> ## Documentation Index
> Fetch the complete documentation index at: https://www.krea.ai/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Настройка SAML SSO

> Настройте SAML Single Sign-On для вашего корпоративного рабочего пространства Krea Enterprise с провайдером идентификации, чтобы обеспечить безопасную централизованную аутентификацию команды.

<Info>
  **Только Krea Enterprise** — SAML SSO доступен исключительно для клиентов Krea Enterprise. [Свяжитесь с отделом продаж](mailto:sales@krea.ai), чтобы узнать больше о корпоративных тарифах.
</Info>

Это руководство проведёт вас по настройке SAML Single Sign-On (SSO) для вашего рабочего пространства Krea. После настройки пользователи с e-mail-адресами из вашего подтверждённого домена смогут входить в систему через провайдер идентификации (IdP) вашей организации.

## Предварительные требования

Прежде чем начать, убедитесь, что у вас есть:

<CardGroup cols={2}>
  <Card title="Подтверждённый домен" icon="circle-check">
    Сначала выполните [подтверждение домена](/user-guide/help-and-support/domain-verification)
  </Card>

  <Card title="Роль в рабочем пространстве" icon="user-shield">
    Вы должны быть **владельцем** или **администратором** рабочего пространства
  </Card>

  <Card title="Доступ к провайдеру идентификации" icon="key">
    Административный доступ к вашему IdP (Okta, Google Workspace и т. д.)
  </Card>

  <Card title="Корпоративный тариф" icon="building">
    Активная подписка Krea Enterprise
  </Card>
</CardGroup>

## Шаг 1: Получите параметры Service Provider Krea

После завершения подтверждения домена в модальном окне настройки появится раздел SAML-конфигурации.

![Модальное окно SAML-конфигурации](https://s.krea.ai/docs/sso-saml-config-modal.png)

Для настройки провайдера идентификации вам потребуются эти два значения:

| Поле             | Значение                                           |
| ---------------- | -------------------------------------------------- |
| **ACS URL**      | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
| **Entity ID**    | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
| **Metadata XML** | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |

<Tip>
  Нажмите **значок копирования** рядом с каждым URL в модальном окне, чтобы скопировать их точно.
</Tip>

## Шаг 2: Настройте провайдер идентификации

Создайте SAML-приложение в вашем провайдере идентификации, используя значения из шага 1.

<Tabs>
  <Tab title="Okta">
    <Steps>
      <Step title="Откройте Applications">
        Войдите в Okta Admin Console (обычно `https://your-org.okta.com/admin`) и перейдите в **Applications** → **Applications** в боковой панели.
      </Step>

      <Step title="Создайте App Integration">
        Нажмите **Create App Integration**.

        Выберите **SAML 2.0** в качестве метода входа и нажмите **Next**.
      </Step>

      <Step title="Настройте общие параметры">
        Введите **Krea** в качестве App name.

        При желании загрузите логотип для удобной идентификации.

        Нажмите **Next**.
      </Step>

      <Step title="Настройте параметры SAML">
        Введите следующие значения:

        | Поле                        | Значение                                           |
        | --------------------------- | -------------------------------------------------- |
        | Single sign-on URL          | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Audience URI (SP Entity ID) | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format              | **EmailAddress**                                   |
        | Application username        | **Email**                                          |
      </Step>

      <Step title="Завершите настройку">
        Нажмите **Next**.

        На странице Feedback выберите «I'm an Okta customer adding an internal app» и нажмите **Finish**.
      </Step>

      <Step title="Получите Metadata URL">
        На странице приложения перейдите на вкладку **Sign On**.

        Прокрутите вниз до **SAML Signing Certificates** и найдите **Metadata URL**. Нажмите **Actions** → **View IdP metadata**, чтобы получить URL.
      </Step>

      <Step title="Назначьте пользователей">
        Перейдите на вкладку **Assignments** и назначьте пользователей или группы, которые должны иметь доступ к Krea.
      </Step>
    </Steps>

    <Info>
      Справка: [Помощь Okta — Create SAML App Integrations ↗](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm)
    </Info>
  </Tab>

  <Tab title="Google Workspace">
    <Steps>
      <Step title="Откройте Admin Console">
        Войдите в [Google Admin Console ↗](https://admin.google.com) с учётной записью супер-администратора.

        Перейдите в **Apps** → **Web and mobile apps**.
      </Step>

      <Step title="Добавьте Custom SAML App">
        Нажмите **Add app** → **Add custom SAML app**.

        Введите **Krea** в качестве имени приложения и при желании загрузите логотип.

