> ## Documentation Index
> Fetch the complete documentation index at: https://www.krea.ai/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Configuração de SAML SSO

> Configure o SAML Single Sign-On para o seu workspace Krea Enterprise com seu provedor de identidade para habilitar uma autenticação de equipe segura e centralizada.

<Info>
  **Apenas Krea Enterprise** — O SAML SSO está disponível exclusivamente para clientes Krea Enterprise. [Entre em contato com nossa equipe de vendas](mailto:sales@krea.ai) para saber mais sobre os planos Enterprise.
</Info>

Este guia mostra como configurar o SAML Single Sign-On (SSO) para o seu workspace Krea. Uma vez configurado, os usuários com endereços de email do seu domínio verificado podem fazer login usando o provedor de identidade (IdP) da sua organização.

## Pré-requisitos

Antes de começar, certifique-se de ter:

<CardGroup cols={2}>
  <Card title="Domínio Verificado" icon="circle-check">
    Conclua a [Verificação de Domínio](/user-guide/help-and-support/domain-verification) primeiro
  </Card>

  <Card title="Papel no Workspace" icon="user-shield">
    Você precisa ser **proprietário do workspace** ou **administrador**
  </Card>

  <Card title="Acesso ao Provedor de Identidade" icon="key">
    Acesso de administrador ao seu IdP (Okta, Google Workspace, etc.)
  </Card>

  <Card title="Plano Enterprise" icon="building">
    Assinatura Krea Enterprise ativa
  </Card>
</CardGroup>

## Etapa 1: Obter os Detalhes do Provedor de Serviço do Krea

Após concluir a verificação de domínio, o modal de configuração exibirá a seção de configuração do SAML.

![Modal de configuração SAML](https://s.krea.ai/docs/sso-saml-config-modal.png)

Você precisará destes dois valores para configurar o seu provedor de identidade:

| Campo            | Valor                                              |
| ---------------- | -------------------------------------------------- |
| **ACS URL**      | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
| **Entity ID**    | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
| **Metadata XML** | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |

<Tip>
  Clique no **ícone de cópia** ao lado de cada URL no modal para copiá-los exatamente.
</Tip>

## Etapa 2: Configurar Seu Provedor de Identidade

Crie um aplicativo SAML no seu provedor de identidade usando os valores da Etapa 1.

<Tabs>
  <Tab title="Okta">
    <Steps>
      <Step title="Acesse Applications">
        Faça login no seu Okta Admin Console (normalmente `https://your-org.okta.com/admin`) e vá em **Applications** → **Applications** na barra lateral.
      </Step>

      <Step title="Crie a Integração de App">
        Clique em **Create App Integration**.

        Selecione **SAML 2.0** como método de login e clique em **Next**.
      </Step>

      <Step title="Configure as Configurações Gerais">
        Insira **Krea** como o nome do app.

        Opcionalmente, faça upload de um logo para fácil identificação.

        Clique em **Next**.
      </Step>

      <Step title="Configure as Configurações SAML">
        Insira os seguintes valores:

        | Campo                       | Valor                                              |
        | --------------------------- | -------------------------------------------------- |
        | Single sign-on URL          | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Audience URI (SP Entity ID) | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format              | **EmailAddress**                                   |
        | Application username        | **Email**                                          |
      </Step>

      <Step title="Conclua a Configuração">
        Clique em **Next**.

        Na página Feedback, selecione "I'm an Okta customer adding an internal app" e clique em **Finish**.
      </Step>

      <Step title="Obtenha a URL de Metadata">
        Na página do aplicativo, vá até a aba **Sign On**.

        Role para baixo até **SAML Signing Certificates** e encontre a **Metadata URL**. Clique em **Actions** → **View IdP metadata** para obter a URL.
      </Step>

      <Step title="Atribua Usuários">
        Vá até a aba **Assignments** e atribua os usuários ou grupos que devem ter acesso ao Krea.
      </Step>
    </Steps>

    <Info>
      Referência: [Ajuda do Okta - Criar Integrações de App SAML ↗](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm)
    </Info>
  </Tab>

  <Tab title="Google Workspace">
    <Steps>
      <Step title="Abra o Admin Console">
        Faça login no [Google Admin Console ↗](https://admin.google.com) com uma conta de super administrador.

        Vá em **Apps** → **Web and mobile apps**.
      </Step>

      <Step title="Adicione um App SAML Personalizado">
        Clique em **Add app** → **Add custom SAML app**.

        Insira **Krea** como o nome do app e, opcionalmente, faça upload de um logo.

