> ## Documentation Index
> Fetch the complete documentation index at: https://www.krea.ai/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# SAML SSO セットアップ

> Krea Enterprise ワークスペース向けに、ID プロバイダーで SAML シングルサインオンを構成し、安全で中央集権的なチーム認証を実現します。

<Info>
  **Krea Enterprise 限定** — SAML SSO は Krea Enterprise のお客様のみご利用いただけます。Enterprise プランの詳細については [営業チームまでお問い合わせください](mailto:sales@krea.ai)。
</Info>

このガイドでは、Krea ワークスペース向けに SAML シングルサインオン（SSO）を構成する方法を順を追って説明します。構成が完了すると、認証済みドメインのメールアドレスを持つユーザーは、組織の ID プロバイダー（IdP）を使ってログインできるようになります。

## 前提条件

開始する前に、次が準備されていることを確認してください：

<CardGroup cols={2}>
  <Card title="認証済みドメイン" icon="circle-check">
    まず [ドメイン認証](/user-guide/help-and-support/domain-verification) を完了してください
  </Card>

  <Card title="ワークスペースのロール" icon="user-shield">
    **ワークスペース owner** または **admin** である必要があります
  </Card>

  <Card title="ID プロバイダーへのアクセス" icon="key">
    IdP（Okta、Google Workspace など）への管理者アクセス
  </Card>

  <Card title="エンタープライズプラン" icon="building">
    有効な Krea Enterprise サブスクリプション
  </Card>
</CardGroup>

## ステップ 1：Krea のサービスプロバイダー情報を取得する

ドメイン認証が完了すると、セットアップモーダルに SAML 構成セクションが表示されます。

![SAML 構成モーダル](https://s.krea.ai/docs/sso-saml-config-modal.png)

ID プロバイダーを構成するには、以下の 2 つの値が必要です：

| フィールド            | 値                                                  |
| ---------------- | -------------------------------------------------- |
| **ACS URL**      | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
| **Entity ID**    | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
| **Metadata XML** | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |

<Tip>
  モーダル内の各 URL の隣にある **コピーアイコン** をクリックすると、正確にコピーできます。
</Tip>

## ステップ 2：ID プロバイダーを構成する

ステップ 1 で取得した値を使用して、ID プロバイダーに SAML アプリケーションを作成します。

<Tabs>
  <Tab title="Okta">
    <Steps>
      <Step title="アプリケーションにアクセス">
        Okta 管理コンソール（通常は `https://your-org.okta.com/admin`）にログインし、サイドバーから **Applications** → **Applications** に移動します。
      </Step>

      <Step title="アプリ統合を作成">
        **Create App Integration** をクリックします。

        サインイン方法として **SAML 2.0** を選択し、**Next** をクリックします。
      </Step>

      <Step title="一般設定を構成">
        App name に **Krea** を入力します。

        必要に応じてロゴをアップロードすると識別しやすくなります。

        **Next** をクリックします。
      </Step>

      <Step title="SAML 設定を構成">
        次の値を入力します：

        | フィールド                       | 値                                                  |
        | --------------------------- | -------------------------------------------------- |
        | Single sign-on URL          | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Audience URI (SP Entity ID) | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format              | **EmailAddress**                                   |
        | Application username        | **Email**                                          |
      </Step>

      <Step title="セットアップを完了">
        **Next** をクリックします。

        Feedback ページで「I'm an Okta customer adding an internal app」を選択し、**Finish** をクリックします。
      </Step>

      <Step title="メタデータ URL を取得">
        アプリケーションページで **Sign On** タブに移動します。

        **SAML Signing Certificates** までスクロールし、**Metadata URL** を見つけます。**Actions** → **View IdP metadata** をクリックして URL を取得します。
      </Step>

      <Step title="ユーザーを割り当て">
        **Assignments** タブに移動し、Krea へのアクセス権を付与するユーザーまたはグループを割り当てます。
      </Step>
    </Steps>

    <Info>
      参考：[Okta ヘルプ - SAML アプリ統合の作成 ↗](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm)
    </Info>
  </Tab>

  <Tab title="Google Workspace">
    <Steps>
      <Step title="管理コンソールを開く">
        スーパー管理者アカウントで [Google 管理コンソール ↗](https://admin.google.com) にログインします。

        **Apps** → **Web and mobile apps** に移動します。
      </Step>

      <Step title="カスタム SAML アプリを追加">
        **Add app** → **Add custom SAML app** をクリックします。

        アプリ名として **Krea** を入力し、必要に応じてロゴをアップロードします。

        **Continue** をクリックします。
      </Step>

      <Step title="IdP メタデータをダウンロード">
        **Google Identity Provider details** ページで、2 つの選択肢があります：