        Нажмите **Continue**.
      </Step>

      <Step title="Скачайте IdP-метаданные">
        На странице **Google Identity Provider details** у вас есть два варианта:

        **Вариант 1 (рекомендуется):** Нажмите **Download Metadata**, чтобы скачать XML-файл.

        **Вариант 2:** Скопируйте **SSO URL**, **Entity ID** и скачайте **Certificate**.

        Нажмите **Continue**.
      </Step>

      <Step title="Настройте параметры Service Provider">
        Введите следующие значения:

        | Поле           | Значение                                           |
        | -------------- | -------------------------------------------------- |
        | ACS URL        | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Entity ID      | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format | **EMAIL**                                          |
        | Name ID        | **Basic Information > Primary email**              |

        Нажмите **Continue**.
      </Step>

      <Step title="Настройте сопоставление атрибутов (по желанию)">
        Для базовой настройки SSO сопоставление атрибутов можно пропустить.

        Нажмите **Finish**.
      </Step>

      <Step title="Включите приложение">
        На странице деталей приложения нажмите **User access**.

        Выберите **ON for everyone** (или настройте для конкретных организационных подразделений).

        Нажмите **Save**.
      </Step>
    </Steps>

    <Note>
      Google Workspace не предоставляет публично доступный URL метаданных. Вам потребуется использовать вариант **Metadata XML** в Krea (см. шаг 3).
    </Note>

    <Info>
      Справка: [Помощь Google Workspace Admin — Set Up Custom SAML App ↗](https://support.google.com/a/answer/6087519)
    </Info>
  </Tab>
</Tabs>

## Шаг 3: Подключите ваш IdP к Krea

Вернитесь в модальное окно Krea и укажите метаданные вашего IdP:

<Tabs>
  <Tab title="URL (рекомендуется)">
    **Лучше всего для:** Okta и других IdP, предоставляющих публичный URL метаданных

    1. В модальном окне Krea выберите вкладку **URL**
    2. Вставьте **Metadata URL** вашего IdP в текстовое поле
    3. Нажмите **Save changes**

    <Info>
      Использование URL позволяет Krea автоматически получать обновлённые сертификаты при их ротации в вашем IdP.
    </Info>
  </Tab>

  <Tab title="Metadata XML">
    **Лучше всего для:** Google Workspace или случаев, когда URL метаданных не является публично доступным

    1. Откройте скачанный XML-файл метаданных SAML в текстовом редакторе
    2. Скопируйте всё содержимое
    3. В модальном окне Krea выберите вкладку **Metadata XML**
    4. Вставьте содержимое XML в текстовое поле
    5. Нажмите **Save changes**

    <Warning>
      При использовании XML вам потребуется вручную обновлять его при ротации сертификатов в вашем IdP.
    </Warning>
  </Tab>
</Tabs>

## Шаг 4: Проверьте вашу конфигурацию

<Steps>
  <Step title="Откройте окно инкогнито">
    Используйте новое окно браузера в режиме инкогнито/приватного просмотра, чтобы избежать кэшированных сессий.
  </Step>

  <Step title="Перейдите на страницу входа Krea">
    Перейдите по адресу [krea.ai/login ↗](https://krea.ai/login)
  </Step>

  <Step title="Нажмите кнопку SSO">
    На странице входа нажмите кнопку **SSO**, чтобы инициировать SAML-аутентификацию.

    <Warning>
      Krea не выполняет автоматическое перенаправление на основе вашего e-mail-домена. Чтобы использовать SAML-аутентификацию, необходимо нажать кнопку **SSO**. Пользователи также могут входить с помощью e-mail и пароля, если он у них настроен.
    </Warning>
  </Step>

  <Step title="Введите ваш e-mail">
    Введите e-mail-адрес из вашего подтверждённого домена (например, `you@acme.com`)
  </Step>

  <Step title="Пройдите аутентификацию через ваш IdP">
    Вы должны быть перенаправлены на страницу входа вашей организации.
  </Step>

  <Step title="Подтвердите доступ">
    После успешной аутентификации вы будете авторизованы в Krea.
  </Step>
</Steps>

<Check>
  **Успех!** Если вы смогли войти, значит, SAML SSO настроен правильно. Пригласите членов команды использовать кнопку SSO с их рабочим e-mail для входа.
</Check>

## Принудительное использование SAML SSO

После настройки и проверки SSO вы можете сделать его обязательным для всех пользователей с вашим подтверждённым доменом. Это гарантирует, что все в вашей организации аутентифицируются через ваш провайдер идентификации.

