> ## Documentation Index
> Fetch the complete documentation index at: https://www.krea.ai/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# SAML SSO 설정

> ID 공급자를 사용해 Krea 엔터프라이즈 워크스페이스의 SAML Single Sign-On을 구성하여 안전하고 중앙 집중식 팀 인증을 활성화하세요.

<Info>
  **Krea 엔터프라이즈 전용** — SAML SSO는 Krea 엔터프라이즈 고객에게만 제공됩니다. 엔터프라이즈 플랜에 대해 자세히 알아보려면 [영업팀에 문의](mailto:sales@krea.ai)하세요.
</Info>

이 가이드는 Krea 워크스페이스에 SAML Single Sign-On(SSO)을 구성하는 과정을 안내합니다. 구성이 완료되면 인증된 도메인의 이메일 주소를 가진 사용자는 조직의 ID 공급자(IdP)를 사용해 로그인할 수 있습니다.

## 사전 요구 사항

시작하기 전에 다음 사항을 확인하세요:

<CardGroup cols={2}>
  <Card title="인증된 도메인" icon="circle-check">
    먼저 [도메인 인증](/user-guide/help-and-support/domain-verification)을 완료하세요.
  </Card>

  <Card title="워크스페이스 역할" icon="user-shield">
    **워크스페이스 소유자(owner)** 또는 **관리자(admin)** 여야 합니다.
  </Card>

  <Card title="ID 공급자 접근 권한" icon="key">
    IdP(Okta, Google Workspace 등)에 대한 관리자 권한이 필요합니다.
  </Card>

  <Card title="엔터프라이즈 플랜" icon="building">
    활성 상태의 Krea 엔터프라이즈 구독이 필요합니다.
  </Card>
</CardGroup>

## 1단계: Krea의 서비스 공급자 정보 가져오기

도메인 인증을 완료하면 설정 모달에 SAML 구성 섹션이 표시됩니다.

![SAML 구성 모달](https://s.krea.ai/docs/sso-saml-config-modal.png)

ID 공급자를 구성하려면 다음 두 가지 값이 필요합니다:

| 필드               | 값                                                  |
| ---------------- | -------------------------------------------------- |
| **ACS URL**      | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
| **Entity ID**    | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
| **Metadata XML** | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |

<Tip>
  모달에서 각 URL 옆의 **복사 아이콘**을 클릭하면 정확하게 복사할 수 있습니다.
</Tip>

## 2단계: ID 공급자 구성

1단계에서 얻은 값을 사용해 ID 공급자에 SAML 애플리케이션을 만듭니다.

<Tabs>
  <Tab title="Okta">
    <Steps>
      <Step title="Applications 접근">
        Okta 관리자 콘솔(보통 `https://your-org.okta.com/admin`)에 로그인하고 사이드바에서 **Applications** → **Applications**로 이동하세요.
      </Step>

      <Step title="앱 통합 만들기">
        **Create App Integration**을 클릭합니다.

        로그인 방식으로 **SAML 2.0**을 선택하고 **Next**를 클릭하세요.
      </Step>

      <Step title="General Settings 구성">
        App name으로 **Krea**를 입력합니다.

        식별을 쉽게 하기 위해 로고를 업로드해도 좋습니다.

        **Next**를 클릭하세요.
      </Step>

      <Step title="SAML 설정 구성">
        다음 값을 입력합니다:

        | 필드                          | 값                                                  |
        | --------------------------- | -------------------------------------------------- |
        | Single sign-on URL          | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Audience URI (SP Entity ID) | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format              | **EmailAddress**                                   |
        | Application username        | **Email**                                          |
      </Step>

      <Step title="설정 완료">
        **Next**를 클릭하세요.

        Feedback 페이지에서 "I'm an Okta customer adding an internal app"을 선택하고 **Finish**를 클릭합니다.
      </Step>

      <Step title="메타데이터 URL 가져오기">
        애플리케이션 페이지에서 **Sign On** 탭으로 이동하세요.

