> ## Documentation Index
> Fetch the complete documentation index at: https://www.krea.ai/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Pengaturan SAML SSO

> Konfigurasikan SAML Single Sign-On untuk workspace Krea Enterprise Anda dengan identity provider Anda untuk mengaktifkan autentikasi tim yang aman dan terpusat.

<Info>
  **Khusus Krea Enterprise** — SAML SSO tersedia secara eksklusif untuk pelanggan Krea Enterprise. [Hubungi tim sales kami](mailto:sales@krea.ai) untuk mempelajari lebih lanjut tentang paket Enterprise.
</Info>

Panduan ini memandu Anda mengonfigurasi SAML Single Sign-On (SSO) untuk workspace Krea Anda. Setelah dikonfigurasi, pengguna dengan alamat email dari domain terverifikasi Anda dapat masuk menggunakan identity provider (IdP) organisasi Anda.

## Prasyarat

Sebelum memulai, pastikan Anda memiliki:

<CardGroup cols={2}>
  <Card title="Domain Terverifikasi" icon="circle-check">
    Selesaikan [Verifikasi Domain](/user-guide/help-and-support/domain-verification) terlebih dahulu
  </Card>

  <Card title="Peran Workspace" icon="user-shield">
    Anda harus menjadi **workspace owner** atau **admin**
  </Card>

  <Card title="Akses Identity Provider" icon="key">
    Akses admin ke IdP Anda (Okta, Google Workspace, dll.)
  </Card>

  <Card title="Paket Enterprise" icon="building">
    Langganan Krea Enterprise yang aktif
  </Card>
</CardGroup>

## Langkah 1: Dapatkan Detail Service Provider Krea

Setelah menyelesaikan verifikasi domain, modal pengaturan akan menampilkan bagian konfigurasi SAML.

![Modal konfigurasi SAML](https://s.krea.ai/docs/sso-saml-config-modal.png)

Anda memerlukan dua nilai ini untuk mengonfigurasi identity provider Anda:

| Field            | Nilai                                              |
| ---------------- | -------------------------------------------------- |
| **ACS URL**      | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
| **Entity ID**    | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
| **Metadata XML** | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |

<Tip>
  Klik **ikon salin** di samping setiap URL di modal untuk menyalinnya persis.
</Tip>

## Langkah 2: Konfigurasikan Identity Provider Anda

Buat aplikasi SAML di identity provider Anda menggunakan nilai dari Langkah 1.

<Tabs>
  <Tab title="Okta">
    <Steps>
      <Step title="Akses Applications">
        Masuk ke Okta Admin Console (biasanya `https://your-org.okta.com/admin`) dan buka **Applications** → **Applications** di sidebar.
      </Step>

      <Step title="Create App Integration">
        Klik **Create App Integration**.

        Pilih **SAML 2.0** sebagai metode sign-in dan klik **Next**.
      </Step>

      <Step title="Configure General Settings">
        Masukkan **Krea** sebagai nama App.

        Opsional unggah logo untuk identifikasi mudah.

        Klik **Next**.
      </Step>

      <Step title="Configure SAML Settings">
        Masukkan nilai berikut:

        | Field                       | Nilai                                              |
        | --------------------------- | -------------------------------------------------- |
        | Single sign-on URL          | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Audience URI (SP Entity ID) | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format              | **EmailAddress**                                   |
        | Application username        | **Email**                                          |
      </Step>

      <Step title="Complete Setup">
        Klik **Next**.

        Di halaman Feedback, pilih "I'm an Okta customer adding an internal app" dan klik **Finish**.
      </Step>

      <Step title="Get Metadata URL">
        Di halaman aplikasi, buka tab **Sign On**.

        Gulir ke bawah ke **SAML Signing Certificates** dan temukan **Metadata URL**. Klik **Actions** → **View IdP metadata** untuk mendapatkan URL.
      </Step>

      <Step title="Assign Users">
        Buka tab **Assignments** dan tetapkan pengguna atau grup yang harus memiliki akses ke Krea.
      </Step>
    </Steps>

    <Info>
      Referensi: [Bantuan Okta - Create SAML App Integrations ↗](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm)
    </Info>
  </Tab>

  <Tab title="Google Workspace">
    <Steps>
      <Step title="Buka Admin Console">
        Masuk ke [Google Admin Console ↗](https://admin.google.com) dengan akun super administrator.

        Buka **Apps** → **Web and mobile apps**.
      </Step>

      <Step title="Add Custom SAML App">
        Klik **Add app** → **Add custom SAML app**.

        Masukkan **Krea** sebagai nama app dan opsional unggah logo.