![Переключатель принудительного SSO в настройках рабочего пространства](https://s.krea.ai/docs/sso-enforcement.png)

<Steps>
  <Step title="Перейдите в настройки рабочего пространства">
    Перейдите в [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings) и прокрутите до раздела **Single Sign-On (SSO)**.
  </Step>

  <Step title="Найдите SSO Enforcement">
    Найдите переключатель **SSO Enforcement** на карточке SSO для вашего подтверждённого домена.
  </Step>

  <Step title="Включите переключатель">
    Нажмите переключатель, чтобы включить принудительное использование SSO.
  </Step>

  <Step title="Подтвердите">
    Просмотрите диалог подтверждения и подтвердите включение принудительного использования.
  </Step>
</Steps>

<Warning>
  **Когда принудительное использование включено:**

  * Все пользователи с вашим подтверждённым доменом будут обязаны входить через ваш провайдер идентификации
  * Вход по паролю и magic link будет отключён для этих пользователей
  * Текущие сессии будут продолжаться до следующего входа пользователя, после чего ему придётся использовать SSO
</Warning>

### Отключение принудительного использования

Если вам нужно отключить принудительное использование SSO:

1. Перейдите в [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. В разделе **Single Sign-On (SSO)** найдите переключатель **Enforce SSO**
3. Нажмите переключатель, чтобы отключить принудительное использование
4. Пользователи снова получат возможность входить с помощью пароля или magic link

<Note>
  Отключение принудительного использования не отключает сам SSO — пользователи всё ещё смогут входить через SSO с помощью кнопки SSO на странице входа.
</Note>

## Устранение неполадок

<AccordionGroup>
  <Accordion title="Не удалось настроить SSO">
    * **Проверьте URL** — убедитесь, что ACS URL и Entity ID указаны точно как показано (без завершающих слэшей)
    * **Проверьте доступ к метаданным** — если используете URL, убедитесь, что он публично доступен
    * **Попробуйте XML** — если URL не работает, скачайте и вставьте XML напрямую
    * **Проверьте срок действия сертификата** — просроченные сертификаты IdP приведут к ошибке настройки
  </Accordion>

  <Accordion title="Пользователи не могут войти">
    * **Нажмите кнопку SSO** — пользователи должны нажать кнопку SSO на странице входа (а не просто ввести e-mail)
    * **Назначьте пользователей в IdP** — пользователи должны быть назначены SAML-приложению Krea в вашем IdP
    * **Проверьте Name ID** — убедитесь, что Name ID задан в формате email/EmailAddress в вашем IdP
    * **Проверьте e-mail-домен** — e-mail пользователей должны точно соответствовать подтверждённому домену
    * **Проверьте provisioning пользователей** — возможно, пользователей нужно сначала пригласить в рабочее пространство Krea
  </Accordion>

  <Accordion title="Ошибка «Invalid SAML response»">
    * **Расхождение часов** — убедитесь, что часы сервера IdP точны (в пределах 5 минут от фактического времени)
    * **Условия assertion** — проверьте, что условия NotBefore/NotOnOrAfter SAML-assertion действительны
    * **Проблемы с подписью** — убедитесь, что используется правильный сертификат
  </Accordion>

  <Accordion title="Цикл перенаправления или пустая страница">
    * **Очистите cookies** — удалите все cookies, связанные с Krea, и попробуйте снова
    * **Проверьте ACS URL** — убедитесь в отсутствии опечаток в ACS URL, настроенном в вашем IdP
    * **Проверьте домен** — убедитесь, что подтверждение домена всё ещё активно
  </Accordion>
</AccordionGroup>

## Управление SSO

### Просмотр состояния SSO

1. Перейдите в [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. Прокрутите до раздела **Domain Management**
3. Карточка SSO показывает:
   * Статус **Enabled** с зелёным индикатором
   * Ваш подтверждённый **домен**
   * Кнопку **Configure** для изменения настроек

### Обновление метаданных IdP

Если вам нужно обновить метаданные IdP (например, после ротации сертификата):

1. Перейдите в [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. В разделе **Domain Management** нажмите **Configure** на карточке SSO
3. Обновите URL или XML метаданных
4. Нажмите **Save changes**

### Отключение SSO

<Warning>
  Отключение SSO потребует от всех пользователей входить с помощью e-mail и пароля. Убедитесь, что у пользователей установлены пароли, прежде чем отключать.
</Warning>

1. Перейдите в [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. В разделе **Domain Management** нажмите **Configure** на карточке SSO
3. Нажмите **Disable SSO** внизу модального окна
4. Подтвердите действие

## Нужна помощь?

<CardGroup cols={2}>
  <Card title="Корпоративная поддержка" icon="headset" href="mailto:support@krea.ai">
    Свяжитесь с нашей корпоративной поддержкой по адресу **[support@krea.ai](mailto:support@krea.ai)**
  </Card>

  <Card title="Отдел продаж" icon="envelope" href="mailto:sales@krea.ai">
    Вопросы о корпоративных тарифах? Напишите на **[sales@krea.ai](mailto:sales@krea.ai)**
  </Card>
</CardGroup>
