中
    7. 点击**保存**

    <Info>
      参考：[Google Workspace 管理员帮助 - TXT 记录 ↗](https://support.google.com/a/answer/2716800)
    </Info>
  </Tab>

  <Tab title="其他提供商">
    1. 登录您的 DNS 提供商的仪表板
    2. 导航至您域名的 DNS 设置
    3. 添加新的 TXT 记录
    4. 将主机/名称设为 `@`（或留空）
    5. 将验证令牌粘贴为值
    6. 保存您的更改
  </Tab>
</Tabs>

## 第 3 步：验证您的域名

<Steps>
  <Step title="返回 Krea">
    返回 Krea 中的验证弹窗。
  </Step>

  <Step title="点击验证域名">
    点击**验证域名**按钮。
  </Step>

  <Step title="等待确认">
    Krea 将检查您的 DNS 记录。验证成功后，您将看到成功消息。
  </Step>
</Steps>

<Info>
  **DNS 传播**可能需要几分钟到 72 小时不等。如果验证失败，请等待 5-10 分钟后再试。
</Info>

## 配置域名捕获

域名捕获控制当具有匹配的已验证电子邮件域名的用户登录 Krea 时会发生什么。您可以自动将他们添加到您的工作区、提示他们加入，或不采取任何操作。

### 捕获模式

| 模式     | 设置中的标签  | 行为                                                   |
| ------ | ------- | ---------------------------------------------------- |
| **关闭** | 已禁用     | 用户仅通过管理员直接邀请加入。                                      |
| **可选** | 自动邀请已启用 | 用户会看到"加入您的已验证工作区"弹窗。他们可以接受或忽略（1 周后再次提示）。             |
| **强制** | 自动注册已启用 | 用户在下次登录时被自动添加到您的工作区。他们的活动工作区会自动切换，并会看到一个确认弹窗。无法选择退出。 |

<Warning>
  **默认行为：**新验证的域名默认为**强制（自动注册）**，这意味着使用匹配电子邮件域名的用户将被自动添加到您的工作区。如果这不是您想要的行为，请在验证域名后立即查看并调整捕获模式。
</Warning>

### 设置捕获模式

<Steps>
  <Step title="打开域名管理">
    导航至[工作区设置 ↗](https://www.krea.ai/settings/workspace-settings)，然后滚动至**域名管理**部分。
  </Step>

  <Step title="找到您已验证的域名">
    找到您已验证的域名。请注意，它在验证后会立即默认为**强制（自动注册）**。

    ![域名捕获模式选择器](https://s.krea.ai/docs/domain-capture-management.png)
  </Step>

  <Step title="选择捕获模式">
    使用单选按钮选择**关闭**、**可选（自动邀请）**或**强制（自动注册）**。您的选择将自动保存。
  </Step>
</Steps>

### 关键细节

<AccordionGroup>
  <Accordion title="多个工作区使用同一域名">
    多个工作区可以验证同一电子邮件域名。每个工作区独立管理自己的捕获模式。匹配多个工作区的用户可能会被注册或针对每个工作区被提示加入。
  </Accordion>

  <Accordion title="现有工作区成员">
    已经是您工作区成员的用户不受域名捕获的影响。不会发生重复的邀请或注册操作。
  </Accordion>
</AccordionGroup>

## 故障排查

<AccordionGroup>
  <Accordion title="找不到 DNS 记录">
    * **等待传播** — DNS 更改可能需要长达 72 小时（通常不到 1 小时）
    * **验证您的记录** — 使用 [MXToolbox TXT 查询](https://mxtoolbox.com/TXTLookup.aspx)检查记录是否可见
    * **检查错字** — 确保验证令牌已被准确复制
    * **检查主机字段** — 某些提供商需要 `@`，有些需要留空，有些则需要您的域名
  </Accordion>

  <Accordion title="记录存在但验证仍然失败">
    * **检查重复记录** — 删除任何旧的或重复的 TXT 记录
    * **验证确切值** — 某些提供商会自动添加引号；不要再添加额外的引号
    * **尝试不同的 TTL** — 较低的 TTL 值（300 秒）传播更快
  </Accordion>

  <Accordion title="我无权访问 DNS 设置">
    请联系您的 IT 管理员或管理您组织域名的人员。他们将需要为您添加 TXT 记录。
  </Accordion>
</AccordionGroup>

## 后续步骤

当您的域名通过验证并配置好域名捕获后，您可以继续设置 SAML SSO 以实现集中式身份验证：

<Card title="SAML SSO 设置" icon="key" href="/user-guide/help-and-support/saml-sso-setup">
  为您的 Krea 企业工作区配置单点登录
</Card>
