Zum Hauptinhalt springen

Einrichten von Single Sign-On (SSO)

Diese Woche aktualisiert

Single Sign-On ist für Team-Pläne, Enterprise-Pläne und Claude Console-Organisationen verfügbar.

Diese Anleitung behandelt die Schritte zum Konfigurieren von SSO für Team- und Enterprise-Pläne sowie Claude Console-Organisationen.

Schritt 1: Voraussetzungen und wichtige Überlegungen überprüfen

Bevor Sie mit der SSO-Einrichtung fortfahren, führen Sie Folgendes durch:

Überprüfen Sie den Leitfaden zu Überlegungen: Lesen Sie Wichtige Überlegungen vor der Aktivierung von Single Sign-On (SSO) und JIT/SCIM-Bereitstellung, um übergeordnete Organisationen zu verstehen, Ihren Einrichtungspfad zu bestimmen und alle erforderlichen Schritte wie das Zusammenführen von Organisationen abzuschließen.

Bestätigen Sie, dass Sie die erforderliche Rolle haben:

  • Für Team- oder Enterprise-Pläne: Sie müssen ein Owner oder Primary Owner sein

  • Für Claude Console: Sie müssen ein Admin sein

Bestätigen Sie, dass Sie Zugriff auf Folgendes haben:

  • DNS-Einstellungen für die E-Mail-Domain Ihres Unternehmens

  • Den SSO-Identitätsanbieter (IdP) Ihres Unternehmens, der zum Anmelden bei Drittanwendungen verwendet wird (z. B. Okta, Google Workspace usw.)

Bitte kontaktieren Sie den IT-Administrator Ihrer Organisation, wenn Sie keine Berechtigung zum Verwalten von Claude oder den DNS-Einstellungen Ihres Unternehmens haben.

Hinweis: WorkOS ist der Anbieter von Anthropic für Domänenverifizierung und SSO-Einrichtung. Weitere Details finden Sie in Anthropics Unterprozessor-Liste. Sie werden durch einen WorkOS-Einrichtungsablauf geführt, wenn Sie SSO- und Bereitstellungsfunktionen konfigurieren – finden Sie Ihren Identitätsanbieter in ihrer Integrationsdokumentation.

Schritt 2: Überprüfen Sie Ihre Domain(s)

Die Domänenverifizierung beweist, dass Sie die Domain Ihres Unternehmens besitzen. Nach der Verifizierung können Sie SSO für Konten mit der Domain Ihres Unternehmens konfigurieren.

Sie können mehrere Domains für eine einzelne Organisation überprüfen, aber alle Domains müssen über einen einzelnen IdP verwaltet werden. Wir unterstützen nicht die Verifizierung von Domains von separaten IdPs innerhalb derselben Organisation.

Hinweis: Die Verifizierung Ihrer Domain allein hat keine Auswirkungen auf die Fähigkeit bestehender Benutzer, auf unsere Produkte zuzugreifen. Der Zugriff von Endbenutzern wird nur beeinflusst, wenn SSO eingerichtet und explizit erzwungen wird.

  1. Navigieren Sie zu Ihren Einstellungen für „Identität und Zugriff" in Claude (claude.ai/admin-settings/identity) oder Console (platform.claude.com/settings/identity) – beachten Sie, dass diese Seite in Console nur angezeigt wird, wenn Sie mit dem Vertrieb zusammengearbeitet haben, um SSO zu aktivieren, oder einen Zusammenführungsvorschlag abgeschlossen haben.

  2. Klicken Sie im Abschnitt Domains auf „Domains hinzufügen oder bearbeiten".

  3. Geben Sie die Domain(s) ein, die Sie überprüfen möchten, im Modal Organisationse-Mail-Domains aktualisieren und klicken Sie auf die Schaltfläche „+":

  4. Klicken Sie auf „Speichern", wenn Sie mit dem Hinzufügen von Domains fertig sind.

  5. Die hinzugefügten Domain(s) werden nun im Abschnitt Domains angezeigt. Klicken Sie auf „Überprüfen" neben der/den Domain(s), um den Verifizierungsprozess zu starten.

