> ## Documentation Index
> Fetch the complete documentation index at: https://www.krea.ai/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Configuration SAML SSO

> Configurez l'authentification unique SAML pour votre espace de travail Krea Enterprise avec votre fournisseur d'identité afin de mettre en place une authentification d'équipe sécurisée et centralisée.

<Info>
  **Réservé à Krea Enterprise** — Le SSO SAML est disponible exclusivement pour les clients Krea Enterprise. [Contactez notre équipe commerciale](mailto:sales@krea.ai) pour en savoir plus sur les offres Enterprise.
</Info>

Ce guide vous accompagne dans la configuration de l'authentification unique (SSO) SAML pour votre espace de travail Krea. Une fois configurée, les utilisateurs dont l'adresse e-mail provient de votre domaine vérifié pourront se connecter à l'aide du fournisseur d'identité (IdP) de votre organisation.

## Prérequis

Avant de commencer, assurez-vous d'avoir :

<CardGroup cols={2}>
  <Card title="Domaine vérifié" icon="circle-check">
    Effectuez d'abord la [vérification de domaine](/user-guide/help-and-support/domain-verification)
  </Card>

  <Card title="Rôle dans l'espace de travail" icon="user-shield">
    Vous devez être **propriétaire** ou **administrateur** de l'espace de travail
  </Card>

  <Card title="Accès au fournisseur d'identité" icon="key">
    Accès administrateur à votre IdP (Okta, Google Workspace, etc.)
  </Card>

  <Card title="Plan Enterprise" icon="building">
    Abonnement Krea Enterprise actif
  </Card>
</CardGroup>

## Étape 1 : Récupérer les détails du fournisseur de services Krea

Après avoir terminé la vérification de domaine, la fenêtre de configuration affiche la section de configuration SAML.

![Fenêtre modale de configuration SAML](https://s.krea.ai/docs/sso-saml-config-modal.png)

Vous aurez besoin de ces deux valeurs pour configurer votre fournisseur d'identité :

| Champ            | Valeur                                             |
| ---------------- | -------------------------------------------------- |
| **ACS URL**      | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
| **Entity ID**    | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
| **Metadata XML** | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |

<Tip>
  Cliquez sur l'**icône de copie** située à côté de chaque URL dans la fenêtre pour les copier à l'identique.
</Tip>

## Étape 2 : Configurer votre fournisseur d'identité

Créez une application SAML dans votre fournisseur d'identité en utilisant les valeurs de l'étape 1.

<Tabs>
  <Tab title="Okta">
    <Steps>
      <Step title="Accédez aux Applications">
        Connectez-vous à votre console d'administration Okta (généralement `https://your-org.okta.com/admin`) et allez dans **Applications** → **Applications** dans la barre latérale.
      </Step>

      <Step title="Créez une intégration d'application">
        Cliquez sur **Create App Integration**.

        Sélectionnez **SAML 2.0** comme méthode de connexion et cliquez sur **Next**.
      </Step>

      <Step title="Configurez les paramètres généraux">
        Saisissez **Krea** comme nom d'application.

        Vous pouvez éventuellement télécharger un logo pour faciliter l'identification.

        Cliquez sur **Next**.
      </Step>

      <Step title="Configurez les paramètres SAML">
        Saisissez les valeurs suivantes :

        | Champ                       | Valeur                                             |
        | --------------------------- | -------------------------------------------------- |
        | Single sign-on URL          | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Audience URI (SP Entity ID) | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format              | **EmailAddress**                                   |
        | Application username        | **Email**                                          |
      </Step>

      <Step title="Terminez la configuration">
        Cliquez sur **Next**.

        Sur la page Feedback, sélectionnez « I'm an Okta customer adding an internal app » et cliquez sur **Finish**.
      </Step>

      <Step title="Récupérez l'URL des métadonnées">
        Sur la page de l'application, allez dans l'onglet **Sign On**.

