> ## Documentation Index
> Fetch the complete documentation index at: https://www.krea.ai/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# SAML-SSO-Einrichtung

> Konfiguriere SAML Single Sign-On für deinen Krea-Enterprise-Workspace mit deinem Identity-Provider, um eine sichere, zentralisierte Team-Authentifizierung zu ermöglichen.

<Info>
  **Nur für Krea Enterprise** — SAML-SSO ist ausschließlich für Krea-Enterprise-Kunden verfügbar. [Wende dich an unser Sales-Team](mailto:sales@krea.ai), um mehr über Enterprise-Pläne zu erfahren.
</Info>

Dieser Leitfaden führt dich durch die Konfiguration von SAML Single Sign-On (SSO) für deinen Krea-Workspace. Nach der Konfiguration können sich Nutzer mit E-Mail-Adressen deiner verifizierten Domain über den Identity-Provider (IdP) deiner Organisation anmelden.

## Voraussetzungen

Bevor du beginnst, stelle sicher, dass du Folgendes hast:

<CardGroup cols={2}>
  <Card title="Verifizierte Domain" icon="circle-check">
    Schließe zuerst die [Domain-Verifizierung](/user-guide/help-and-support/domain-verification) ab
  </Card>

  <Card title="Workspace-Rolle" icon="user-shield">
    Du musst **Workspace-Owner** oder **Admin** sein
  </Card>

  <Card title="Identity-Provider-Zugriff" icon="key">
    Admin-Zugriff auf deinen IdP (Okta, Google Workspace usw.)
  </Card>

  <Card title="Enterprise-Plan" icon="building">
    Aktives Krea-Enterprise-Abonnement
  </Card>
</CardGroup>

## Schritt 1: Service-Provider-Details von Krea abrufen

Nach Abschluss der Domain-Verifizierung zeigt das Setup-Modal den Abschnitt zur SAML-Konfiguration an.

![SAML-Konfigurations-Modal](https://s.krea.ai/docs/sso-saml-config-modal.png)

Du benötigst diese beiden Werte, um deinen Identity-Provider zu konfigurieren:

| Feld             | Wert                                               |
| ---------------- | -------------------------------------------------- |
| **ACS URL**      | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
| **Entity ID**    | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
| **Metadata XML** | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |

<Tip>
  Klicke auf das **Kopieren-Symbol** neben jeder URL im Modal, um sie exakt zu übernehmen.
</Tip>

## Schritt 2: Deinen Identity-Provider konfigurieren

Erstelle in deinem Identity-Provider eine SAML-Anwendung mit den Werten aus Schritt 1.

<Tabs>
  <Tab title="Okta">
    <Steps>
      <Step title="Anwendungen aufrufen">
        Melde dich in deiner Okta Admin Console an (typischerweise `https://your-org.okta.com/admin`) und gehe in der Seitenleiste zu **Applications** → **Applications**.
      </Step>

      <Step title="App-Integration erstellen">
        Klicke auf **Create App Integration**.

        Wähle **SAML 2.0** als Anmeldemethode und klicke auf **Next**.
      </Step>

      <Step title="Allgemeine Einstellungen konfigurieren">
        Gib **Krea** als App-Name ein.

        Lade optional ein Logo zur einfachen Identifikation hoch.

        Klicke auf **Next**.
      </Step>

      <Step title="SAML-Einstellungen konfigurieren">
        Gib die folgenden Werte ein:

        | Feld                        | Wert                                               |
        | --------------------------- | -------------------------------------------------- |
        | Single sign-on URL          | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Audience URI (SP Entity ID) | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format              | **EmailAddress**                                   |
        | Application username        | **Email**                                          |
      </Step>

      <Step title="Einrichtung abschließen">
        Klicke auf **Next**.

        Wähle auf der Feedback-Seite „I'm an Okta customer adding an internal app“ und klicke auf **Finish**.
      </Step>

      <Step title="Metadata-URL abrufen">
        Wechsle auf der Anwendungsseite zum Tab **Sign On**.