        **オプション 1（推奨）：** **Download Metadata** をクリックして XML ファイルをダウンロードします。

        **オプション 2：** **SSO URL**、**Entity ID** をコピーし、**Certificate** をダウンロードします。

        **Continue** をクリックします。
      </Step>

      <Step title="サービスプロバイダーの詳細を構成">
        次の値を入力します：

        | フィールド          | 値                                                  |
        | -------------- | -------------------------------------------------- |
        | ACS URL        | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Entity ID      | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format | **EMAIL**                                          |
        | Name ID        | **Basic Information > Primary email**              |

        **Continue** をクリックします。
      </Step>

      <Step title="属性マッピングを構成（オプション）">
        基本的な SSO セットアップでは、属性マッピングはスキップできます。

        **Finish** をクリックします。
      </Step>

      <Step title="アプリをオンにする">
        アプリ詳細ページで **User access** をクリックします。

        **ON for everyone** を選択します（または特定の組織単位向けに構成）。

        **Save** をクリックします。
      </Step>
    </Steps>

    <Note>
      Google Workspace は公開アクセス可能なメタデータ URL を提供しません。Krea で **Metadata XML** オプションを使用する必要があります（ステップ 3 を参照）。
    </Note>

    <Info>
      参考：[Google Workspace 管理者ヘルプ - カスタム SAML アプリのセットアップ ↗](https://support.google.com/a/answer/6087519)
    </Info>
  </Tab>
</Tabs>

## ステップ 3：IdP を Krea に接続する

Krea のモーダルに戻り、IdP のメタデータを入力します：

<Tabs>
  <Tab title="URL（推奨）">
    **適したケース：** Okta やその他、公開メタデータ URL を提供する IdP

    1. Krea のモーダルで **URL** タブを選択
    2. IdP の **Metadata URL** をテキストフィールドに貼り付け
    3. **Save changes** をクリック

    <Info>
      URL を使用すると、IdP が証明書をローテーションした際に Krea が最新の証明書を自動的に取得できます。
    </Info>
  </Tab>

  <Tab title="Metadata XML">
    **適したケース：** Google Workspace、またはメタデータ URL が公開アクセス可能でない場合

    1. ダウンロードした SAML メタデータ XML ファイルをテキストエディターで開く
    2. すべての内容をコピー
    3. Krea のモーダルで **Metadata XML** タブを選択
    4. XML の内容をテキストエリアに貼り付け
    5. **Save changes** をクリック

    <Warning>
      XML を使用する場合、IdP が証明書をローテーションするたびに手動で更新する必要があります。
    </Warning>
  </Tab>
</Tabs>

## ステップ 4：構成をテストする

<Steps>
  <Step title="シークレットウィンドウを開く">
    キャッシュされたセッションを避けるため、新しいシークレット／プライベートブラウザウィンドウを使用します。
  </Step>

  <Step title="Krea ログインに移動">
    [krea.ai/login ↗](https://krea.ai/login) に移動します
  </Step>

  <Step title="SSO ボタンをクリック">
    ログインページで、**SSO** ボタンをクリックして SAML 認証を開始します。

    <Warning>
      Krea はメールドメインに基づいて自動的にリダイレクトすることはありません。SAML 認証を使用するには、**SSO** ボタンをクリックする必要があります。パスワードが設定されているユーザーは引き続きメールとパスワードでログインできます。
    </Warning>
  </Step>

  <Step title="メールアドレスを入力">
    認証済みドメインのメールアドレス（例：`you@acme.com`）を入力します
  </Step>

  <Step title="IdP で認証">
    組織のログインページにリダイレクトされます。
  </Step>

  <Step title="アクセスを確認">
    認証に成功すると、Krea にログインします。
  </Step>
</Steps>

<Check>
  **成功！** ログインできれば、SAML SSO は正しく構成されています。チームメンバーに、勤務先メールで SSO ボタンを使ってサインインするよう案内してください。
</Check>

## SAML SSO を強制する

SSO の構成とテストが完了したら、認証済みドメインを持つすべてのユーザーに対して SSO を強制できます。これにより、組織内の全員が ID プロバイダーを経由して認証することが保証されます。

![ワークスペース設定の SSO 強制トグル](https://s.krea.ai/docs/sso-enforcement.png)

<Steps>
  <Step title="ワークスペース設定に移動">
    [ワークスペース設定 ↗](https://www.krea.ai/settings/workspace-settings) に移動し、**Single Sign-On (SSO)** セクションまでスクロールします。
  </Step>

  <Step title="SSO 強制を探す">
    認証済みドメインの SSO カードにある **SSO Enforcement** トグルを見つけます。
  </Step>

