> ## Documentation Index
> Fetch the complete documentation index at: https://www.krea.ai/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# SAML SSO सेटअप

> सुरक्षित, केंद्रीकृत टीम प्रमाणीकरण सक्षम करने के लिए अपने पहचान प्रदाता के साथ Krea Enterprise वर्कस्पेस हेतु SAML Single Sign-On कॉन्फ़िगर करें।

<Info>
  **केवल Krea Enterprise** — SAML SSO केवल Krea Enterprise ग्राहकों के लिए विशेष रूप से उपलब्ध है। Enterprise प्लान्स के बारे में अधिक जानने के लिए [हमारी सेल्स टीम से संपर्क करें](mailto:sales@krea.ai)।
</Info>

यह गाइड आपको अपने Krea वर्कस्पेस के लिए SAML Single Sign-On (SSO) कॉन्फ़िगर करने की प्रक्रिया के माध्यम से ले जाती है। कॉन्फ़िगर हो जाने के बाद, आपके सत्यापित डोमेन से ईमेल पते वाले उपयोगकर्ता आपके ऑर्गनाइज़ेशन के पहचान प्रदाता (IdP) का उपयोग करके लॉग इन कर सकते हैं।

## आवश्यक शर्तें

शुरू करने से पहले, सुनिश्चित करें कि आपके पास है:

<CardGroup cols={2}>
  <Card title="सत्यापित डोमेन" icon="circle-check">
    पहले [Domain Verification](/user-guide/help-and-support/domain-verification) पूरा करें
  </Card>

  <Card title="वर्कस्पेस रोल" icon="user-shield">
    आपका **वर्कस्पेस owner** या **admin** होना आवश्यक है
  </Card>

  <Card title="पहचान प्रदाता एक्सेस" icon="key">
    अपने IdP तक admin एक्सेस (Okta, Google Workspace, आदि)
  </Card>

  <Card title="एंटरप्राइज़ प्लान" icon="building">
    सक्रिय Krea Enterprise सब्सक्रिप्शन
  </Card>
</CardGroup>

## चरण 1: Krea के सर्विस प्रोवाइडर विवरण प्राप्त करें

डोमेन सत्यापन पूरा होने के बाद, सेटअप मोडल SAML कॉन्फ़िगरेशन सेक्शन प्रदर्शित करेगा।

![SAML कॉन्फ़िगरेशन मोडल](https://s.krea.ai/docs/sso-saml-config-modal.png)

अपने पहचान प्रदाता को कॉन्फ़िगर करने के लिए आपको इन दो मानों की आवश्यकता होगी:

| फ़ील्ड           | मान                                                |
| ---------------- | -------------------------------------------------- |
| **ACS URL**      | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
| **Entity ID**    | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
| **Metadata XML** | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |

<Tip>
  उन्हें बिल्कुल वैसा ही कॉपी करने के लिए मोडल में प्रत्येक URL के बगल में **copy icon** पर क्लिक करें।
</Tip>

## चरण 2: अपना पहचान प्रदाता कॉन्फ़िगर करें

चरण 1 के मानों का उपयोग करके अपने पहचान प्रदाता में एक SAML एप्लिकेशन बनाएँ।

<Tabs>
  <Tab title="Okta">
    <Steps>
      <Step title="Applications तक पहुँचें">
        अपने Okta Admin Console (आमतौर पर `https://your-org.okta.com/admin`) में लॉग इन करें और साइडबार में **Applications** → **Applications** पर जाएँ।
      </Step>

      <Step title="App Integration बनाएँ">
        **Create App Integration** पर क्लिक करें।

        साइन-इन विधि के रूप में **SAML 2.0** चुनें और **Next** पर क्लिक करें।
      </Step>

      <Step title="General Settings कॉन्फ़िगर करें">
        App name के रूप में **Krea** दर्ज करें।

