Zum Hauptinhalt springen

Einrichtung von Single Sign-on (SSO)

Vor über 3 Wochen aktualisiert

Single Sign-On ist für Team-Pläne, Enterprise-Pläne und Claude Console-Organisationen verfügbar.

Diese Anleitung behandelt die Schritte zum Konfigurieren von SSO für Team- und Enterprise-Pläne sowie Claude Console-Organisationen.

Schritt 1: Voraussetzungen und wichtige Überlegungen überprüfen

Bevor Sie mit der SSO-Einrichtung fortfahren, führen Sie Folgendes durch:

Überprüfen Sie den Leitfaden zu Überlegungen: Lesen Sie Wichtige Überlegungen vor der Aktivierung von Single Sign-On (SSO) und JIT/SCIM-Bereitstellung, um übergeordnete Organisationen zu verstehen, Ihren Einrichtungspfad zu bestimmen und alle erforderlichen Schritte wie das Zusammenführen von Organisationen abzuschließen.

Bestätigen Sie, dass Sie die erforderliche Rolle haben:

  • Für Team- oder Enterprise-Pläne: Sie müssen ein Owner oder Primary Owner sein

  • Für Claude Console: Sie müssen ein Admin sein

Bestätigen Sie, dass Sie Zugriff auf Folgendes haben:

  • DNS-Einstellungen für die E-Mail-Domain Ihres Unternehmens

  • Den SSO-Identitätsanbieter (IdP) Ihres Unternehmens, der zum Anmelden bei Drittanwendungen verwendet wird (z. B. Okta, Google Workspace usw.)

Bitte kontaktieren Sie den IT-Administrator Ihrer Organisation, wenn Sie keine Berechtigung zum Verwalten von Claude oder den DNS-Einstellungen Ihres Unternehmens haben.

Hinweis: WorkOS ist der Anbieter von Anthropic für Domain-Verifizierung und SSO-Einrichtung. Weitere Details finden Sie in Anthropics Unterprozessor-Liste. Sie werden durch einen WorkOS-Einrichtungsablauf geführt, wenn Sie SSO- und Bereitstellungsfunktionen konfigurieren – finden Sie Ihren Identitätsanbieter in ihrer Integrationsdokumentation.

Schritt 2: Überprüfen Sie Ihre Domain(s)

Die Domain-Verifizierung beweist, dass Sie die Domain Ihres Unternehmens besitzen. Nach der Verifizierung können Sie SSO für Konten mit der Domain Ihres Unternehmens konfigurieren.

Hinweis: Die Verifizierung Ihrer Domain allein hat keine Auswirkungen auf die Fähigkeit bestehender Benutzer, auf unsere Produkte zuzugreifen. Der Zugriff von Endbenutzern wird nur beeinflusst, wenn SSO eingerichtet und explizit erzwungen wird.

  1. Navigieren Sie zu Ihren Einstellungen für „Identität und Zugriff" in Claude (claude.ai/admin-settings/identity) oder Console (platform.claude.com/settings/identity) – beachten Sie, dass diese Seite in Console nur angezeigt wird, wenn Sie mit dem Vertrieb zusammengearbeitet haben, um SSO zu aktivieren, oder einen Zusammenführungsvorschlag abgeschlossen haben.

  2. Klicken Sie im Abschnitt Globale SSO-Konfiguration auf „Domain hinzufügen".

  3. Folgen Sie den Anweisungen zum Hinzufügen Ihres TXT-Datensatzes.

    • Wenn Sie eine Subdomain verwenden (z. B. subdomain.yourcompany.com), legen Sie Ihren TXT-Datensatz auf dieser Subdomain fest (z. B. _acme-challenge.subdomain.yourcompany.com).

  4. Warten Sie 10 Minuten, bis sich Ihre DNS-Änderung ausbreitet. Hinweis: DNS-Änderungen können 24-48 Stunden dauern, um sich global auszubreiten.

  5. Wenn Sie das grüne Abzeichen „Verifiziert" sehen, können Sie die Anweisungsseite schließen.

  6. Wenn Ihre Domain als „Ausstehend" angezeigt wird, verwenden Sie die Schaltfläche „Aktualisieren".

Hinweis: Sobald Ihre Domain verifiziert ist, sehen Sie einen Umschalter Erstellung neuer Organisationen deaktivieren im Abschnitt „Globale SSO-Konfiguration" der Seite „Identität und Zugriff". Aktivieren Sie diesen, wenn Sie verhindern möchten, dass Benutzer neue Claude- oder Console-Organisationen – einschließlich persönlicher Konten – mit Ihren verifizierten Domains erstellen.

Schritt 3: Richten Sie SSO mit Ihrem Identitätsanbieter ein

  1. Navigieren Sie zu Ihren Einstellungen für „Identität und Zugriff" in Claude (claude.ai/admin-settings/identity) oder Console (platform.claude.com/settings/identity)

  2. Klicken Sie im Abschnitt Globale SSO-Konfiguration auf „SSO einrichten" (oder „SSO verwalten").

  3. Folgen Sie dem Einrichtungsleitfaden für Ihren Identitätsanbieter (siehe unten für zusätzliche Leitfäden).

  4. Am Ende dieser Schritte werden Sie aufgefordert, Single Sign-On zu testen, um zu bestätigen, dass keine Fehler vorhanden sind und die Konfiguration erfolgreich ist.