        **SAML Signing Certificates**까지 스크롤해 **Metadata URL**을 찾고 **Actions** → **View IdP metadata**를 클릭해 URL을 가져옵니다.
      </Step>

      <Step title="사용자 할당">
        **Assignments** 탭으로 이동해 Krea에 접근해야 할 사용자나 그룹을 할당하세요.
      </Step>
    </Steps>

    <Info>
      참고: [Okta 도움말 - SAML 앱 통합 만들기 ↗](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm)
    </Info>
  </Tab>

  <Tab title="Google Workspace">
    <Steps>
      <Step title="관리자 콘솔 열기">
        최고 관리자 계정으로 [Google 관리자 콘솔 ↗](https://admin.google.com)에 로그인합니다.

        **앱** → **웹 및 모바일 앱**으로 이동하세요.
      </Step>

      <Step title="맞춤 SAML 앱 추가">
        **앱 추가** → **맞춤 SAML 앱 추가**를 클릭합니다.

        앱 이름으로 **Krea**를 입력하고, 원한다면 로고를 업로드합니다.

        **계속**을 클릭하세요.
      </Step>

      <Step title="IdP 메타데이터 다운로드">
        **Google ID 공급자 세부정보** 페이지에서 두 가지 옵션이 있습니다:

        **옵션 1(권장):** **메타데이터 다운로드**를 클릭해 XML 파일을 다운로드합니다.

        **옵션 2:** **SSO URL**과 **Entity ID**를 복사하고 **인증서**를 다운로드합니다.

        **계속**을 클릭하세요.
      </Step>

      <Step title="서비스 공급자 세부정보 구성">
        다음 값을 입력합니다:

        | 필드             | 값                                                  |
        | -------------- | -------------------------------------------------- |
        | ACS URL        | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Entity ID      | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format | **EMAIL**                                          |
        | Name ID        | **Basic Information > Primary email**              |

        **계속**을 클릭하세요.
      </Step>

      <Step title="속성 매핑 구성(선택 사항)">
        기본 SSO 설정에서는 속성 매핑을 건너뛸 수 있습니다.

        **마침**을 클릭하세요.
      </Step>

      <Step title="앱 사용 설정">
        앱 세부정보 페이지에서 **사용자 액세스**를 클릭합니다.

        **모든 사용자에 대해 설정**을 선택하거나, 특정 조직 단위에 대해 구성하세요.

        **저장**을 클릭하세요.
      </Step>
    </Steps>

    <Note>
      Google Workspace는 공개적으로 접근 가능한 메타데이터 URL을 제공하지 않습니다. Krea에서 **Metadata XML** 옵션을 사용해야 합니다(3단계 참고).
    </Note>

    <Info>
      참고: [Google Workspace 관리자 도움말 - 맞춤 SAML 앱 설정 ↗](https://support.google.com/a/answer/6087519)
    </Info>
  </Tab>
</Tabs>

## 3단계: IdP를 Krea에 연결

Krea 모달로 돌아와 IdP의 메타데이터를 입력하세요:

<Tabs>
  <Tab title="URL(권장)">
    **권장 대상:** 공개 메타데이터 URL을 제공하는 Okta 및 기타 IdP

    1. Krea 모달에서 **URL** 탭을 선택합니다.
    2. IdP의 **Metadata URL**을 텍스트 필드에 붙여 넣습니다.
    3. **Save changes**를 클릭합니다.

    <Info>
      URL을 사용하면 IdP가 인증서를 교체할 때 Krea가 갱신된 인증서를 자동으로 가져올 수 있습니다.
    </Info>
  </Tab>

  <Tab title="Metadata XML">
    **권장 대상:** Google Workspace, 또는 메타데이터 URL이 공개적으로 접근 불가능한 경우

    1. 다운로드한 SAML 메타데이터 XML 파일을 텍스트 편집기에서 엽니다.
    2. 모든 내용을 복사합니다.
    3. Krea 모달에서 **Metadata XML** 탭을 선택합니다.
    4. XML 내용을 텍스트 영역에 붙여 넣습니다.
    5. **Save changes**를 클릭합니다.