        Scrolle nach unten zu **SAML Signing Certificates** und suche die **Metadata URL**. Klicke auf **Actions** → **View IdP metadata**, um die URL zu erhalten.
      </Step>

      <Step title="Nutzer zuweisen">
        Wechsle zum Tab **Assignments** und weise die Nutzer oder Gruppen zu, die Zugriff auf Krea haben sollen.
      </Step>
    </Steps>

    <Info>
      Referenz: [Okta-Hilfe – SAML-App-Integrationen erstellen ↗](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm)
    </Info>
  </Tab>

  <Tab title="Google Workspace">
    <Steps>
      <Step title="Admin Console öffnen">
        Melde dich mit einem Super-Administrator-Konto bei der [Google Admin Console ↗](https://admin.google.com) an.

        Gehe zu **Apps** → **Web and mobile apps**.
      </Step>

      <Step title="Benutzerdefinierte SAML-App hinzufügen">
        Klicke auf **Add app** → **Add custom SAML app**.

        Gib **Krea** als App-Namen ein und lade optional ein Logo hoch.

        Klicke auf **Continue**.
      </Step>

      <Step title="IdP-Metadaten herunterladen">
        Auf der Seite **Google Identity Provider details** hast du zwei Optionen:

        **Option 1 (empfohlen):** Klicke auf **Download Metadata**, um die XML-Datei herunterzuladen.

        **Option 2:** Kopiere die **SSO URL**, die **Entity ID** und lade das **Certificate** herunter.

        Klicke auf **Continue**.
      </Step>

      <Step title="Service-Provider-Details konfigurieren">
        Gib die folgenden Werte ein:

        | Feld           | Wert                                               |
        | -------------- | -------------------------------------------------- |
        | ACS URL        | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Entity ID      | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format | **EMAIL**                                          |
        | Name ID        | **Basic Information > Primary email**              |

        Klicke auf **Continue**.
      </Step>

      <Step title="Attribut-Mapping konfigurieren (optional)">
        Für eine grundlegende SSO-Einrichtung kannst du das Attribut-Mapping überspringen.

        Klicke auf **Finish**.
      </Step>

      <Step title="App aktivieren">
        Klicke auf der App-Detailseite auf **User access**.

        Wähle **ON for everyone** (oder konfiguriere für bestimmte Organisationseinheiten).

        Klicke auf **Save**.
      </Step>
    </Steps>

    <Note>
      Google Workspace bietet keine öffentlich zugängliche Metadata-URL. Du musst die Option **Metadata XML** in Krea verwenden (siehe Schritt 3).
    </Note>

    <Info>
      Referenz: [Google Workspace Admin-Hilfe – Benutzerdefinierte SAML-App einrichten ↗](https://support.google.com/a/answer/6087519)
    </Info>
  </Tab>
</Tabs>

## Schritt 3: Deinen IdP mit Krea verbinden

Stelle im Krea-Modal die Metadaten deines IdP bereit:

<Tabs>
  <Tab title="URL (empfohlen)">
    **Am besten für:** Okta und andere IdPs, die eine öffentliche Metadata-URL bereitstellen

    1. Wähle im Krea-Modal den Tab **URL**
    2. Füge die **Metadata URL** deines IdP in das Textfeld ein
    3. Klicke auf **Änderungen speichern**

    <Info>
      Die Verwendung einer URL ermöglicht es Krea, aktualisierte Zertifikate automatisch abzurufen, wenn dein IdP sie rotiert.
    </Info>
  </Tab>

  <Tab title="Metadata XML">
    **Am besten für:** Google Workspace oder wenn deine Metadata-URL nicht öffentlich zugänglich ist

    1. Öffne die heruntergeladene SAML-Metadata-XML-Datei in einem Texteditor
    2. Kopiere den gesamten Inhalt
    3. Wähle im Krea-Modal den Tab **Metadata XML**
    4. Füge den XML-Inhalt in das Textfeld ein
    5. Klicke auf **Änderungen speichern**

    <Warning>
      Wenn du XML verwendest, musst du es manuell aktualisieren, wenn dein IdP Zertifikate rotiert.
    </Warning>
  </Tab>
</Tabs>

## Schritt 4: Deine Konfiguration testen

<Steps>
  <Step title="Inkognito-Fenster öffnen">
    Verwende ein frisches Inkognito-/privates Browserfenster, um zwischengespeicherte Sitzungen zu vermeiden.
  </Step>

  <Step title="Zur Krea-Anmeldung gehen">
    Navigiere zu [krea.ai/login ↗](https://krea.ai/login)
  </Step>

  <Step title="Auf den SSO-Button klicken">
    Klicke auf der Anmeldeseite auf den Button **SSO**, um die SAML-Authentifizierung zu starten.

