Claude for Government erfordert Single Sign-on (SSO) für die Benutzerauthentifizierung. Im Gegensatz zum kommerziellen Claude Enterprise-Plan ist die E-Mail-basierte (Magic-Link-)Anmeldung nur für den Primären Eigentümer während der Kontoeinrichtung verfügbar. Alle anderen Benutzer müssen sich über den Identitätsanbieter (IdP) Ihrer Organisation authentifizieren.
Nach der SSO-Konfiguration kann der Primäre Eigentümer die Magic-Link-Anmeldung vollständig deaktivieren, sodass die gesamte Authentifizierung über Ihren IdP erfolgt.
Für die SSO-Einrichtung auf Claude Enterprise siehe Single Sign-on (SSO) einrichten.
Unterschiede von SSO für Claude for Government
Funktion | Claude for Government | Claude Enterprise |
E-Mail-(Magic-Link-)Anmeldung | Nur Primärer Eigentümer, während der Ersteinrichtung | Für alle Benutzer verfügbar |
SSO-Anforderung | Erforderlich für alle Benutzer außer dem Primären Eigentümer | Optional |
Schritte zum Einrichten von SSO
Voraussetzungen
Bevor Sie beginnen, bestätigen Sie, dass Sie über Folgendes verfügen:
Zugriff als Primärer Eigentümer — Die E-Mail-Adresse, die als Primärer Eigentümer registriert ist, wenn die Lizenz erworben wurde.
DNS-Zugriff — Möglichkeit, TXT-Einträge für die Anmeldedomäne(n) Ihrer Organisation zu erstellen.
IdP-Administratorzugriff — Berechtigung zum Erstellen einer SAML-Anwendung in Ihrem Identitätsanbieter (z. B. Entra ID, Okta).
Schritt 1: Als Primärer Eigentümer anmelden
Navigieren Sie zu claude.fedstart.com
Geben Sie die E-Mail-Adresse ein, die als Primärer Eigentümer registriert ist.
Schließen Sie die E-Mail-basierte Anmeldung mit dem Magic Link ab, der an den Posteingang des Primären Eigentümers gesendet wurde.
Nach der Anmeldung wird der Primäre Eigentümer zur Seite mit den Identitätseinstellungen unter claude.fedstart.com/admin-settings/identity weitergeleitet.
Tipp: Es ist oft sinnvoll, jemanden aus Ihrem IT-Team als Primären Eigentümer zu ernennen, da diese Person DNS- und IdP-Zugriff für die verbleibenden Schritte benötigt.
Schritt 2: Überprüfen Sie Ihre Domäne
Bevor Sie Ihren Identitätsanbieter (IdP) konfigurieren, müssen Sie den Besitz Ihrer Anmeldedomäne überprüfen.
Suchen Sie auf der Seite mit den Identitätseinstellungen Ihre Domäne und wählen Sie die Registerkarte "Anweisungen anzeigen". Dort können Sie den erforderlichen DNS-Challenge-Eintrag sehen, der festgelegt werden muss.
Erstellen Sie den angezeigten TXT-Eintrag in den DNS-Einstellungen Ihrer Domäne.
Warten Sie auf die DNS-Propagation. Sobald die Plattform den Eintrag erkennt, wird der Domänenstatus auf "Überprüft" aktualisiert.
Wichtig: Jede Domäne kann nur einen Identitätsanbieter haben. Wenn mehrere Organisationen eine einzelne Anmeldedomäne gemeinsam nutzen, können IT-Administratoren beider Organisationen die Anmeldeeinstellungen ändern. Kontaktieren Sie Anthropic Support für Unterstützung bei Multi-Organisation-Setups. Weitere Informationen zu Multi-Organisation-Setups finden Sie in unserem SCIM-Bereitstellungsleitfaden.