        Clique em **Continue**.
      </Step>

      <Step title="Baixe os Metadados do IdP">
        Na página **Google Identity Provider details**, você tem duas opções:

        **Opção 1 (Recomendada):** Clique em **Download Metadata** para baixar o arquivo XML.

        **Opção 2:** Copie a **SSO URL**, o **Entity ID** e baixe o **Certificate**.

        Clique em **Continue**.
      </Step>

      <Step title="Configure os Detalhes do Provedor de Serviço">
        Insira os seguintes valores:

        | Campo          | Valor                                              |
        | -------------- | -------------------------------------------------- |
        | ACS URL        | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Entity ID      | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format | **EMAIL**                                          |
        | Name ID        | **Basic Information > Primary email**              |

        Clique em **Continue**.
      </Step>

      <Step title="Configure o Mapeamento de Atributos (Opcional)">
        Você pode pular o mapeamento de atributos para uma configuração básica de SSO.

        Clique em **Finish**.
      </Step>

      <Step title="Ative o App">
        Na página de detalhes do app, clique em **User access**.

        Selecione **ON for everyone** (ou configure para unidades organizacionais específicas).

        Clique em **Save**.
      </Step>
    </Steps>

    <Note>
      O Google Workspace não fornece uma URL de metadata publicamente acessível. Você precisará usar a opção **Metadata XML** no Krea (veja a Etapa 3).
    </Note>

    <Info>
      Referência: [Ajuda de Administradores do Google Workspace - Configurar App SAML Personalizado ↗](https://support.google.com/a/answer/6087519)
    </Info>
  </Tab>
</Tabs>

## Etapa 3: Conectar Seu IdP ao Krea

De volta ao modal do Krea, forneça os metadados do seu IdP:

<Tabs>
  <Tab title="URL (Recomendado)">
    **Ideal para:** Okta e outros IdPs que fornecem uma URL de metadata pública

    1. No modal do Krea, selecione a aba **URL**
    2. Cole a **Metadata URL** do seu IdP no campo de texto
    3. Clique em **Save changes**

    <Info>
      Usar uma URL permite que o Krea busque automaticamente certificados atualizados quando o seu IdP os rotacionar.
    </Info>
  </Tab>

  <Tab title="Metadata XML">
    **Ideal para:** Google Workspace ou se a sua URL de metadata não for publicamente acessível

    1. Abra o arquivo XML de metadados SAML baixado em um editor de texto
    2. Copie todo o conteúdo
    3. No modal do Krea, selecione a aba **Metadata XML**
    4. Cole o conteúdo XML na área de texto
    5. Clique em **Save changes**

    <Warning>
      Se você usar XML, será necessário atualizá-lo manualmente quando seu IdP rotacionar os certificados.
    </Warning>
  </Tab>
</Tabs>

## Etapa 4: Testar Sua Configuração

<Steps>
  <Step title="Abra uma Janela Anônima">
    Use uma janela anônima/privada de navegador limpa para evitar sessões em cache.
  </Step>

  <Step title="Vá até o Login do Krea">
    Navegue até [krea.ai/login ↗](https://krea.ai/login)
  </Step>

  <Step title="Clique no Botão SSO">
    Na página de login, clique no botão **SSO** para iniciar a autenticação SAML.

    <Warning>
      O Krea não redireciona automaticamente com base no seu domínio de email. Você precisa clicar no botão **SSO** para usar a autenticação SAML. Os usuários ainda podem fazer login com email e senha se tiverem uma configurada.
    </Warning>
  </Step>

  <Step title="Digite Seu Email">
    Digite um endereço de email do seu domínio verificado (ex.: `voce@acme.com`)
  </Step>

  <Step title="Autentique-se com Seu IdP">
    Você deverá ser redirecionado para a página de login da sua organização.
  </Step>

  <Step title="Confirme o Acesso">
    Após autenticação bem-sucedida, você fará login no Krea.
  </Step>
</Steps>

<Check>
  **Sucesso!** Se você conseguir fazer login, o seu SAML SSO está configurado corretamente. Convide os membros da sua equipe a usar o botão SSO com o email de trabalho para fazer login.
</Check>

## Forçar o SAML SSO

Uma vez que o SSO esteja configurado e testado, você pode aplicá-lo a todos os usuários do seu domínio verificado. Isso garante que todos na sua organização autentiquem-se por meio do seu provedor de identidade.