        वैकल्पिक रूप से आसान पहचान के लिए एक लोगो अपलोड करें।

        **Next** पर क्लिक करें।
      </Step>

      <Step title="SAML Settings कॉन्फ़िगर करें">
        निम्नलिखित मान दर्ज करें:

        | फ़ील्ड                      | मान                                                |
        | --------------------------- | -------------------------------------------------- |
        | Single sign-on URL          | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Audience URI (SP Entity ID) | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format              | **EmailAddress**                                   |
        | Application username        | **Email**                                          |
      </Step>

      <Step title="सेटअप पूरा करें">
        **Next** पर क्लिक करें।

        Feedback पृष्ठ पर, "I'm an Okta customer adding an internal app" चुनें और **Finish** पर क्लिक करें।
      </Step>

      <Step title="Metadata URL प्राप्त करें">
        एप्लिकेशन पेज पर, **Sign On** टैब पर जाएँ।

        **SAML Signing Certificates** तक नीचे स्क्रॉल करें और **Metadata URL** ढूँढें। URL प्राप्त करने के लिए **Actions** → **View IdP metadata** पर क्लिक करें।
      </Step>

      <Step title="उपयोगकर्ता असाइन करें">
        **Assignments** टैब पर जाएँ और उन उपयोगकर्ताओं या समूहों को असाइन करें जिन्हें Krea तक एक्सेस होनी चाहिए।
      </Step>
    </Steps>

    <Info>
      संदर्भ: [Okta Help - Create SAML App Integrations ↗](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm)
    </Info>
  </Tab>

  <Tab title="Google Workspace">
    <Steps>
      <Step title="Admin Console खोलें">
        सुपर एडमिनिस्ट्रेटर खाते के साथ [Google Admin Console ↗](https://admin.google.com) में लॉग इन करें।

        **Apps** → **Web and mobile apps** पर जाएँ।
      </Step>

      <Step title="Custom SAML App जोड़ें">
        **Add app** → **Add custom SAML app** पर क्लिक करें।

        app name के रूप में **Krea** दर्ज करें और वैकल्पिक रूप से एक लोगो अपलोड करें।

        **Continue** पर क्लिक करें।
      </Step>

      <Step title="IdP Metadata डाउनलोड करें">
        **Google Identity Provider details** पेज पर, आपके पास दो विकल्प हैं:

        **विकल्प 1 (अनुशंसित):** XML फ़ाइल डाउनलोड करने के लिए **Download Metadata** पर क्लिक करें।

        **विकल्प 2:** **SSO URL**, **Entity ID** कॉपी करें और **Certificate** डाउनलोड करें।

        **Continue** पर क्लिक करें।
      </Step>

      <Step title="सर्विस प्रोवाइडर विवरण कॉन्फ़िगर करें">
        निम्नलिखित मान दर्ज करें:

        | फ़ील्ड         | मान                                                |
        | -------------- | -------------------------------------------------- |
        | ACS URL        | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Entity ID      | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format | **EMAIL**                                          |
        | Name ID        | **Basic Information > Primary email**              |

        **Continue** पर क्लिक करें।
      </Step>

      <Step title="Attribute Mapping कॉन्फ़िगर करें (वैकल्पिक)">
        बेसिक SSO सेटअप के लिए आप attribute mapping को छोड़ सकते हैं।

        **Finish** पर क्लिक करें।
      </Step>

      <Step title="ऐप चालू करें">
        ऐप विवरण पेज पर, **User access** पर क्लिक करें।

        **ON for everyone** चुनें (या विशिष्ट संगठनात्मक इकाइयों के लिए कॉन्फ़िगर करें)।

        **Save** पर क्लिक करें।
      </Step>
    </Steps>

    <Note>
      Google Workspace सार्वजनिक रूप से सुलभ metadata URL प्रदान नहीं करता। आपको Krea में **Metadata XML** विकल्प का उपयोग करना होगा (चरण 3 देखें)।
    </Note>