        Klik **Continue**.
      </Step>

      <Step title="Download IdP Metadata">
        Di halaman **Google Identity Provider details**, Anda memiliki dua opsi:

        **Opsi 1 (Direkomendasikan):** Klik **Download Metadata** untuk mengunduh file XML.

        **Opsi 2:** Salin **SSO URL**, **Entity ID**, dan unduh **Certificate**.

        Klik **Continue**.
      </Step>

      <Step title="Configure Service Provider Details">
        Masukkan nilai berikut:

        | Field          | Nilai                                              |
        | -------------- | -------------------------------------------------- |
        | ACS URL        | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Entity ID      | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format | **EMAIL**                                          |
        | Name ID        | **Basic Information > Primary email**              |

        Klik **Continue**.
      </Step>

      <Step title="Configure Attribute Mapping (Opsional)">
        Anda dapat melewati pemetaan atribut untuk pengaturan SSO dasar.

        Klik **Finish**.
      </Step>

      <Step title="Turn On the App">
        Di halaman detail app, klik **User access**.

        Pilih **ON for everyone** (atau konfigurasikan untuk unit organisasi tertentu).

        Klik **Save**.
      </Step>
    </Steps>

    <Note>
      Google Workspace tidak menyediakan URL metadata yang dapat diakses publik. Anda perlu menggunakan opsi **Metadata XML** di Krea (lihat Langkah 3).
    </Note>

    <Info>
      Referensi: [Bantuan Admin Google Workspace - Set Up Custom SAML App ↗](https://support.google.com/a/answer/6087519)
    </Info>
  </Tab>
</Tabs>

## Langkah 3: Hubungkan IdP Anda ke Krea

Kembali ke modal Krea, sediakan metadata IdP Anda:

<Tabs>
  <Tab title="URL (Direkomendasikan)">
    **Terbaik untuk:** Okta dan IdP lain yang menyediakan URL metadata publik

    1. Di modal Krea, pilih tab **URL**
    2. Tempel **Metadata URL** IdP Anda ke kolom teks
    3. Klik **Save changes**

    <Info>
      Menggunakan URL memungkinkan Krea otomatis mengambil sertifikat yang diperbarui ketika IdP Anda merotasinya.
    </Info>
  </Tab>

  <Tab title="Metadata XML">
    **Terbaik untuk:** Google Workspace atau jika URL metadata Anda tidak dapat diakses publik

    1. Buka file XML metadata SAML yang telah diunduh di editor teks
    2. Salin semua isinya
    3. Di modal Krea, pilih tab **Metadata XML**
    4. Tempel konten XML ke area teks
    5. Klik **Save changes**

    <Warning>
      Jika Anda menggunakan XML, Anda perlu memperbaruinya secara manual ketika IdP Anda merotasi sertifikat.
    </Warning>
  </Tab>
</Tabs>

## Langkah 4: Uji Konfigurasi Anda

<Steps>
  <Step title="Buka Jendela Incognito">
    Gunakan jendela browser incognito/privat yang baru untuk menghindari sesi tersimpan.
  </Step>

  <Step title="Buka Halaman Login Krea">
    Buka [krea.ai/login ↗](https://krea.ai/login)
  </Step>

  <Step title="Klik Tombol SSO">
    Di halaman login, klik tombol **SSO** untuk memulai autentikasi SAML.

    <Warning>
      Krea tidak otomatis mengalihkan berdasarkan domain email Anda. Anda harus mengeklik tombol **SSO** untuk menggunakan autentikasi SAML. Pengguna masih dapat masuk dengan email dan password jika mereka memilikinya.
    </Warning>
  </Step>

  <Step title="Masukkan Email Anda">
    Ketik alamat email dari domain terverifikasi Anda (misalnya, `you@acme.com`)
  </Step>

  <Step title="Autentikasi dengan IdP Anda">
    Anda akan diarahkan ke halaman login organisasi Anda.
  </Step>

  <Step title="Konfirmasi Akses">
    Setelah autentikasi berhasil, Anda akan masuk ke Krea.
  </Step>
</Steps>

<Check>
  **Berhasil!** Jika Anda dapat masuk, SAML SSO Anda dikonfigurasi dengan benar. Undang anggota tim Anda untuk menggunakan tombol SSO dengan email kerja mereka untuk masuk.
</Check>

## Wajibkan SAML SSO

Setelah SSO dikonfigurasi dan diuji, Anda dapat mewajibkannya untuk semua pengguna dengan domain terverifikasi Anda. Ini memastikan semua orang di organisasi Anda melakukan autentikasi melalui identity provider Anda.

