> ## Documentation Index
> Fetch the complete documentation index at: https://www.krea.ai/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Configuração de SAML SSO

> Configure o Início de Sessão Único SAML para o seu espaço de trabalho Krea Enterprise com o seu fornecedor de identidade para permitir uma autenticação de equipa segura e centralizada.

<Info>
  **Apenas Krea Enterprise** — O SAML SSO está disponível exclusivamente para clientes Krea Enterprise. [Contacte a nossa equipa de vendas](mailto:sales@krea.ai) para saber mais sobre os planos Enterprise.
</Info>

Este guia orienta-o na configuração do Início de Sessão Único (SSO) com SAML para o seu espaço de trabalho Krea. Uma vez configurado, os utilizadores com endereços de email do seu domínio verificado podem iniciar sessão utilizando o fornecedor de identidade (IdP) da sua organização.

## Pré-requisitos

Antes de começar, certifique-se de que tem:

<CardGroup cols={2}>
  <Card title="Domínio Verificado" icon="circle-check">
    Conclua primeiro a [Verificação de Domínio](/user-guide/help-and-support/domain-verification)
  </Card>

  <Card title="Papel no Espaço de Trabalho" icon="user-shield">
    Tem de ser **proprietário** ou **administrador** do espaço de trabalho
  </Card>

  <Card title="Acesso ao Fornecedor de Identidade" icon="key">
    Acesso de administrador ao seu IdP (Okta, Google Workspace, etc.)
  </Card>

  <Card title="Plano Enterprise" icon="building">
    Subscrição Krea Enterprise ativa
  </Card>
</CardGroup>

## Passo 1: Obter os Detalhes do Service Provider da Krea

Depois de concluir a verificação de domínio, o modal de configuração apresentará a secção de configuração SAML.

![Modal de configuração SAML](https://s.krea.ai/docs/sso-saml-config-modal.png)

Vai precisar destes dois valores para configurar o seu fornecedor de identidade:

| Campo            | Valor                                              |
| ---------------- | -------------------------------------------------- |
| **ACS URL**      | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
| **Entity ID**    | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
| **Metadata XML** | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |

<Tip>
  Clique no **ícone de copiar** junto a cada URL no modal para os copiar exatamente.
</Tip>

## Passo 2: Configurar o Seu Fornecedor de Identidade

Crie uma aplicação SAML no seu fornecedor de identidade utilizando os valores do Passo 1.

<Tabs>
  <Tab title="Okta">
    <Steps>
      <Step title="Aceder às Aplicações">
        Inicie sessão na sua Consola de Administração Okta (normalmente `https://your-org.okta.com/admin`) e vá a **Applications** → **Applications** na barra lateral.
      </Step>

      <Step title="Criar Integração de Aplicação">
        Clique em **Create App Integration**.

        Selecione **SAML 2.0** como método de início de sessão e clique em **Next**.
      </Step>

      <Step title="Configurar Definições Gerais">
        Introduza **Krea** como nome da aplicação.

        Opcionalmente, carregue um logótipo para facilitar a identificação.

        Clique em **Next**.
      </Step>

      <Step title="Configurar Definições SAML">
        Introduza os seguintes valores:

        | Campo                       | Valor                                              |
        | --------------------------- | -------------------------------------------------- |
        | Single sign-on URL          | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Audience URI (SP Entity ID) | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format              | **EmailAddress**                                   |
        | Application username        | **Email**                                          |
      </Step>

      <Step title="Concluir a Configuração">
        Clique em **Next**.

        Na página de Feedback, selecione "I'm an Okta customer adding an internal app" e clique em **Finish**.
      </Step>

      <Step title="Obter o URL de Metadados">
        Na página da aplicação, vá ao separador **Sign On**.

        Desça até **SAML Signing Certificates** e encontre o **Metadata URL**. Clique em **Actions** → **View IdP metadata** para obter o URL.
      </Step>

      <Step title="Atribuir Utilizadores">
        Vá ao separador **Assignments** e atribua os utilizadores ou grupos que devem ter acesso à Krea.
      </Step>
    </Steps>

    <Info>
      Referência: [Ajuda Okta - Criar Integrações de Aplicações SAML ↗](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm)
    </Info>
  </Tab>

  <Tab title="Google Workspace">
    <Steps>
      <Step title="Abrir a Consola de Administração">
        Inicie sessão na [Consola de Administração Google ↗](https://admin.google.com) com uma conta de superadministrador.

        Vá a **Apps** → **Web and mobile apps**.
      </Step>

      <Step title="Adicionar Aplicação SAML Personalizada">
        Clique em **Add app** → **Add custom SAML app**.

        Introduza **Krea** como nome da aplicação e, opcionalmente, carregue um logótipo.