    <Warning>
      Krea leitet dich nicht automatisch anhand deiner E-Mail-Domain weiter. Du musst auf den **SSO**-Button klicken, um die SAML-Authentifizierung zu nutzen. Nutzer können sich weiterhin mit E-Mail und Passwort anmelden, sofern ein Passwort gesetzt ist.
    </Warning>
  </Step>

  <Step title="E-Mail-Adresse eingeben">
    Gib eine E-Mail-Adresse aus deiner verifizierten Domain ein (z. B. `you@acme.com`)
  </Step>

  <Step title="Mit deinem IdP authentifizieren">
    Du solltest zur Anmeldeseite deiner Organisation weitergeleitet werden.
  </Step>

  <Step title="Zugriff bestätigen">
    Nach erfolgreicher Authentifizierung bist du in Krea angemeldet.
  </Step>
</Steps>

<Check>
  **Erfolg!** Wenn du dich anmelden kannst, ist dein SAML-SSO korrekt konfiguriert. Lade deine Teammitglieder ein, sich über den SSO-Button mit ihrer Arbeits-E-Mail-Adresse anzumelden.
</Check>

## SAML-SSO erzwingen

Sobald SSO konfiguriert und getestet ist, kannst du es für alle Nutzer mit deiner verifizierten Domain erzwingen. So wird sichergestellt, dass sich jeder in deiner Organisation über deinen Identity-Provider authentifiziert.

![SSO-Erzwingungs-Schalter in den Workspace-Einstellungen](https://s.krea.ai/docs/sso-enforcement.png)

<Steps>
  <Step title="Zu den Workspace-Einstellungen gehen">
    Navigiere zu [Workspace-Einstellungen ↗](https://www.krea.ai/settings/workspace-settings) und scrolle zum Abschnitt **Single Sign-On (SSO)**.
  </Step>

  <Step title="SSO-Erzwingung finden">
    Suche den Schalter **SSO-Erzwingung** auf der SSO-Karte für deine verifizierte Domain.
  </Step>

  <Step title="Schalter aktivieren">
    Klicke auf den Schalter, um die SSO-Erzwingung zu aktivieren.
  </Step>

  <Step title="Bestätigen">
    Prüfe den Bestätigungsdialog und bestätige, um die Erzwingung zu aktivieren.
  </Step>
</Steps>

<Warning>
  **Wenn die Erzwingung aktiviert ist:**

  * Alle Nutzer mit deiner verifizierten Domain müssen sich über deinen Identity-Provider anmelden
  * Die Anmeldung per Passwort und Magic Link ist für diese Nutzer deaktiviert
  * Aktuelle Sitzungen bleiben bis zur nächsten Anmeldung bestehen; danach müssen die Nutzer SSO verwenden
</Warning>

### Erzwingung deaktivieren

Wenn du die SSO-Erzwingung deaktivieren möchtest:

1. Gehe zu [Workspace-Einstellungen ↗](https://www.krea.ai/settings/workspace-settings)
2. Suche im Abschnitt **Single Sign-On (SSO)** den Schalter **SSO erzwingen**
3. Klicke auf den Schalter, um die Erzwingung zu deaktivieren
4. Nutzer können sich wieder per Passwort oder Magic Link anmelden

<Note>
  Das Deaktivieren der Erzwingung deaktiviert nicht SSO selbst – Nutzer können sich weiterhin über den SSO-Button auf der Anmeldeseite per SSO anmelden.
</Note>

## Fehlerbehebung

<AccordionGroup>
  <Accordion title="SSO-Konfiguration fehlgeschlagen">
    * **URLs prüfen** – Stelle sicher, dass ACS URL und Entity ID exakt wie angezeigt eingegeben sind (keine abschließenden Schrägstriche)
    * **Metadata-Zugriff prüfen** – Wenn du eine URL verwendest, muss sie öffentlich zugänglich sein
    * **Stattdessen XML versuchen** – Wenn die URL nicht funktioniert, lade die XML herunter und füge sie direkt ein
    * **Zertifikatsablauf prüfen** – Abgelaufene IdP-Zertifikate führen dazu, dass die Konfiguration fehlschlägt
  </Accordion>