![Toggle SSO Enforcement di pengaturan workspace](https://s.krea.ai/docs/sso-enforcement.png)

<Steps>
  <Step title="Buka Workspace Settings">
    Buka [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings) dan gulir ke bagian **Single Sign-On (SSO)**.
  </Step>

  <Step title="Temukan SSO Enforcement">
    Temukan toggle **SSO Enforcement** pada kartu SSO untuk domain terverifikasi Anda.
  </Step>

  <Step title="Aktifkan Toggle">
    Klik toggle untuk mengaktifkan SSO enforcement.
  </Step>

  <Step title="Konfirmasi">
    Tinjau dialog konfirmasi dan konfirmasi untuk mengaktifkan enforcement.
  </Step>
</Steps>

<Warning>
  **Ketika enforcement diaktifkan:**

  * Semua pengguna dengan domain terverifikasi Anda akan diwajibkan masuk melalui identity provider Anda
  * Login dengan password dan magic link akan dinonaktifkan untuk pengguna ini
  * Sesi yang sedang aktif akan berlanjut sampai login berikutnya, di mana mereka harus menggunakan SSO
</Warning>

### Menonaktifkan Enforcement

Jika Anda perlu menonaktifkan SSO enforcement:

1. Buka [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. Di bagian **Single Sign-On (SSO)**, temukan toggle **Enforce SSO**
3. Klik toggle untuk menonaktifkan enforcement
4. Pengguna akan kembali memiliki kemampuan untuk masuk dengan password atau magic link

<Note>
  Menonaktifkan enforcement tidak menonaktifkan SSO itu sendiri—pengguna masih dapat memilih untuk masuk via SSO menggunakan tombol SSO di halaman login.
</Note>

## Pemecahan Masalah

<AccordionGroup>
  <Accordion title="Gagal mengonfigurasi SSO">
    * **Periksa URL** — Pastikan ACS URL dan Entity ID persis seperti yang ditampilkan (tanpa garis miring di akhir)
    * **Verifikasi akses metadata** — Jika menggunakan URL, pastikan dapat diakses publik
    * **Coba XML sebagai gantinya** — Jika URL tidak berfungsi, unduh dan tempel XML secara langsung
    * **Periksa kedaluwarsa sertifikat** — Sertifikat IdP yang kedaluwarsa akan menyebabkan konfigurasi gagal
  </Accordion>

  <Accordion title="Pengguna tidak dapat masuk">
    * **Klik tombol SSO** — Pengguna harus mengeklik tombol SSO di halaman login (bukan hanya memasukkan email mereka)
    * **Tetapkan pengguna di IdP** — Pengguna harus ditetapkan ke app SAML Krea di IdP Anda
    * **Periksa Name ID** — Verifikasi Name ID disetel ke format email/EmailAddress di IdP Anda
    * **Verifikasi domain email** — Email pengguna harus cocok persis dengan domain terverifikasi
    * **Periksa provisioning pengguna** — Pengguna mungkin perlu diundang ke workspace Krea terlebih dahulu
  </Accordion>

  <Accordion title="Mendapatkan error 'Invalid SAML response'">
    * **Clock skew** — Pastikan jam server IdP Anda akurat (dalam 5 menit dari waktu sebenarnya)
    * **Kondisi assertion** — Periksa bahwa kondisi NotBefore/NotOnOrAfter dari SAML assertion valid
    * **Masalah signature** — Verifikasi sertifikat yang benar sedang digunakan
  </Accordion>

  <Accordion title="Loop pengalihan atau halaman kosong">
    * **Bersihkan cookies** — Bersihkan semua cookie terkait Krea dan coba lagi
    * **Periksa ACS URL** — Pastikan tidak ada typo di ACS URL yang dikonfigurasi di IdP Anda
    * **Verifikasi domain** — Konfirmasi verifikasi domain masih aktif
  </Accordion>
</AccordionGroup>

## Mengelola SSO

### Melihat Status SSO

1. Buka [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. Gulir ke bagian **Domain Management**
3. Kartu SSO menampilkan:
   * Status **Enabled** dengan indikator hijau
   * **Domain** terverifikasi Anda
   * Tombol **Configure** untuk mengubah pengaturan

### Memperbarui Metadata IdP

Jika Anda perlu memperbarui metadata IdP Anda (misalnya, setelah rotasi sertifikat):

1. Buka [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. Di bagian **Domain Management**, klik **Configure** pada kartu SSO
3. Perbarui metadata URL atau XML
4. Klik **Save changes**

### Menonaktifkan SSO

<Warning>
  Menonaktifkan SSO akan mengharuskan semua pengguna masuk dengan email dan password. Pastikan pengguna telah menyetel password sebelum menonaktifkan.
</Warning>

1. Buka [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. Di bagian **Domain Management**, klik **Configure** pada kartu SSO
3. Klik **Disable SSO** di bagian bawah modal
4. Konfirmasi tindakannya

## Butuh Bantuan?

<CardGroup cols={2}>
  <Card title="Dukungan Enterprise" icon="headset" href="mailto:support@krea.ai">
    Hubungi tim dukungan enterprise kami di **[support@krea.ai](mailto:support@krea.ai)**
  </Card>

  <Card title="Tim Sales" icon="envelope" href="mailto:sales@krea.ai">
    Pertanyaan tentang paket Enterprise? Email **[sales@krea.ai](mailto:sales@krea.ai)**
  </Card>
</CardGroup>