        Faites défiler jusqu'à **SAML Signing Certificates** et trouvez la **Metadata URL**. Cliquez sur **Actions** → **View IdP metadata** pour obtenir l'URL.
      </Step>

      <Step title="Attribuez les utilisateurs">
        Allez dans l'onglet **Assignments** et attribuez les utilisateurs ou groupes qui doivent avoir accès à Krea.
      </Step>
    </Steps>

    <Info>
      Référence : [Aide Okta - Créer des intégrations d'applications SAML ↗](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm)
    </Info>
  </Tab>

  <Tab title="Google Workspace">
    <Steps>
      <Step title="Ouvrez la console d'administration">
        Connectez-vous à la [console d'administration Google ↗](https://admin.google.com) avec un compte super administrateur.

        Allez dans **Apps** → **Web and mobile apps**.
      </Step>

      <Step title="Ajoutez une application SAML personnalisée">
        Cliquez sur **Add app** → **Add custom SAML app**.

        Saisissez **Krea** comme nom d'application et téléchargez éventuellement un logo.

        Cliquez sur **Continue**.
      </Step>

      <Step title="Téléchargez les métadonnées de l'IdP">
        Sur la page **Google Identity Provider details**, vous avez deux options :

        **Option 1 (recommandée) :** cliquez sur **Download Metadata** pour télécharger le fichier XML.

        **Option 2 :** copiez l'**SSO URL**, l'**Entity ID** et téléchargez le **Certificate**.

        Cliquez sur **Continue**.
      </Step>

      <Step title="Configurez les détails du fournisseur de services">
        Saisissez les valeurs suivantes :

        | Champ          | Valeur                                             |
        | -------------- | -------------------------------------------------- |
        | ACS URL        | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Entity ID      | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format | **EMAIL**                                          |
        | Name ID        | **Basic Information > Primary email**              |

        Cliquez sur **Continue**.
      </Step>

      <Step title="Configurez le mappage des attributs (optionnel)">
        Vous pouvez ignorer le mappage des attributs pour une configuration SSO de base.

        Cliquez sur **Finish**.
      </Step>

      <Step title="Activez l'application">
        Sur la page des détails de l'application, cliquez sur **User access**.

        Sélectionnez **ON for everyone** (ou configurez pour des unités organisationnelles spécifiques).

        Cliquez sur **Save**.
      </Step>
    </Steps>

    <Note>
      Google Workspace ne fournit pas d'URL de métadonnées accessible publiquement. Vous devrez utiliser l'option **Metadata XML** dans Krea (voir l'étape 3).
    </Note>

    <Info>
      Référence : [Aide Google Workspace Admin - Configurer une application SAML personnalisée ↗](https://support.google.com/a/answer/6087519)
    </Info>
  </Tab>
</Tabs>

## Étape 3 : Connecter votre IdP à Krea

De retour dans la fenêtre Krea, fournissez les métadonnées de votre IdP :

<Tabs>
  <Tab title="URL (recommandé)">
    **Idéal pour :** Okta et les autres IdP qui fournissent une URL de métadonnées publique

    1. Dans la fenêtre Krea, sélectionnez l'onglet **URL**
    2. Collez la **Metadata URL** de votre IdP dans le champ de texte
    3. Cliquez sur **Save changes**

    <Info>
      L'utilisation d'une URL permet à Krea de récupérer automatiquement les certificats mis à jour lorsque votre IdP les renouvelle.
    </Info>
  </Tab>

  <Tab title="Metadata XML">
    **Idéal pour :** Google Workspace ou si votre URL de métadonnées n'est pas accessible publiquement

    1. Ouvrez le fichier XML de métadonnées SAML téléchargé dans un éditeur de texte
    2. Copiez tout le contenu
    3. Dans la fenêtre Krea, sélectionnez l'onglet **Metadata XML**
    4. Collez le contenu XML dans la zone de texte
    5. Cliquez sur **Save changes**

    <Warning>
      Si vous utilisez le XML, vous devrez le mettre à jour manuellement lors du renouvellement des certificats de votre IdP.
    </Warning>
  </Tab>
</Tabs>

## Étape 4 : Tester votre configuration

<Steps>
  <Step title="Ouvrez une fenêtre de navigation privée">
    Utilisez une fenêtre de navigation privée vierge pour éviter les sessions mises en cache.
  </Step>

  <Step title="Allez sur la page de connexion Krea">
    Accédez à [krea.ai/login ↗](https://krea.ai/login)
  </Step>

  <Step title="Cliquez sur le bouton SSO">
    Sur la page de connexion, cliquez sur le bouton **SSO** pour lancer l'authentification SAML.