Schritt 3: Konfigurieren Sie Ihren Identitätsanbieter
Anthropic fungiert als Service Provider (SP) im SAML-SSO-Fluss. Der IdP Ihrer Organisation (z. B. Entra oder Okta) fungiert als Identitätsanbieter.
Suchen Sie auf der Seite mit den Identitätseinstellungen den Abschnitt SP-Metadaten. Dieser enthält die Werte, die Ihr IdP benötigt:
Entity ID (Audience URI)
ACS URL (Reply URL)
Erstellen Sie in Ihrem IdP eine neue SAML-Anwendung mit diesen SP-Metadatenwerten
Schritt 4: Konfigurieren Sie Anthropic mit Ihren IdP-Details
Nachdem Ihre SAML-Anwendung in Ihrem IdP eingerichtet ist, stellen Sie Anthropic die Details zur Verfügung, die es benötigt, um SAML-Assertions zu überprüfen. Geben Sie auf der Seite mit den Identitätseinstellungen Folgendes ein:
Signaturzertifikat — Das X.509-Zertifikat von Ihrem IdP.
IdP Entity ID — Der Entitätsbezeichner Ihres IdP.
SSO URL — Der SAML-Anmeldungsendpunkt Ihres IdP.
Anspruchsinformationen — Attributzuordnungen für Benutzernamen und E-Mail.
Tipp: Verwendung einer Metadaten-XML-Datei: Die meisten IdPs ermöglichen es Ihnen, eine metadata.xml-Datei herunterzuladen. Laden Sie diese auf der Seite mit den Identitätseinstellungen hoch, um das Signaturzertifikat, die IdP Entity ID und die SSO URL automatisch auszufüllen. Einige IdPs (wie Entra ID) enthalten auch Anspruchsinformationen in der Metadatendatei. Falls vorhanden, schlägt das System automatisch Feldzuordnungen vor.
Fehlerbehebung bei Attributzuordnungen
Die Attributzuordnung ist der Ort, an dem die meisten Konfigurationsprobleme auftreten. Wenn die Anmeldung nach der Einrichtung fehlschlägt:
Installieren Sie eine SAML-Debugging-Erweiterung wie SAML-tracer.
Versuchen Sie eine SSO-Anmeldung und überprüfen Sie die SAML-Antwort.
Bestätigen Sie, dass der E-Mail-Anspruch eine Adresse unter Ihrer überprüften Domäne zurückgibt. E-Mail-Ansprüche für nicht überprüfte Domänen werden abgelehnt.
Schritt 5: Testen und abschließen
Melden Sie sich von Claude for Government ab.
Melden Sie sich mit Ihrer SSO-Konfiguration erneut an, um zu bestätigen, dass sie funktioniert.
(Optional) Nachdem Sie die SSO-Anmeldung überprüft haben, kehren Sie zur Seite mit den Identitätseinstellungen zurück und deaktivieren Sie die Magic-Link-Anmeldung.
Warnung: Deaktivieren Sie die Magic-Link-Anmeldung nur, nachdem Sie bestätigt haben, dass die SSO-Anmeldung funktioniert. Wenn SSO falsch konfiguriert ist und der Magic Link deaktiviert wird, kann der Primäre Eigentümer nicht auf die Admin-Konsole zugreifen. Kontaktieren Sie den Anthropic-Support, wenn Sie ausgesperrt sind.
Nach der SSO-Konfiguration kann sich jeder Benutzer, der der SAML-Anwendung in Ihrem IdP zugewiesen ist, anmelden und wird automatisch einen Platz bereitgestellt, sofern Ihre Organisation über verfügbare Lizenzen verfügt. Wenn keine Plätze verfügbar sind, wird Benutzern bei der Anmeldung ein Fehler angezeigt. Kontaktieren Sie Ihren Anthropic-Kontobeauftragten, um Lizenzen hinzuzufügen. Für eine kontrollierte Bereitstellung – einschließlich Rollenzuweisung und Multi-Organisation-Unterstützung – siehe SCIM-Bereitstellung.