  5. Nach Abschluss navigieren Sie zurück zur Seite „Identität und Zugriff" für weitere Konfigurationsoptionen.

Wichtig: Die SSO-Erzwingung kann dazu führen, dass Benutzer sich nicht anmelden können, wenn sie nicht ordnungsgemäß der Anthropic-App im IdP zugewiesen sind. Wenn Sie mehr als eine Claude/Console-Organisation haben, die mit Ihrer „übergeordneten Organisation" verbunden ist, sollten Sie erwägen, für jede eine eindeutige IdP-Gruppe zu erstellen – siehe Erweiterte Gruppenzuordnungen.

Für IdP-spezifische Einrichtungsanweisungen siehe:

Schritt 4: Wählen Sie, ob SSO erzwungen werden soll

Sie können jetzt auf der Seite „Identität und Zugriff" im Abschnitt SSO-Konfiguration die Umschalter SSO für Console erzwingen und/oder SSO für Claude erzwingen aktivieren.

Wenn SSO erzwungen wird, müssen Benutzer die Option „Mit SSO fortfahren" verwenden, um auf Claude/Console zuzugreifen. Wenn SSO nicht erzwungen wird, haben sie die Möglichkeit, „Mit SSO fortfahren" oder „Mit E-Mail fortfahren" zu wählen.

Bitte überprüfen Sie Was passiert mit bestehenden Benutzern, wenn SSO aktiviert wird, bevor Sie sich entscheiden.

Schritt 5: Wählen Sie Ihren Bereitstellungsansatz

Sobald SSO aktiviert ist, müssen Sie entscheiden, wie Benutzer zu Ihrer Organisation hinzugefügt werden. Dies wird durch die Einstellung Bereitstellungsmodus im Abschnitt Organisation SSO-Konfiguration Ihrer Einstellungen für „Identität und Zugriff" gesteuert.

Manuell ist die Standardeinstellung. Benutzer werden direkt in Ihren Claude- oder Console-Einstellungen hinzugefügt und entfernt. Siehe Verwalten von Mitgliedern in Team- und Enterprise-Plänen.

JIT-Bereitstellung (Just-in-Time) kann aktiviert werden, um Benutzer automatisch bei ihrer ersten Anmeldung bereitzustellen. Standardmäßig erhalten Benutzer, die Ihrer Anthropic IdP-App zugewiesen sind, bei ihrer ersten Anmeldung die Benutzerrolle. Dies ist die einfachste automatisierte Option und erfordert keine zusätzliche Konfiguration über die Auswahl hinaus.

Erweiterte Gruppenzuordnungen – wann zusätzliche Bereitstellungsfunktionen konfiguriert werden sollten

Für mehr Kontrolle über die Bereitstellung siehe Einrichten von JIT- oder SCIM-Bereitstellung. Sie sollten diesen Leitfaden überprüfen, wenn Sie Folgendes benötigen:

  • Automatisches Zuweisen von Rollen oder Seat-Tiers basierend auf IdP-Gruppenmitgliedschaft.

  • SCIM-Verzeichnissynchronisierung für automatische Bereitstellung und Aufhebung der Bereitstellung verwenden.

  • Zugriff über mehrere Organisationen verwalten (z. B. wenn Sie sowohl eine Team/Enterprise-Organisation als auch eine Console-Organisation haben, die mit derselben übergeordneten Organisation verknüpft sind, und kontrollieren müssen, welche Benutzer für jede bereitgestellt werden).

Hinweis: Wir unterstützen derzeit keine IdP-initiierte Anmeldung für Claude Console-Organisationen, die SSO-Einstellungen mit einer Team- oder Enterprise-Plan-Organisation teilen. Benutzer werden mit IdP-initiierter Anmeldung zu claude.ai weitergeleitet. Als Workaround können Sie, falls möglich in Ihrem IdP, ein Lesezeichen namens „Claude Console" erstellen, das auf platform.claude.com/login?sso=true verlinkt, um Benutzer zu Console für SP-initiierte Anmeldung weiterzuleiten.

Aktualisieren Sie Ihr SSO-Zertifikat

Wenn das X.509-Signaturzertifikat Ihres Identitätsanbieters abläuft oder rotiert wird, müssen Sie es in Claude oder Console aktualisieren, um die SSO-Funktionalität aufrechtzuerhalten.

  1. Navigieren Sie zu Ihren Einstellungen für „Identität und Zugriff":

    • Für Team- und Enterprise-Pläne: claude.ai/admin-settings/identity

    • Für Claude Console: platform.claude.com/settings/identity

  2. Klicken Sie im Abschnitt Globale SSO-Konfiguration auf „SSO verwalten".

  3. Wählen Sie „Metadaten-Konfiguration".

  4. Klicken Sie auf „Bearbeiten".

  5. Aktualisieren Sie Ihre Zertifikatsinformationen und speichern Sie Ihre Änderungen.

  6. Klicken Sie auf der gleichen Seite auf „Anmeldung testen", um zu bestätigen, dass alles funktioniert.

SSO ausschalten

Sie können die Umschalter SSO auf Claude.ai erzwingen oder SSO auf Console erzwingen jederzeit ausschalten. Dies macht SSO für alle Benutzer optional.

Um SSO vollständig zu trennen, klicken Sie auf „SSO verwalten" und dann auf „Zurücksetzen". Dies beendet alle Benutzersitzungen und erfordert, dass sie sich über einen E-Mail-Anmeldelink erneut anmelden.

Verwandte Artikel
Wie man Support erhält
Wichtige Überlegungen vor der Aktivierung von Single Sign-On (SSO) und JIT/SCIM-Bereitstellung
Einrichtung von JIT- oder SCIM-Bereitstellung
Erzwingen Sie Zugriffskontrolle auf Netzwerkebene mit Tenant Restrictions
Anmelden bei Ihrem Console-Konto
Hat dies deine Frage beantwortet?