        Clique em **Continue**.
      </Step>

      <Step title="Transferir Metadados do IdP">
        Na página **Google Identity Provider details**, tem duas opções:

        **Opção 1 (Recomendada):** Clique em **Download Metadata** para transferir o ficheiro XML.

        **Opção 2:** Copie o **SSO URL**, o **Entity ID** e transfira o **Certificate**.

        Clique em **Continue**.
      </Step>

      <Step title="Configurar Detalhes do Service Provider">
        Introduza os seguintes valores:

        | Campo          | Valor                                              |
        | -------------- | -------------------------------------------------- |
        | ACS URL        | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Entity ID      | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format | **EMAIL**                                          |
        | Name ID        | **Basic Information > Primary email**              |

        Clique em **Continue**.
      </Step>

      <Step title="Configurar Mapeamento de Atributos (Opcional)">
        Pode saltar o mapeamento de atributos para uma configuração básica de SSO.

        Clique em **Finish**.
      </Step>

      <Step title="Ativar a Aplicação">
        Na página de detalhes da aplicação, clique em **User access**.

        Selecione **ON for everyone** (ou configure para unidades organizacionais específicas).

        Clique em **Save**.
      </Step>
    </Steps>

    <Note>
      O Google Workspace não fornece um URL de metadados publicamente acessível. Terá de utilizar a opção **Metadata XML** na Krea (consulte o Passo 3).
    </Note>

    <Info>
      Referência: [Ajuda do Administrador Google Workspace - Configurar Aplicação SAML Personalizada ↗](https://support.google.com/a/answer/6087519)
    </Info>
  </Tab>
</Tabs>

## Passo 3: Ligar o Seu IdP à Krea

De volta ao modal da Krea, forneça os metadados do seu IdP:

<Tabs>
  <Tab title="URL (Recomendado)">
    **Melhor para:** Okta e outros IdPs que fornecem um URL de metadados público

    1. No modal da Krea, selecione o separador **URL**
    2. Cole o **Metadata URL** do seu IdP no campo de texto
    3. Clique em **Save changes**

    <Info>
      Utilizar um URL permite que a Krea obtenha automaticamente certificados atualizados quando o seu IdP os rodar.
    </Info>
  </Tab>

  <Tab title="Metadata XML">
    **Melhor para:** Google Workspace ou se o seu URL de metadados não estiver publicamente acessível

    1. Abra o ficheiro XML de metadados SAML transferido num editor de texto
    2. Copie todo o conteúdo
    3. No modal da Krea, selecione o separador **Metadata XML**
    4. Cole o conteúdo XML na área de texto
    5. Clique em **Save changes**

    <Warning>
      Se usar XML, terá de o atualizar manualmente quando o seu IdP rodar certificados.
    </Warning>
  </Tab>
</Tabs>

## Passo 4: Testar a Sua Configuração

<Steps>
  <Step title="Abra uma Janela Anónima">
    Utilize uma janela de navegação anónima/privada nova para evitar sessões em cache.
  </Step>

  <Step title="Vá ao Início de Sessão da Krea">
    Navegue até [krea.ai/login ↗](https://krea.ai/login)
  </Step>

  <Step title="Clique no Botão SSO">
    Na página de início de sessão, clique no botão **SSO** para iniciar a autenticação SAML.

    <Warning>
      A Krea não redireciona automaticamente com base no seu domínio de email. Tem de clicar no botão **SSO** para usar a autenticação SAML. Os utilizadores ainda podem iniciar sessão com email e palavra-passe se tiverem uma definida.
    </Warning>
  </Step>

  <Step title="Introduza o Seu Email">
    Escreva um endereço de email do seu domínio verificado (por exemplo, `voce@acme.com`)
  </Step>

  <Step title="Autentique-se com o Seu IdP">
    Deverá ser redirecionado para a página de início de sessão da sua organização.
  </Step>

  <Step title="Confirme o Acesso">
    Após uma autenticação bem-sucedida, terá sessão iniciada na Krea.
  </Step>
</Steps>

<Check>
  **Sucesso!** Se conseguir iniciar sessão, o seu SAML SSO está configurado corretamente. Convide os membros da sua equipa a usar o botão SSO com o respetivo email profissional para iniciar sessão.
</Check>

## Impor SAML SSO

Uma vez que o SSO esteja configurado e testado, pode impô-lo a todos os utilizadores com o seu domínio verificado. Isto garante que toda a gente na sua organização se autentica através do seu fornecedor de identidade.

![Comutador de imposição de SSO nas definições do espaço de trabalho](https://s.krea.ai/docs/sso-enforcement.png)

<Steps>
  <Step title="Aceda às Definições do Espaço de Trabalho">
    Navegue até [Definições do Espaço de Trabalho ↗](https://www.krea.ai/settings/workspace-settings) e desça até à secção **Início de Sessão Único (SSO)**.
  </Step>

  <Step title="Localize a Imposição de SSO">
    Encontre o comutador **Imposição de SSO** no cartão de SSO do seu domínio verificado.
  </Step>

  <Step title="Ative o Comutador">
    Clique no comutador para ativar a imposição de SSO.
  </Step>

  <Step title="Confirme">
    Reveja a caixa de diálogo de confirmação e confirme para ativar a imposição.
  </Step>
</Steps>