![Toggle de Aplicação do SSO nas configurações do workspace](https://s.krea.ai/docs/sso-enforcement.png)

<Steps>
  <Step title="Acesse as Configurações do Workspace">
    Navegue até [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings) e role até a seção **Single Sign-On (SSO)**.
  </Step>

  <Step title="Localize SSO Enforcement">
    Encontre o toggle **SSO Enforcement** no cartão de SSO do seu domínio verificado.
  </Step>

  <Step title="Ative o Toggle">
    Clique no toggle para ativar a aplicação do SSO.
  </Step>

  <Step title="Confirme">
    Revise o diálogo de confirmação e confirme para ativar a aplicação.
  </Step>
</Steps>

<Warning>
  **Quando a aplicação está ativa:**

  * Todos os usuários do seu domínio verificado serão obrigados a fazer login pelo seu provedor de identidade
  * O login por senha e link mágico será desabilitado para esses usuários
  * As sessões atuais continuarão até o próximo login do usuário, momento em que ele precisará usar SSO
</Warning>

### Desativando a Aplicação

Se precisar desativar a aplicação do SSO:

1. Vá até [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. Na seção **Single Sign-On (SSO)**, encontre o toggle **Enforce SSO**
3. Clique no toggle para desativar a aplicação
4. Os usuários voltarão a ter a opção de fazer login com senha ou link mágico

<Note>
  Desativar a aplicação não desabilita o SSO em si — os usuários ainda podem optar por fazer login via SSO usando o botão SSO na página de login.
</Note>

## Solução de Problemas

<AccordionGroup>
  <Accordion title="Falha ao configurar o SSO">
    * **Verifique as URLs** — Certifique-se de que a ACS URL e o Entity ID estão exatamente como mostrados (sem barras finais)
    * **Verifique o acesso aos metadados** — Se estiver usando uma URL, certifique-se de que ela é publicamente acessível
    * **Tente XML em vez disso** — Se a URL não funcionar, baixe e cole o XML diretamente
    * **Verifique a expiração do certificado** — Certificados de IdP expirados farão a configuração falhar
  </Accordion>

  <Accordion title="Usuários não conseguem fazer login">
    * **Clique no botão SSO** — Os usuários precisam clicar no botão SSO na página de login (não apenas digitar o email)
    * **Atribua usuários no IdP** — Os usuários precisam estar atribuídos ao app SAML do Krea no seu IdP
    * **Verifique o Name ID** — Verifique se o Name ID está definido no formato email/EmailAddress no seu IdP
    * **Verifique o domínio do email** — Os emails dos usuários precisam corresponder exatamente ao domínio verificado
    * **Verifique o provisionamento de usuários** — Pode ser necessário convidar os usuários para o workspace Krea primeiro
  </Accordion>

  <Accordion title="Recebendo erro 'Invalid SAML response'">
    * **Diferença de relógio** — Certifique-se de que o relógio do servidor do seu IdP está preciso (dentro de 5 minutos da hora real)
    * **Condições da asserção** — Verifique se as condições NotBefore/NotOnOrAfter da asserção SAML são válidas
    * **Problemas de assinatura** — Verifique se o certificado correto está sendo usado
  </Accordion>

  <Accordion title="Loop de redirecionamento ou página em branco">
    * **Limpe os cookies** — Limpe todos os cookies relacionados ao Krea e tente novamente
    * **Verifique a ACS URL** — Certifique-se de que não há erros de digitação na ACS URL configurada no seu IdP
    * **Verifique o domínio** — Confirme que a verificação do domínio ainda está ativa
  </Accordion>
</AccordionGroup>

## Gerenciando o SSO

### Visualizando o Status do SSO

1. Vá até [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. Role até a seção **Domain Management**
3. O cartão do SSO mostra:
   * Status **Habilitado** com um indicador verde
   * Seu **domínio** verificado
   * Botão **Configure** para modificar as configurações

### Atualizando os Metadados do IdP

Se precisar atualizar os metadados do seu IdP (por exemplo, após uma rotação de certificado):

1. Vá até [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. Na seção **Domain Management**, clique em **Configure** no cartão do SSO
3. Atualize a URL de metadados ou o XML
4. Clique em **Save changes**

### Desativando o SSO

<Warning>
  Desativar o SSO obrigará todos os usuários a fazer login com email e senha. Certifique-se de que os usuários tenham senhas configuradas antes de desativar.
</Warning>

1. Vá até [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. Na seção **Domain Management**, clique em **Configure** no cartão do SSO
3. Clique em **Disable SSO** na parte inferior do modal
4. Confirme a ação

## Precisa de Ajuda?

<CardGroup cols={2}>
  <Card title="Suporte Enterprise" icon="headset" href="mailto:support@krea.ai">
    Entre em contato com nossa equipe de suporte enterprise em **[support@krea.ai](mailto:support@krea.ai)**
  </Card>

  <Card title="Equipe de Vendas" icon="envelope" href="mailto:sales@krea.ai">
    Dúvidas sobre planos Enterprise? Envie um email para **[sales@krea.ai](mailto:sales@krea.ai)**
  </Card>
</CardGroup>
