> ## Documentation Index
> Fetch the complete documentation index at: https://www.krea.ai/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Configuración de SAML SSO

> Configura el inicio de sesión único SAML para tu espacio de trabajo de Krea Enterprise con tu proveedor de identidad para habilitar una autenticación de equipo segura y centralizada.

<Info>
  **Solo Krea Enterprise** — SAML SSO está disponible exclusivamente para clientes de Krea Enterprise. [Contacta con nuestro equipo de ventas](mailto:sales@krea.ai) para obtener más información sobre los planes Enterprise.
</Info>

Esta guía te muestra cómo configurar el inicio de sesión único (SSO) con SAML para tu espacio de trabajo de Krea. Una vez configurado, los usuarios con direcciones de correo electrónico de tu dominio verificado podrán iniciar sesión usando el proveedor de identidad (IdP) de tu organización.

## Requisitos previos

Antes de comenzar, asegúrate de tener:

<CardGroup cols={2}>
  <Card title="Dominio verificado" icon="circle-check">
    Completa primero la [Verificación de dominio](/user-guide/help-and-support/domain-verification)
  </Card>

  <Card title="Rol en el espacio de trabajo" icon="user-shield">
    Debes ser **propietario** o **administrador** del espacio de trabajo
  </Card>

  <Card title="Acceso al proveedor de identidad" icon="key">
    Acceso de administrador a tu IdP (Okta, Google Workspace, etc.)
  </Card>

  <Card title="Plan Enterprise" icon="building">
    Suscripción activa a Krea Enterprise
  </Card>
</CardGroup>

## Paso 1: Obtener los detalles del proveedor de servicios de Krea

Después de completar la verificación de dominio, el modal de configuración mostrará la sección de configuración de SAML.

![Modal de configuración de SAML](https://s.krea.ai/docs/sso-saml-config-modal.png)

Necesitarás estos dos valores para configurar tu proveedor de identidad:

| Campo            | Valor                                              |
| ---------------- | -------------------------------------------------- |
| **ACS URL**      | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
| **Entity ID**    | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
| **Metadata XML** | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |

<Tip>
  Haz clic en el **icono de copiar** junto a cada URL en el modal para copiarlas exactamente.
</Tip>

## Paso 2: Configurar tu proveedor de identidad

Crea una aplicación SAML en tu proveedor de identidad usando los valores del Paso 1.

<Tabs>
  <Tab title="Okta">
    <Steps>
      <Step title="Accede a Applications">
        Inicia sesión en tu consola de administración de Okta (normalmente `https://your-org.okta.com/admin`) y ve a **Applications** → **Applications** en la barra lateral.
      </Step>

      <Step title="Crea App Integration">
        Haz clic en **Create App Integration**.

        Selecciona **SAML 2.0** como método de inicio de sesión y haz clic en **Next**.
      </Step>

      <Step title="Configura los ajustes generales">
        Introduce **Krea** como nombre de la aplicación.

        Opcionalmente sube un logotipo para facilitar la identificación.

        Haz clic en **Next**.
      </Step>

      <Step title="Configura los ajustes de SAML">
        Introduce los siguientes valores:

        | Campo                       | Valor                                              |
        | --------------------------- | -------------------------------------------------- |
        | Single sign-on URL          | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Audience URI (SP Entity ID) | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format              | **EmailAddress**                                   |
        | Application username        | **Email**                                          |
      </Step>

      <Step title="Completa la configuración">
        Haz clic en **Next**.

        En la página Feedback, selecciona "I'm an Okta customer adding an internal app" y haz clic en **Finish**.
      </Step>

      <Step title="Obtén la URL de metadatos">
        En la página de la aplicación, ve a la pestaña **Sign On**.

        Desplázate hasta **SAML Signing Certificates** y busca la **Metadata URL**. Haz clic en **Actions** → **View IdP metadata** para obtener la URL.
      </Step>

      <Step title="Asigna usuarios">
        Ve a la pestaña **Assignments** y asigna a los usuarios o grupos que deban tener acceso a Krea.
      </Step>
    </Steps>

    <Info>
      Referencia: [Ayuda de Okta - Crear integraciones de aplicaciones SAML ↗](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm)
    </Info>
  </Tab>

  <Tab title="Google Workspace">
    <Steps>
      <Step title="Abre la consola de administración">
        Inicia sesión en la [Consola de administración de Google ↗](https://admin.google.com) con una cuenta de superadministrador.

        Ve a **Apps** → **Web and mobile apps**.
      </Step>

      <Step title="Añade una aplicación SAML personalizada">
        Haz clic en **Add app** → **Add custom SAML app**.

        Introduce **Krea** como nombre de la aplicación y opcionalmente sube un logotipo.