<Warning>
  **Quando a imposição está ativada:**

  * Todos os utilizadores com o seu domínio verificado serão obrigados a iniciar sessão através do seu fornecedor de identidade
  * O início de sessão com palavra-passe e por magic link será desativado para estes utilizadores
  * As sessões atuais continuarão até ao próximo início de sessão do utilizador, momento em que terá de usar SSO
</Warning>

### Desativar a Imposição

Se precisar de desativar a imposição de SSO:

1. Vá a [Definições do Espaço de Trabalho ↗](https://www.krea.ai/settings/workspace-settings)
2. Na secção **Início de Sessão Único (SSO)**, encontre o comutador **Impor SSO**
3. Clique no comutador para desativar a imposição
4. Os utilizadores recuperam a possibilidade de iniciar sessão com palavra-passe ou magic link

<Note>
  Desativar a imposição não desativa o SSO em si — os utilizadores podem continuar a optar por iniciar sessão via SSO utilizando o botão SSO na página de início de sessão.
</Note>

## Resolução de Problemas

<AccordionGroup>
  <Accordion title="Falha ao configurar o SSO">
    * **Verifique os URLs** — Certifique-se de que o ACS URL e o Entity ID estão exatamente como mostrado (sem barras finais)
    * **Verifique o acesso aos metadados** — Se estiver a usar um URL, certifique-se de que está publicamente acessível
    * **Experimente XML em vez disso** — Se o URL não funcionar, transfira e cole o XML diretamente
    * **Verifique a expiração do certificado** — Certificados de IdP expirados farão com que a configuração falhe
  </Accordion>

  <Accordion title="Os utilizadores não conseguem iniciar sessão">
    * **Clique no botão SSO** — Os utilizadores têm de clicar no botão SSO na página de início de sessão (não basta introduzir o email)
    * **Atribua utilizadores no IdP** — Os utilizadores têm de estar atribuídos à aplicação SAML da Krea no seu IdP
    * **Verifique o Name ID** — Confirme que o Name ID está definido para o formato email/EmailAddress no seu IdP
    * **Verifique o domínio do email** — Os emails dos utilizadores têm de corresponder exatamente ao domínio verificado
    * **Verifique o provisionamento de utilizadores** — Os utilizadores podem precisar de ser convidados primeiro para o espaço de trabalho Krea
  </Accordion>

  <Accordion title="Erro 'Invalid SAML response'">
    * **Desvio do relógio** — Certifique-se de que o relógio do servidor do seu IdP está correto (com menos de 5 minutos de diferença em relação à hora real)
    * **Condições da asserção** — Verifique se as condições NotBefore/NotOnOrAfter da asserção SAML são válidas
    * **Problemas de assinatura** — Confirme que está a ser usado o certificado correto
  </Accordion>

  <Accordion title="Ciclo de redirecionamento ou página em branco">
    * **Limpe os cookies** — Limpe todos os cookies relacionados com a Krea e tente novamente
    * **Verifique o ACS URL** — Certifique-se de que não existem erros tipográficos no ACS URL configurado no seu IdP
    * **Verifique o domínio** — Confirme que a verificação do domínio continua ativa
  </Accordion>
</AccordionGroup>

## Gerir o SSO

### Ver o Estado do SSO

1. Vá a [Definições do Espaço de Trabalho ↗](https://www.krea.ai/settings/workspace-settings)
2. Desça até à secção **Gestão de Domínios**
3. O cartão de SSO mostra:
   * Estado **Ativado** com um indicador verde
   * O seu **domínio** verificado
   * Botão **Configurar** para alterar definições

### Atualizar Metadados do IdP

Se precisar de atualizar os metadados do seu IdP (por exemplo, após a rotação de certificados):

1. Vá a [Definições do Espaço de Trabalho ↗](https://www.krea.ai/settings/workspace-settings)
2. Na secção **Gestão de Domínios**, clique em **Configurar** no cartão de SSO
3. Atualize o URL ou XML dos metadados
4. Clique em **Save changes**

### Desativar o SSO

<Warning>
  Desativar o SSO exigirá que todos os utilizadores iniciem sessão com email e palavra-passe. Certifique-se de que os utilizadores têm palavras-passe definidas antes de desativar.
</Warning>

1. Vá a [Definições do Espaço de Trabalho ↗](https://www.krea.ai/settings/workspace-settings)
2. Na secção **Gestão de Domínios**, clique em **Configurar** no cartão de SSO
3. Clique em **Disable SSO** na parte inferior do modal
4. Confirme a ação

## Precisa de Ajuda?

<CardGroup cols={2}>
  <Card title="Suporte Enterprise" icon="headset" href="mailto:support@krea.ai">
    Contacte a nossa equipa de suporte empresarial em **[support@krea.ai](mailto:support@krea.ai)**
  </Card>

  <Card title="Equipa de Vendas" icon="envelope" href="mailto:sales@krea.ai">
    Dúvidas sobre planos Enterprise? Envie email para **[sales@krea.ai](mailto:sales@krea.ai)**
  </Card>
</CardGroup>