  6. Geben Sie Ihre Domain in das Textfeld ein und klicken Sie auf „Weiter":

  7. Dies generiert einen TXT-Datensatz. Befolgen Sie die Anweisungen, um diesen TXT-Datensatz zu Ihrem Domain-Anbieter hinzuzufügen.

    • Wenn Sie eine Subdomain verwenden (z. B. subdomain.yourcompany.com), legen Sie Ihren TXT-Datensatz auf dieser Subdomain fest (z. B. _acme-challenge.subdomain.yourcompany.com).

  8. Warten Sie 10 Minuten, bis sich Ihre DNS-Änderung ausgebreitet hat.

    • Hinweis: DNS-Änderungen können 24-48 Stunden dauern, um sich global auszubreiten.

  9. Wenn Sie das grüne Abzeichen „Überprüft" sehen, können Sie die Anweisungsseite schließen.

  10. Wenn Ihre Domain als „Ausstehend" angezeigt wird, verwenden Sie die Schaltfläche „Aktualisieren".

Hinweis: Sobald Ihre Domain überprüft ist, sehen Sie einen Umschalter Organisationserstellung einschränken unter Sicherheit auf der Seite mit den Einstellungen für Identität und Zugriff der Organisation. Aktivieren Sie dies, wenn Sie verhindern möchten, dass Benutzer neue Claude- oder Console-Organisationen erstellen – einschließlich persönlicher Konten – mit Ihren verifizierten Domains.

Schritt 3: Richten Sie SSO mit Ihrem Identitätsanbieter ein

  1. Navigieren Sie zu Ihren Einstellungen für Identität und Zugriff in Claude (claude.ai/admin-settings/identity) oder Console (platform.claude.com/settings/identity)

  2. Klicken Sie im Abschnitt Globale Zugriffseinstellungen auf „SSO einrichten" (oder „Verwalten").

  3. Befolgen Sie den Einrichtungsleitfaden für Ihren Identitätsanbieter (siehe unten für zusätzliche Leitfäden).

  4. Am Ende dieser Schritte werden Sie aufgefordert, Single Sign-On zu testen, um zu bestätigen, dass keine Fehler vorhanden sind und die Konfiguration erfolgreich ist.

  5. Nach Abschluss navigieren Sie zurück zur Seite mit den Einstellungen für Identität und Zugriff für weitere Konfigurationsoptionen.

Wichtig: Die SSO-Erzwingung kann dazu führen, dass Benutzer sich nicht anmelden können, wenn sie nicht ordnungsgemäß der Anthropic-App im IdP zugewiesen sind. Wenn Sie mehr als eine Claude/Console-Organisation haben, die mit Ihrer „übergeordneten Organisation" verbunden ist, sollten Sie erwägen, eine eindeutige IdP-Gruppe für jede zu erstellen. Weitere Informationen finden Sie unter Gruppenzuordnungen aktivieren.

Für IdP-spezifische Einrichtungsanweisungen siehe:

Schritt 4: Wählen Sie, um SSO zu erzwingen

Sie können jetzt auf der Seite „Identität und Zugriff" im Abschnitt Globale Zugriffseinstellungen die Umschalter SSO für Console erforderlich und/oder SSO für Claude erforderlich aktivieren:

Wenn SSO erforderlich ist, müssen Benutzer die Option „Mit SSO fortfahren" verwenden, um auf Claude/Console zuzugreifen. Wenn SSO nicht erforderlich ist, haben sie die Möglichkeit, „Mit SSO fortfahren" oder „Mit E-Mail fortfahren" zu wählen.

Bevor Sie sich entscheiden, lesen Sie Was passiert mit bestehenden Benutzern, wenn SSO aktiviert wird.

Schritt 5: Wählen Sie Ihren Bereitstellungsansatz

Sobald SSO aktiviert ist, müssen Sie entscheiden, wie Benutzer zu Ihrer Organisation hinzugefügt werden. Dies wird durch die Einstellung Bereitstellungsmodus im Abschnitt Globale Zugriffseinstellungen Ihrer Einstellungen für Identität und Zugriff gesteuert.