    <Warning>
      XML을 사용하면 IdP가 인증서를 교체할 때 수동으로 업데이트해야 합니다.
    </Warning>
  </Tab>
</Tabs>

## 4단계: 구성 테스트

<Steps>
  <Step title="시크릿 창 열기">
    캐시된 세션을 피하기 위해 새로운 시크릿/프라이빗 브라우저 창을 사용하세요.
  </Step>

  <Step title="Krea 로그인 페이지로 이동">
    [krea.ai/login ↗](https://krea.ai/login)로 이동하세요.
  </Step>

  <Step title="SSO 버튼 클릭">
    로그인 페이지에서 **SSO** 버튼을 클릭해 SAML 인증을 시작합니다.

    <Warning>
      Krea는 이메일 도메인에 따라 자동으로 리디렉션하지 않습니다. SAML 인증을 사용하려면 반드시 **SSO** 버튼을 클릭해야 합니다. 비밀번호가 설정된 사용자는 이메일과 비밀번호로도 로그인할 수 있습니다.
    </Warning>
  </Step>

  <Step title="이메일 입력">
    인증된 도메인의 이메일 주소(예: `you@acme.com`)를 입력합니다.
  </Step>

  <Step title="IdP로 인증">
    조직의 로그인 페이지로 리디렉션되어야 합니다.
  </Step>

  <Step title="접근 확인">
    인증에 성공하면 Krea에 로그인됩니다.
  </Step>
</Steps>

<Check>
  **성공!** 로그인이 가능하다면 SAML SSO가 올바르게 구성된 것입니다. 팀원들에게 회사 이메일로 SSO 버튼을 사용해 로그인하도록 안내하세요.
</Check>

## SAML SSO 적용 강제

SSO 구성과 테스트가 완료되면 인증된 도메인의 모든 사용자에 대해 적용을 강제할 수 있습니다. 이렇게 하면 조직의 모든 사용자가 ID 공급자를 통해 인증하도록 보장됩니다.

![워크스페이스 설정의 SSO 적용 강제 토글](https://s.krea.ai/docs/sso-enforcement.png)

<Steps>
  <Step title="Workspace Settings로 이동">
    [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)로 이동해 **Single Sign-On (SSO)** 섹션으로 스크롤하세요.
  </Step>

  <Step title="SSO Enforcement 찾기">
    인증된 도메인의 SSO 카드에서 **SSO Enforcement** 토글을 찾으세요.
  </Step>

  <Step title="토글 활성화">
    토글을 클릭해 SSO 적용 강제를 활성화합니다.
  </Step>

  <Step title="확인">
    확인 대화 상자를 검토하고 확인해 적용 강제를 활성화하세요.
  </Step>
</Steps>

<Warning>
  **적용 강제를 활성화하면:**

  * 인증된 도메인의 모든 사용자가 ID 공급자를 통해서만 로그인해야 합니다.
  * 해당 사용자에 대해 비밀번호 및 매직 링크 로그인이 비활성화됩니다.
  * 현재 세션은 다음 로그인 시점까지 유지되며, 이후에는 SSO를 사용해야 합니다.
</Warning>

### 적용 강제 비활성화

SSO 적용 강제를 비활성화해야 한다면:

1. [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)로 이동합니다.
2. **Single Sign-On (SSO)** 섹션에서 **Enforce SSO** 토글을 찾습니다.
3. 토글을 클릭해 적용 강제를 비활성화합니다.
4. 사용자는 다시 비밀번호 또는 매직 링크로 로그인할 수 있게 됩니다.