    <Warning>
      Krea ne redirige pas automatiquement en fonction de votre domaine d'e-mail. Vous devez cliquer sur le bouton **SSO** pour utiliser l'authentification SAML. Les utilisateurs peuvent toujours se connecter avec leur e-mail et mot de passe s'ils en ont défini un.
    </Warning>
  </Step>

  <Step title="Saisissez votre adresse e-mail">
    Saisissez une adresse e-mail de votre domaine vérifié (par ex. `you@acme.com`)
  </Step>

  <Step title="Authentifiez-vous avec votre IdP">
    Vous devriez être redirigé vers la page de connexion de votre organisation.
  </Step>

  <Step title="Confirmez l'accès">
    Après une authentification réussie, vous serez connecté à Krea.
  </Step>
</Steps>

<Check>
  **Réussi !** Si vous pouvez vous connecter, votre SSO SAML est correctement configuré. Invitez les membres de votre équipe à utiliser le bouton SSO avec leur e-mail professionnel pour se connecter.
</Check>

## Imposer le SSO SAML

Une fois le SSO configuré et testé, vous pouvez l'imposer à tous les utilisateurs de votre domaine vérifié. Cela garantit que toutes les personnes de votre organisation s'authentifient via votre fournisseur d'identité.

![Bascule d'imposition du SSO dans les paramètres de l'espace de travail](https://s.krea.ai/docs/sso-enforcement.png)

<Steps>
  <Step title="Allez dans les paramètres de l'espace de travail">
    Accédez à [Paramètres de l'espace de travail ↗](https://www.krea.ai/settings/workspace-settings) et faites défiler jusqu'à la section **Authentification unique (SSO)**.
  </Step>

  <Step title="Repérez l'imposition SSO">
    Trouvez la bascule **Imposition SSO** sur la carte SSO pour votre domaine vérifié.
  </Step>

  <Step title="Activez la bascule">
    Cliquez sur la bascule pour activer l'imposition du SSO.
  </Step>

  <Step title="Confirmez">
    Examinez la boîte de dialogue de confirmation et confirmez pour activer l'imposition.
  </Step>
</Steps>

<Warning>
  **Lorsque l'imposition est activée :**

  * Tous les utilisateurs de votre domaine vérifié devront se connecter via votre fournisseur d'identité
  * La connexion par mot de passe et par lien magique sera désactivée pour ces utilisateurs
  * Les sessions en cours se poursuivront jusqu'à la prochaine connexion de l'utilisateur, moment auquel il devra utiliser le SSO
</Warning>

### Désactiver l'imposition

Si vous devez désactiver l'imposition du SSO :

1. Allez dans [Paramètres de l'espace de travail ↗](https://www.krea.ai/settings/workspace-settings)
2. Dans la section **Authentification unique (SSO)**, trouvez la bascule **Imposer le SSO**
3. Cliquez sur la bascule pour désactiver l'imposition
4. Les utilisateurs retrouveront la possibilité de se connecter avec un mot de passe ou un lien magique

<Note>
  La désactivation de l'imposition ne désactive pas le SSO lui-même — les utilisateurs peuvent toujours choisir de se connecter via SSO en utilisant le bouton SSO sur la page de connexion.
</Note>