    <Info>
      संदर्भ: [Google Workspace Admin Help - Set Up Custom SAML App ↗](https://support.google.com/a/answer/6087519)
    </Info>
  </Tab>
</Tabs>

## चरण 3: अपने IdP को Krea से कनेक्ट करें

Krea मोडल में वापस, अपने IdP का metadata प्रदान करें:

<Tabs>
  <Tab title="URL (अनुशंसित)">
    **इनके लिए सर्वोत्तम:** Okta और अन्य IdPs जो सार्वजनिक metadata URL प्रदान करते हैं

    1. Krea मोडल में, **URL** टैब चुनें
    2. अपने IdP का **Metadata URL** टेक्स्ट फ़ील्ड में पेस्ट करें
    3. **Save changes** पर क्लिक करें

    <Info>
      URL का उपयोग करने से Krea को आपके IdP द्वारा सर्टिफिकेट्स को रोटेट करने पर स्वचालित रूप से अपडेटेड सर्टिफिकेट्स प्राप्त करने की अनुमति मिलती है।
    </Info>
  </Tab>

  <Tab title="Metadata XML">
    **इनके लिए सर्वोत्तम:** Google Workspace या यदि आपका metadata URL सार्वजनिक रूप से सुलभ नहीं है

    1. डाउनलोड की गई SAML metadata XML फ़ाइल को टेक्स्ट एडिटर में खोलें
    2. सभी सामग्री कॉपी करें
    3. Krea मोडल में, **Metadata XML** टैब चुनें
    4. XML सामग्री को टेक्स्ट क्षेत्र में पेस्ट करें
    5. **Save changes** पर क्लिक करें

    <Warning>
      यदि आप XML का उपयोग करते हैं, तो आपके IdP द्वारा सर्टिफिकेट रोटेट करने पर आपको इसे मैन्युअल रूप से अपडेट करना होगा।
    </Warning>
  </Tab>
</Tabs>

## चरण 4: अपना कॉन्फ़िगरेशन परीक्षण करें

<Steps>
  <Step title="Incognito विंडो खोलें">
    कैश्ड सत्रों से बचने के लिए एक ताज़ा incognito/private ब्राउज़र विंडो का उपयोग करें।
  </Step>

  <Step title="Krea लॉगिन पर जाएँ">
    [krea.ai/login ↗](https://krea.ai/login) पर जाएँ
  </Step>

  <Step title="SSO बटन पर क्लिक करें">
    लॉगिन पेज पर, SAML प्रमाणीकरण शुरू करने के लिए **SSO** बटन पर क्लिक करें।

    <Warning>
      Krea आपके ईमेल डोमेन के आधार पर स्वचालित रूप से रीडायरेक्ट नहीं करता है। SAML प्रमाणीकरण का उपयोग करने के लिए आपको **SSO** बटन पर क्लिक करना होगा। यदि उपयोगकर्ताओं ने पासवर्ड सेट किया है, तो वे ईमेल और पासवर्ड से अभी भी लॉग इन कर सकते हैं।
    </Warning>
  </Step>

  <Step title="अपना ईमेल दर्ज करें">
    अपने सत्यापित डोमेन से एक ईमेल पता टाइप करें (जैसे, `you@acme.com`)
  </Step>

  <Step title="अपने IdP से प्रमाणित करें">
    आपको आपके ऑर्गनाइज़ेशन के लॉगिन पेज पर रीडायरेक्ट किया जाना चाहिए।
  </Step>

  <Step title="एक्सेस की पुष्टि करें">
    सफल प्रमाणीकरण के बाद, आप Krea में लॉग इन हो जाएँगे।
  </Step>
</Steps>

<Check>
  **सफलता!** यदि आप लॉग इन कर सकते हैं, तो आपका SAML SSO सही ढंग से कॉन्फ़िगर है। अपनी टीम के सदस्यों को साइन इन करने के लिए अपने कार्य ईमेल के साथ SSO बटन का उपयोग करने के लिए आमंत्रित करें।
</Check>