        Haz clic en **Continue**.
      </Step>

      <Step title="Descarga los metadatos del IdP">
        En la página **Google Identity Provider details**, tienes dos opciones:

        **Opción 1 (Recomendada):** Haz clic en **Download Metadata** para descargar el archivo XML.

        **Opción 2:** Copia la **SSO URL**, el **Entity ID** y descarga el **Certificate**.

        Haz clic en **Continue**.
      </Step>

      <Step title="Configura los detalles del proveedor de servicios">
        Introduce los siguientes valores:

        | Campo          | Valor                                              |
        | -------------- | -------------------------------------------------- |
        | ACS URL        | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Entity ID      | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format | **EMAIL**                                          |
        | Name ID        | **Basic Information > Primary email**              |

        Haz clic en **Continue**.
      </Step>

      <Step title="Configura el mapeo de atributos (Opcional)">
        Puedes omitir el mapeo de atributos para una configuración básica de SSO.

        Haz clic en **Finish**.
      </Step>

      <Step title="Activa la aplicación">
        En la página de detalles de la aplicación, haz clic en **User access**.

        Selecciona **ON for everyone** (o configúralo para unidades organizativas específicas).

        Haz clic en **Save**.
      </Step>
    </Steps>

    <Note>
      Google Workspace no proporciona una URL de metadatos públicamente accesible. Necesitarás usar la opción **Metadata XML** en Krea (consulta el Paso 3).
    </Note>

    <Info>
      Referencia: [Ayuda de administración de Google Workspace - Configurar aplicación SAML personalizada ↗](https://support.google.com/a/answer/6087519)
    </Info>
  </Tab>
</Tabs>

## Paso 3: Conectar tu IdP a Krea

De vuelta en el modal de Krea, proporciona los metadatos de tu IdP:

<Tabs>
  <Tab title="URL (Recomendado)">
    **Ideal para:** Okta y otros IdP que proporcionan una URL de metadatos pública

    1. En el modal de Krea, selecciona la pestaña **URL**
    2. Pega la **URL de metadatos** de tu IdP en el campo de texto
    3. Haz clic en **Save changes**

    <Info>
      Usar una URL permite a Krea obtener automáticamente certificados actualizados cuando tu IdP los rota.
    </Info>
  </Tab>

  <Tab title="Metadata XML">
    **Ideal para:** Google Workspace o si tu URL de metadatos no es accesible públicamente

    1. Abre el archivo XML de metadatos SAML descargado en un editor de texto
    2. Copia todo el contenido
    3. En el modal de Krea, selecciona la pestaña **Metadata XML**
    4. Pega el contenido XML en el área de texto
    5. Haz clic en **Save changes**

    <Warning>
      Si usas XML, deberás actualizarlo manualmente cuando tu IdP rote los certificados.
    </Warning>
  </Tab>
</Tabs>

## Paso 4: Probar tu configuración

<Steps>
  <Step title="Abre una ventana de incógnito">
    Usa una ventana de navegador de incógnito/privada nueva para evitar sesiones en caché.
  </Step>

  <Step title="Ve al inicio de sesión de Krea">
    Navega a [krea.ai/login ↗](https://krea.ai/login)
  </Step>

  <Step title="Haz clic en el botón SSO">
    En la página de inicio de sesión, haz clic en el botón **SSO** para iniciar la autenticación SAML.

    <Warning>
      Krea no redirige automáticamente según tu dominio de correo electrónico. Debes hacer clic en el botón **SSO** para usar la autenticación SAML. Los usuarios aún pueden iniciar sesión con correo electrónico y contraseña si tienen una configurada.
    </Warning>
  </Step>

  <Step title="Introduce tu correo electrónico">
    Escribe una dirección de correo electrónico de tu dominio verificado (p. ej., `you@acme.com`)
  </Step>

  <Step title="Autentícate con tu IdP">
    Deberías ser redirigido a la página de inicio de sesión de tu organización.
  </Step>

  <Step title="Confirma el acceso">
    Tras una autenticación exitosa, habrás iniciado sesión en Krea.
  </Step>
</Steps>

<Check>
  **¡Éxito!** Si puedes iniciar sesión, tu SAML SSO está configurado correctamente. Invita a los miembros de tu equipo a usar el botón SSO con su correo electrónico de trabajo para iniciar sesión.
</Check>

## Aplicar SAML SSO

Una vez configurado y probado el SSO, puedes aplicarlo a todos los usuarios con tu dominio verificado. Esto garantiza que todos en tu organización se autentiquen a través de tu proveedor de identidad.

![Conmutador de aplicación de SSO en la configuración del espacio de trabajo](https://s.krea.ai/docs/sso-enforcement.png)

<Steps>
  <Step title="Ve a la configuración del espacio de trabajo">
    Navega a [Configuración del espacio de trabajo ↗](https://www.krea.ai/settings/workspace-settings) y desplázate hasta la sección **Single Sign-On (SSO)**.
  </Step>

  <Step title="Localiza Aplicación de SSO">
    Encuentra el conmutador **SSO Enforcement** en la tarjeta de SSO para tu dominio verificado.
  </Step>

  <Step title="Activa el conmutador">
    Haz clic en el conmutador para habilitar la aplicación de SSO.
  </Step>

  <Step title="Confirma">
    Revisa el cuadro de diálogo de confirmación y confirma para habilitar la aplicación.
  </Step>
</Steps>