## Dépannage

<AccordionGroup>
  <Accordion title="Échec de la configuration du SSO">
    * **Vérifiez les URL** — assurez-vous que l'ACS URL et l'Entity ID sont exactement comme indiqué (sans barre oblique finale)
    * **Vérifiez l'accès aux métadonnées** — si vous utilisez une URL, assurez-vous qu'elle est accessible publiquement
    * **Essayez le XML à la place** — si l'URL ne fonctionne pas, téléchargez et collez directement le XML
    * **Vérifiez l'expiration du certificat** — des certificats IdP expirés feront échouer la configuration
  </Accordion>

  <Accordion title="Les utilisateurs ne peuvent pas se connecter">
    * **Cliquez sur le bouton SSO** — les utilisateurs doivent cliquer sur le bouton SSO sur la page de connexion (et pas seulement saisir leur e-mail)
    * **Attribuez les utilisateurs dans l'IdP** — les utilisateurs doivent être attribués à l'application SAML Krea dans votre IdP
    * **Vérifiez le Name ID** — assurez-vous que le Name ID est défini au format e-mail/EmailAddress dans votre IdP
    * **Vérifiez le domaine de messagerie** — les e-mails des utilisateurs doivent correspondre exactement au domaine vérifié
    * **Vérifiez le provisionnement des utilisateurs** — les utilisateurs peuvent avoir besoin d'être invités à l'espace de travail Krea au préalable
  </Accordion>

  <Accordion title="Erreur « Invalid SAML response »">
    * **Décalage d'horloge** — assurez-vous que l'horloge du serveur de votre IdP est précise (à 5 minutes près de l'heure réelle)
    * **Conditions d'assertion** — vérifiez que les conditions NotBefore/NotOnOrAfter de l'assertion SAML sont valides
    * **Problèmes de signature** — vérifiez que le bon certificat est utilisé
  </Accordion>

  <Accordion title="Boucle de redirection ou page blanche">
    * **Effacez les cookies** — supprimez tous les cookies liés à Krea et réessayez
    * **Vérifiez l'ACS URL** — assurez-vous qu'il n'y a pas de fautes de frappe dans l'ACS URL configurée dans votre IdP
    * **Vérifiez le domaine** — confirmez que la vérification de domaine est toujours active
  </Accordion>
</AccordionGroup>

## Gérer le SSO

### Consulter le statut du SSO

1. Allez dans [Paramètres de l'espace de travail ↗](https://www.krea.ai/settings/workspace-settings)
2. Faites défiler jusqu'à la section **Gestion des domaines**
3. La carte SSO affiche :
   * Le statut **Activé** avec un indicateur vert
   * Votre **domaine** vérifié
   * Le bouton **Configurer** pour modifier les paramètres

### Mettre à jour les métadonnées de l'IdP

Si vous devez mettre à jour les métadonnées de votre IdP (par exemple, après un renouvellement de certificat) :

1. Allez dans [Paramètres de l'espace de travail ↗](https://www.krea.ai/settings/workspace-settings)
2. Dans la section **Gestion des domaines**, cliquez sur **Configurer** sur la carte SSO
3. Mettez à jour l'URL ou le XML des métadonnées
4. Cliquez sur **Save changes**

### Désactiver le SSO

<Warning>
  La désactivation du SSO obligera tous les utilisateurs à se connecter avec un e-mail et un mot de passe. Assurez-vous que les utilisateurs ont défini un mot de passe avant de désactiver.
</Warning>

1. Allez dans [Paramètres de l'espace de travail ↗](https://www.krea.ai/settings/workspace-settings)
2. Dans la section **Gestion des domaines**, cliquez sur **Configurer** sur la carte SSO
3. Cliquez sur **Disable SSO** en bas de la fenêtre
4. Confirmez l'action

## Besoin d'aide ?

<CardGroup cols={2}>
  <Card title="Support Entreprise" icon="headset" href="mailto:support@krea.ai">
    Contactez notre équipe de support entreprise à l'adresse **[support@krea.ai](mailto:support@krea.ai)**
  </Card>

  <Card title="Équipe commerciale" icon="envelope" href="mailto:sales@krea.ai">
    Des questions sur les offres Enterprise ? Écrivez à **[sales@krea.ai](mailto:sales@krea.ai)**
  </Card>
</CardGroup>