## SAML SSO लागू करें

SSO कॉन्फ़िगर और परीक्षण होने के बाद, आप इसे अपने सत्यापित डोमेन वाले सभी उपयोगकर्ताओं के लिए लागू कर सकते हैं। यह सुनिश्चित करता है कि आपके ऑर्गनाइज़ेशन का हर व्यक्ति आपके पहचान प्रदाता के माध्यम से प्रमाणित हो।

![वर्कस्पेस सेटिंग्स में SSO Enforcement टॉगल](https://s.krea.ai/docs/sso-enforcement.png)

<Steps>
  <Step title="Workspace Settings पर जाएँ">
    [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings) पर जाएँ और **Single Sign-On (SSO)** सेक्शन तक स्क्रॉल करें।
  </Step>

  <Step title="SSO Enforcement ढूँढें">
    अपने सत्यापित डोमेन के लिए SSO कार्ड पर **SSO Enforcement** टॉगल ढूँढें।
  </Step>

  <Step title="टॉगल सक्षम करें">
    SSO enforcement सक्षम करने के लिए टॉगल पर क्लिक करें।
  </Step>

  <Step title="पुष्टि करें">
    पुष्टिकरण डायलॉग की समीक्षा करें और enforcement सक्षम करने के लिए पुष्टि करें।
  </Step>
</Steps>

<Warning>
  **जब enforcement सक्षम होता है:**

  * आपके सत्यापित डोमेन वाले सभी उपयोगकर्ताओं को आपके पहचान प्रदाता के माध्यम से साइन इन करना अनिवार्य होगा
  * इन उपयोगकर्ताओं के लिए पासवर्ड और मैजिक लिंक लॉगिन अक्षम कर दिए जाएँगे
  * वर्तमान सत्र उपयोगकर्ता के अगले लॉगिन तक जारी रहेंगे, जिस बिंदु पर उन्हें SSO का उपयोग करना होगा
</Warning>

### Enforcement अक्षम करना

यदि आपको SSO enforcement अक्षम करने की आवश्यकता है:

1. [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings) पर जाएँ
2. **Single Sign-On (SSO)** सेक्शन में, **Enforce SSO** टॉगल ढूँढें
3. enforcement अक्षम करने के लिए टॉगल पर क्लिक करें
4. उपयोगकर्ताओं को पासवर्ड या मैजिक लिंक से लॉग इन करने की क्षमता पुनः प्राप्त होगी

<Note>
  Enforcement अक्षम करने से SSO स्वयं अक्षम नहीं होता — उपयोगकर्ता अभी भी लॉगिन पेज पर SSO बटन का उपयोग करके SSO के माध्यम से लॉग इन करना चुन सकते हैं।
</Note>

## समस्या निवारण

<AccordionGroup>
  <Accordion title="SSO कॉन्फ़िगर करने में विफल">
    * **URLs की जाँच करें** — सुनिश्चित करें कि ACS URL और Entity ID बिल्कुल वैसे ही हैं जैसा दिखाया गया है (कोई trailing slash नहीं)
    * **metadata एक्सेस सत्यापित करें** — यदि URL का उपयोग कर रहे हैं, सुनिश्चित करें कि यह सार्वजनिक रूप से सुलभ है
    * **इसके बजाय XML आज़माएँ** — यदि URL काम नहीं करता है, तो XML डाउनलोड करके सीधे पेस्ट करें
    * **सर्टिफिकेट एक्सपायरी की जाँच करें** — समाप्त हो चुके IdP सर्टिफिकेट कॉन्फ़िगरेशन विफल करने का कारण बनेंगे
  </Accordion>