<Warning>
  **Cuando la aplicación está habilitada:**

  * Todos los usuarios con tu dominio verificado deberán iniciar sesión a través de tu proveedor de identidad
  * El inicio de sesión con contraseña y el enlace mágico se deshabilitarán para estos usuarios
  * Las sesiones actuales continuarán hasta el próximo inicio de sesión del usuario, momento en el que deberá usar SSO
</Warning>

### Deshabilitar la aplicación

Si necesitas deshabilitar la aplicación de SSO:

1. Ve a [Configuración del espacio de trabajo ↗](https://www.krea.ai/settings/workspace-settings)
2. En la sección **Single Sign-On (SSO)**, busca el conmutador **Enforce SSO**
3. Haz clic en el conmutador para deshabilitar la aplicación
4. Los usuarios recuperarán la posibilidad de iniciar sesión con contraseña o enlace mágico

<Note>
  Deshabilitar la aplicación no deshabilita el SSO en sí: los usuarios aún pueden optar por iniciar sesión a través de SSO usando el botón SSO en la página de inicio de sesión.
</Note>

## Solución de problemas

<AccordionGroup>
  <Accordion title="No se pudo configurar el SSO">
    * **Comprueba las URL** — Asegúrate de que la ACS URL y el Entity ID sean exactamente como se muestran (sin barras al final)
    * **Verifica el acceso a los metadatos** — Si usas una URL, asegúrate de que sea accesible públicamente
    * **Prueba con XML** — Si la URL no funciona, descarga y pega el XML directamente
    * **Comprueba la caducidad del certificado** — Los certificados de IdP caducados harán que la configuración falle
  </Accordion>

  <Accordion title="Los usuarios no pueden iniciar sesión">
    * **Haz clic en el botón SSO** — Los usuarios deben hacer clic en el botón SSO en la página de inicio de sesión (no solo introducir su correo electrónico)
    * **Asigna usuarios en el IdP** — Los usuarios deben estar asignados a la aplicación SAML de Krea en tu IdP
    * **Comprueba el Name ID** — Verifica que el Name ID esté establecido en formato email/EmailAddress en tu IdP
    * **Verifica el dominio de correo electrónico** — Los correos electrónicos de los usuarios deben coincidir exactamente con el dominio verificado
    * **Comprueba el aprovisionamiento de usuarios** — Es posible que los usuarios necesiten ser invitados primero al espacio de trabajo de Krea
  </Accordion>

  <Accordion title="Error 'Invalid SAML response'">
    * **Desfase del reloj** — Asegúrate de que el reloj del servidor de tu IdP sea preciso (con un margen de 5 minutos respecto a la hora real)
    * **Condiciones de la aserción** — Comprueba que las condiciones NotBefore/NotOnOrAfter de la aserción SAML sean válidas
    * **Problemas con la firma** — Verifica que se esté usando el certificado correcto
  </Accordion>

  <Accordion title="Bucle de redirección o página en blanco">
    * **Borra las cookies** — Borra todas las cookies relacionadas con Krea e inténtalo de nuevo
    * **Comprueba la ACS URL** — Asegúrate de que no haya errores tipográficos en la ACS URL configurada en tu IdP
    * **Verifica el dominio** — Confirma que la verificación de dominio sigue activa
  </Accordion>
</AccordionGroup>

## Gestión del SSO

### Visualización del estado del SSO

1. Ve a [Configuración del espacio de trabajo ↗](https://www.krea.ai/settings/workspace-settings)
2. Desplázate hasta la sección **Gestión de dominios**
3. La tarjeta de SSO muestra:
   * Estado **Habilitado** con un indicador verde
   * Tu **dominio** verificado
   * Botón **Configurar** para modificar los ajustes

### Actualización de los metadatos del IdP

Si necesitas actualizar los metadatos de tu IdP (p. ej., después de la rotación de certificados):

1. Ve a [Configuración del espacio de trabajo ↗](https://www.krea.ai/settings/workspace-settings)
2. En la sección **Gestión de dominios**, haz clic en **Configurar** en la tarjeta de SSO
3. Actualiza la URL de metadatos o el XML
4. Haz clic en **Save changes**

### Deshabilitación del SSO

<Warning>
  Deshabilitar el SSO requerirá que todos los usuarios inicien sesión con correo electrónico y contraseña. Asegúrate de que los usuarios tengan contraseñas configuradas antes de deshabilitarlo.
</Warning>

1. Ve a [Configuración del espacio de trabajo ↗](https://www.krea.ai/settings/workspace-settings)
2. En la sección **Gestión de dominios**, haz clic en **Configurar** en la tarjeta de SSO
3. Haz clic en **Disable SSO** en la parte inferior del modal
4. Confirma la acción

## ¿Necesitas ayuda?

<CardGroup cols={2}>
  <Card title="Soporte Enterprise" icon="headset" href="mailto:support@krea.ai">
    Contacta con nuestro equipo de soporte empresarial en **[support@krea.ai](mailto:support@krea.ai)**
  </Card>

  <Card title="Equipo de ventas" icon="envelope" href="mailto:sales@krea.ai">
    ¿Tienes preguntas sobre los planes Enterprise? Escribe a **[sales@krea.ai](mailto:sales@krea.ai)**
  </Card>
</CardGroup>