  <Accordion title="Nutzer können sich nicht anmelden">
    * **SSO-Button klicken** – Nutzer müssen auf der Anmeldeseite den SSO-Button klicken (nicht nur die E-Mail eingeben)
    * **Nutzer im IdP zuweisen** – Nutzer müssen der Krea-SAML-App in deinem IdP zugewiesen sein
    * **Name ID prüfen** – Stelle sicher, dass Name ID in deinem IdP auf das Format E-Mail/EmailAddress gesetzt ist
    * **E-Mail-Domain überprüfen** – Die E-Mails der Nutzer müssen exakt der verifizierten Domain entsprechen
    * **Bereitstellung prüfen** – Nutzer müssen möglicherweise zuerst in den Krea-Workspace eingeladen werden
  </Accordion>

  <Accordion title="Fehler 'Invalid SAML response'">
    * **Zeitabweichung** – Stelle sicher, dass die Uhr deines IdP-Servers korrekt ist (innerhalb von 5 Minuten zur tatsächlichen Zeit)
    * **Assertion-Bedingungen** – Prüfe, ob die NotBefore/NotOnOrAfter-Bedingungen der SAML-Assertion gültig sind
    * **Signaturprobleme** – Vergewissere dich, dass das richtige Zertifikat verwendet wird
  </Accordion>

  <Accordion title="Weiterleitungsschleife oder leere Seite">
    * **Cookies löschen** – Lösche alle Krea-bezogenen Cookies und versuche es erneut
    * **ACS URL prüfen** – Stelle sicher, dass die ACS URL in deinem IdP keine Tippfehler enthält
    * **Domain überprüfen** – Vergewissere dich, dass die Domain-Verifizierung weiterhin aktiv ist
  </Accordion>
</AccordionGroup>

## SSO verwalten

### SSO-Status einsehen

1. Gehe zu [Workspace-Einstellungen ↗](https://www.krea.ai/settings/workspace-settings)
2. Scrolle zum Abschnitt **Domain-Verwaltung**
3. Die SSO-Karte zeigt:
   * Status **Aktiviert** mit grüner Anzeige
   * Deine verifizierte **Domain**
   * Schaltfläche **Konfigurieren**, um Einstellungen anzupassen

### IdP-Metadaten aktualisieren

Wenn du deine IdP-Metadaten aktualisieren musst (z. B. nach einer Zertifikatsrotation):

1. Gehe zu [Workspace-Einstellungen ↗](https://www.krea.ai/settings/workspace-settings)
2. Klicke im Abschnitt **Domain-Verwaltung** auf **Konfigurieren** auf der SSO-Karte
3. Aktualisiere die Metadata-URL oder das XML
4. Klicke auf **Änderungen speichern**

### SSO deaktivieren

<Warning>
  Wenn du SSO deaktivierst, müssen sich alle Nutzer per E-Mail und Passwort anmelden. Stelle sicher, dass die Nutzer ein Passwort gesetzt haben, bevor du SSO deaktivierst.
</Warning>

1. Gehe zu [Workspace-Einstellungen ↗](https://www.krea.ai/settings/workspace-settings)
2. Klicke im Abschnitt **Domain-Verwaltung** auf **Konfigurieren** auf der SSO-Karte
3. Klicke unten im Modal auf **SSO deaktivieren**
4. Bestätige die Aktion

## Brauchst du Hilfe?

<CardGroup cols={2}>
  <Card title="Enterprise-Support" icon="headset" href="mailto:support@krea.ai">
    Wende dich an unser Enterprise-Support-Team unter **[support@krea.ai](mailto:support@krea.ai)**
  </Card>

  <Card title="Sales-Team" icon="envelope" href="mailto:sales@krea.ai">
    Fragen zu Enterprise-Plänen? Schreib an **[sales@krea.ai](mailto:sales@krea.ai)**
  </Card>
</CardGroup>