<Note>
  적용 강제를 비활성화한다고 해서 SSO 자체가 비활성화되는 것은 아닙니다. 사용자는 로그인 페이지의 SSO 버튼을 사용해 계속 SSO로 로그인할 수 있습니다.
</Note>

## 문제 해결

<AccordionGroup>
  <Accordion title="SSO 구성에 실패함">
    * **URL 확인** — ACS URL과 Entity ID가 표시된 그대로 정확한지 확인하세요(끝에 슬래시 없음).
    * **메타데이터 접근 확인** — URL을 사용하는 경우 공개적으로 접근 가능한지 확인하세요.
    * **XML 사용 시도** — URL이 작동하지 않으면 XML을 다운로드해 직접 붙여 넣으세요.
    * **인증서 만료 확인** — 만료된 IdP 인증서는 구성 실패의 원인이 됩니다.
  </Accordion>

  <Accordion title="사용자가 로그인할 수 없음">
    * **SSO 버튼 클릭** — 사용자는 로그인 페이지에서 SSO 버튼을 반드시 클릭해야 합니다(단순히 이메일만 입력하면 안 됨).
    * **IdP에서 사용자 할당** — 사용자가 IdP의 Krea SAML 앱에 할당되어 있어야 합니다.
    * **Name ID 확인** — IdP에서 Name ID가 email/EmailAddress 형식으로 설정되었는지 확인하세요.
    * **이메일 도메인 확인** — 사용자 이메일이 인증된 도메인과 정확히 일치해야 합니다.
    * **사용자 프로비저닝 확인** — 사용자가 먼저 Krea 워크스페이스에 초대되어야 할 수도 있습니다.
  </Accordion>

  <Accordion title="'Invalid SAML response' 오류 발생">
    * **시간 차이(clock skew)** — IdP 서버의 시간이 정확한지(실제 시간과 5분 이내) 확인하세요.
    * **어설션 조건** — SAML 어설션의 NotBefore/NotOnOrAfter 조건이 유효한지 확인하세요.
    * **서명 문제** — 올바른 인증서가 사용되고 있는지 확인하세요.
  </Accordion>

  <Accordion title="리디렉션 루프 또는 빈 페이지">
    * **쿠키 삭제** — Krea 관련 쿠키를 모두 삭제하고 다시 시도하세요.
    * **ACS URL 확인** — IdP에 구성된 ACS URL에 오타가 없는지 확인하세요.
    * **도메인 확인** — 도메인 인증이 여전히 활성 상태인지 확인하세요.
  </Accordion>
</AccordionGroup>

## SSO 관리

### SSO 상태 보기

1. [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)로 이동합니다.
2. **Domain Management** 섹션으로 스크롤합니다.
3. SSO 카드에는 다음이 표시됩니다:
   * 녹색 표시가 있는 **Enabled** 상태
   * 인증된 **도메인**
   * 설정을 변경할 수 있는 **Configure** 버튼

### IdP 메타데이터 업데이트

IdP 메타데이터를 업데이트해야 하는 경우(예: 인증서 교체 후):

1. [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)로 이동합니다.
2. **Domain Management** 섹션에서 SSO 카드의 **Configure**를 클릭합니다.
3. 메타데이터 URL 또는 XML을 업데이트합니다.
4. **Save changes**를 클릭합니다.

### SSO 비활성화

<Warning>
  SSO를 비활성화하면 모든 사용자가 이메일과 비밀번호로 로그인해야 합니다. 비활성화 전에 사용자가 비밀번호를 설정해 두었는지 확인하세요.
</Warning>

1. [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)로 이동합니다.
2. **Domain Management** 섹션에서 SSO 카드의 **Configure**를 클릭합니다.
3. 모달 하단의 **Disable SSO**를 클릭합니다.
4. 작업을 확인합니다.

## 도움이 필요하신가요?

<CardGroup cols={2}>
  <Card title="엔터프라이즈 지원" icon="headset" href="mailto:support@krea.ai">
    엔터프라이즈 지원팀에 **[support@krea.ai](mailto:support@krea.ai)**로 문의하세요.
  </Card>

  <Card title="영업팀" icon="envelope" href="mailto:sales@krea.ai">
    엔터프라이즈 플랜에 대한 문의는 **[sales@krea.ai](mailto:sales@krea.ai)**로 이메일을 보내세요.
  </Card>
</CardGroup>