  <Step title="トグルを有効化">
    トグルをクリックして SSO 強制を有効化します。
  </Step>

  <Step title="確認">
    確認ダイアログを確認し、強制を有効化します。
  </Step>
</Steps>

<Warning>
  **強制が有効な場合：**

  * 認証済みドメインを持つすべてのユーザーは、ID プロバイダー経由でサインインする必要があります
  * 該当ユーザーのパスワードログインおよびマジックリンクログインは無効化されます
  * 現在のセッションは次回ログインまで継続し、その時点で SSO の使用が必須となります
</Warning>

### 強制を無効化する

SSO 強制を無効化する必要がある場合：

1. [ワークスペース設定 ↗](https://www.krea.ai/settings/workspace-settings) に移動
2. **Single Sign-On (SSO)** セクションで **Enforce SSO** トグルを見つける
3. トグルをクリックして強制を無効化
4. ユーザーは再びパスワードまたはマジックリンクでログインできるようになります

<Note>
  強制を無効化しても、SSO 自体が無効になるわけではありません。ユーザーは引き続きログインページの SSO ボタンを使って SSO 経由でログインできます。
</Note>

## トラブルシューティング

<AccordionGroup>
  <Accordion title="SSO の構成に失敗する">
    * **URL を確認** — ACS URL と Entity ID が表示どおり正確であることを確認（末尾のスラッシュなし）
    * **メタデータへのアクセスを確認** — URL を使用する場合、公開アクセス可能であることを確認
    * **代わりに XML を試す** — URL が機能しない場合、XML を直接ダウンロードして貼り付けてください
    * **証明書の有効期限を確認** — 期限切れの IdP 証明書は構成失敗の原因となります
  </Accordion>

  <Accordion title="ユーザーがログインできない">
    * **SSO ボタンをクリック** — ユーザーは（メールを入力するだけでなく）ログインページの SSO ボタンをクリックする必要があります
    * **IdP でユーザーを割り当て** — ユーザーは IdP 内の Krea SAML アプリに割り当てられている必要があります
    * **Name ID を確認** — IdP で Name ID が email/EmailAddress 形式になっているか確認
    * **メールドメインを確認** — ユーザーのメールは認証済みドメインと正確に一致する必要があります
    * **ユーザープロビジョニングを確認** — ユーザーが先に Krea ワークスペースに招待されている必要がある場合があります
  </Accordion>

  <Accordion title="「Invalid SAML response」エラーが出る">
    * **クロックスキュー** — IdP サーバーの時刻が正確（実際の時刻から 5 分以内）であることを確認
    * **アサーションの条件** — SAML アサーションの NotBefore/NotOnOrAfter 条件が有効であることを確認
    * **署名の問題** — 正しい証明書が使用されていることを確認
  </Accordion>

  <Accordion title="リダイレクトループまたは空白ページ">
    * **Cookie をクリア** — Krea 関連の Cookie をすべてクリアして再度試す
    * **ACS URL を確認** — IdP に設定された ACS URL にタイプミスがないか確認
    * **ドメインを確認** — ドメイン認証が引き続き有効であることを確認
  </Accordion>
</AccordionGroup>

## SSO の管理

### SSO ステータスの確認

1. [ワークスペース設定 ↗](https://www.krea.ai/settings/workspace-settings) に移動
2. **Domain Management** セクションまでスクロール
3. SSO カードには以下が表示されます：
   * 緑のインジケーター付きの **Enabled** ステータス
   * 認証済み **ドメイン**
   * 設定変更用の **Configure** ボタン

### IdP メタデータの更新

IdP メタデータを更新する必要がある場合（証明書ローテーション後など）：

1. [ワークスペース設定 ↗](https://www.krea.ai/settings/workspace-settings) に移動
2. **Domain Management** セクションで SSO カードの **Configure** をクリック
3. メタデータ URL または XML を更新
4. **Save changes** をクリック

### SSO の無効化

<Warning>
  SSO を無効化すると、すべてのユーザーがメールとパスワードでログインする必要があります。無効化する前にユーザーがパスワードを設定していることを確認してください。
</Warning>

1. [ワークスペース設定 ↗](https://www.krea.ai/settings/workspace-settings) に移動
2. **Domain Management** セクションで SSO カードの **Configure** をクリック
3. モーダル下部の **Disable SSO** をクリック
4. 操作を確認

## サポートが必要な場合

<CardGroup cols={2}>
  <Card title="エンタープライズサポート" icon="headset" href="mailto:support@krea.ai">
    エンタープライズサポートチームへのお問い合わせは **[support@krea.ai](mailto:support@krea.ai)** まで
  </Card>

  <Card title="営業チーム" icon="envelope" href="mailto:sales@krea.ai">
    Enterprise プランに関するご質問は **[sales@krea.ai](mailto:sales@krea.ai)** まで
  </Card>
</CardGroup>