Nur Einladung ist die Standardeinstellung. Benutzer werden direkt in Ihren Claude- oder Console-Einstellungen hinzugefügt und entfernt. Bitte siehe Verwalten von Mitgliedern in Team- und Enterprise-Plänen.

JIT-Bereitstellung (Just-in-Time) kann aktiviert werden, um Benutzer automatisch bei ihrer ersten Anmeldung bereitzustellen. Standardmäßig erhalten Benutzer, die Ihrer Anthropic-IdP-App zugewiesen sind, bei ihrer ersten Anmeldung die Benutzerrolle. Dies ist die einfachste automatisierte Option und erfordert keine zusätzliche Konfiguration über die Auswahl von „Automatisch genehmigen (JIT)" als Bereitstellungsmodus hinaus.

Gruppenzuordnungen aktivieren – wann zusätzliche Bereitstellungsfunktionen konfiguriert werden

Für mehr Kontrolle über die Bereitstellung siehe Einrichten von JIT- oder SCIM-Bereitstellung. Sie sollten diesen Leitfaden überprüfen, wenn Sie Folgendes benötigen:

  • Automatisches Zuweisen von Rollen oder Seat-Tiers basierend auf IdP-Gruppenmitgliedschaft.

  • Verwenden Sie SCIM-Verzeichnissynchronisierung für automatische Bereitstellung und Aufhebung der Bereitstellung.

  • Verwalten Sie den Zugriff auf mehrere Organisationen (z. B. wenn Sie sowohl eine Team/Enterprise-Organisation als auch eine Console-Organisation haben, die mit derselben übergeordneten Organisation verknüpft sind, und kontrollieren müssen, welche Benutzer für jede bereitgestellt werden).

Hinweis: Wir unterstützen derzeit keine IdP-initiierte Anmeldung für Claude Console-Organisationen, die SSO-Einstellungen mit einer Team- oder Enterprise-Plan-Organisation teilen. Benutzer werden mit IdP-initiierter Anmeldung zu claude.ai umgeleitet. Als Workaround können Sie, falls möglich in Ihrem IdP, ein Lesezeichen namens „Claude Console" erstellen, das auf platform.claude.com/login?sso=true verlinkt, um Benutzer zur Console für SP-initiierte Anmeldung umzuleiten.

Aktualisieren Sie Ihr SSO-Zertifikat

Wenn das X.509-Signaturzertifikat Ihres Identitätsanbieters abläuft oder rotiert wird, müssen Sie es in Claude oder Console aktualisieren, um die SSO-Funktionalität aufrechtzuerhalten.

  1. Navigieren Sie zu Ihren Einstellungen für Identität und Zugriff:

  2. Klicken Sie im Abschnitt Globale Zugriffseinstellungen auf „SSO verwalten".

  3. Wählen Sie „Metadaten-Konfiguration".

  4. Klicken Sie auf „Bearbeiten".

  5. Aktualisieren Sie Ihre Zertifikatsinformationen und speichern Sie Ihre Änderungen.

  6. Klicken Sie auf der gleichen Seite auf „Anmeldung testen", um zu bestätigen, dass alles funktioniert.

SSO ausschalten

Sie können SSO für Claude erforderlich oder SSO für Console erforderlich jederzeit ausschalten. Dies macht SSO für alle Benutzer optional.

Um SSO vollständig zu trennen, klicken Sie auf „SSO verwalten" und dann auf „Zurücksetzen". Dies beendet alle Benutzersitzungen und erfordert, dass sie sich über einen E-Mail-Anmeldelink erneut anmelden.

Verwandte Artikel
Wichtige Überlegungen vor der Aktivierung von Single Sign-On (SSO) und JIT/SCIM-Bereitstellung
JIT- oder SCIM-Bereitstellung einrichten
Anmelden bei Ihrem Console-Konto
Wechsel zu einem anderen Identity Provider (IdP)
Einer Organisation über einen Einladungslink beitreten
Hat dies deine Frage beantwortet?