  <Accordion title="उपयोगकर्ता लॉग इन नहीं कर सकते">
    * **SSO बटन पर क्लिक करें** — उपयोगकर्ताओं को लॉगिन पेज पर SSO बटन पर क्लिक करना होगा (केवल अपना ईमेल दर्ज करने के बजाय)
    * **IdP में उपयोगकर्ता असाइन करें** — उपयोगकर्ताओं को आपके IdP में Krea SAML ऐप को असाइन करना होगा
    * **Name ID की जाँच करें** — सत्यापित करें कि आपके IdP में Name ID email/EmailAddress फ़ॉर्मेट पर सेट है
    * **ईमेल डोमेन सत्यापित करें** — उपयोगकर्ता ईमेल बिल्कुल सत्यापित डोमेन से मेल खाने चाहिए
    * **उपयोगकर्ता प्रोविज़निंग की जाँच करें** — पहले उपयोगकर्ताओं को Krea वर्कस्पेस में आमंत्रित करने की आवश्यकता हो सकती है
  </Accordion>

  <Accordion title="'Invalid SAML response' त्रुटि मिल रही है">
    * **Clock skew** — सुनिश्चित करें कि आपके IdP सर्वर की घड़ी सटीक है (वास्तविक समय के 5 मिनट के भीतर)
    * **Assertion conditions** — जाँच करें कि SAML assertion की NotBefore/NotOnOrAfter शर्तें वैध हैं
    * **Signature समस्याएँ** — सत्यापित करें कि सही सर्टिफिकेट का उपयोग किया जा रहा है
  </Accordion>

  <Accordion title="Redirect loop या खाली पेज">
    * **कुकीज़ साफ़ करें** — सभी Krea-संबंधित कुकीज़ साफ़ करें और फिर से प्रयास करें
    * **ACS URL की जाँच करें** — सुनिश्चित करें कि आपके IdP में कॉन्फ़िगर किए गए ACS URL में कोई टाइपो नहीं है
    * **डोमेन सत्यापित करें** — पुष्टि करें कि डोमेन सत्यापन अभी भी सक्रिय है
  </Accordion>
</AccordionGroup>

## SSO प्रबंधन

### SSO स्थिति देखना

1. [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings) पर जाएँ
2. **Domain Management** सेक्शन तक स्क्रॉल करें
3. SSO कार्ड दिखाता है:
   * हरे इंडिकेटर के साथ **Enabled** स्थिति
   * आपका सत्यापित **domain**
   * सेटिंग्स संशोधित करने के लिए **Configure** बटन

### IdP Metadata अपडेट करना

यदि आपको अपना IdP metadata अपडेट करना है (जैसे, सर्टिफिकेट रोटेशन के बाद):

1. [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings) पर जाएँ
2. **Domain Management** सेक्शन में, SSO कार्ड पर **Configure** पर क्लिक करें
3. metadata URL या XML अपडेट करें
4. **Save changes** पर क्लिक करें

### SSO अक्षम करना

<Warning>
  SSO अक्षम करने पर सभी उपयोगकर्ताओं को ईमेल और पासवर्ड से लॉग इन करना होगा। अक्षम करने से पहले सुनिश्चित करें कि उपयोगकर्ताओं के पास पासवर्ड सेट है।
</Warning>

1. [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings) पर जाएँ
2. **Domain Management** सेक्शन में, SSO कार्ड पर **Configure** पर क्लिक करें
3. मोडल के निचले हिस्से में **Disable SSO** पर क्लिक करें
4. कार्रवाई की पुष्टि करें

## सहायता चाहिए?

<CardGroup cols={2}>
  <Card title="एंटरप्राइज़ सपोर्ट" icon="headset" href="mailto:support@krea.ai">
    हमारी एंटरप्राइज़ सपोर्ट टीम से **[support@krea.ai](mailto:support@krea.ai)** पर संपर्क करें
  </Card>

  <Card title="सेल्स टीम" icon="envelope" href="mailto:sales@krea.ai">
    Enterprise प्लान्स के बारे में प्रश्न? **[sales@krea.ai](mailto:sales@krea.ai)** पर ईमेल करें
  </Card>
</CardGroup>
