Ir al contenido principal

Configurar inicio de sesión único (SSO)

El inicio de sesión único está disponible para planes Team, planes Enterprise y organizaciones de Claude Console.

Esta guía cubre los pasos para configurar SSO para planes Team y Enterprise, y organizaciones de Claude Console.

Paso 1: Revisar requisitos previos y consideraciones importantes

Antes de proceder con la configuración de SSO, complete lo siguiente:

Revise la guía de consideraciones: Lea Consideraciones importantes antes de habilitar el inicio de sesión único (SSO) y aprovisionamiento JIT/SCIM para comprender las organizaciones principales, determinar su ruta de configuración y completar cualquier paso previo, como fusionar organizaciones.

Confirme que tiene el rol requerido:

  • Para planes Team o Enterprise: Debe ser Propietario o Propietario Principal

  • Para Claude Console: Debe ser Administrador

Confirme que tiene acceso a lo siguiente:

  • Configuración de DNS para el dominio de la dirección de correo electrónico de su empresa

  • Proveedor de identidad SSO (IdP) de su empresa utilizado para iniciar sesión en aplicaciones de terceros (por ejemplo, Okta, Google Workspace, etc.)

Póngase en contacto con el administrador de TI de su organización si no tiene permisos para administrar Claude o la configuración de DNS de su empresa.

Nota: WorkOS es el proveedor de Anthropic para verificación de dominio y configuración de SSO. Más detalles se pueden encontrar en Lista de Subprocesadores de Anthropic. Se le guiará a través de un flujo de configuración de WorkOS al configurar SSO y características de aprovisionamiento—encuentre su Proveedor de Identidad en su documentación de Integración.


Paso 2: Verificar su(s) dominio(s)

La verificación de dominio demuestra que es propietario del dominio de su empresa. Una vez verificado, puede configurar SSO para cuentas con el dominio de su empresa.

Puede verificar múltiples dominios para una sola organización, pero todos los dominios deben ser administrados a través de un único IdP. No admitimos la verificación de dominios de IdPs separados dentro de la misma organización.

Nota: Verificar su dominio por sí solo no afectará la capacidad de los usuarios existentes para acceder a nuestros productos. El acceso de los usuarios finales solo se ve afectado una vez que SSO está configurado y explícitamente aplicado.

  1. Navegue a su configuración de Organización y acceso en Claude (claude.ai/admin-settings/organization) o su configuración de Identidad y acceso en Console (platform.claude.com/settings/identity) – tenga en cuenta que esta página solo aparecerá en Console si ha trabajado con Ventas para habilitar SSO o completó una propuesta de fusión.

  2. En la sección Dominios, haga clic en "Agregar o editar dominios".

  3. Ingrese el/los dominio(s) que desea verificar en el modal Actualizar dominios de correo electrónico de la organización y haga clic en el botón "+":

  4. Haga clic en "Guardar" cuando haya terminado de agregar dominios.

  5. El/los dominio(s) que agregó ahora aparecerá(n) en la sección Dominios; haga clic en "Verificar" a la derecha del/de los dominio(s) para comenzar el proceso de verificación.

  6. Ingrese su dominio en el cuadro de texto y haga clic en "Continuar":

  7. La pantalla de configuración muestra un registro TXT. Copie el valor completo usando el botón de copiar—comienza con anthropic-domain-verification- y es más largo que lo que es visible en el cuadro. En su proveedor de DNS, agregue un registro TXT con Host/Nombre establecido en @ (la raíz de su dominio) y Valor establecido en la cadena copiada. Agréguelo junto con cualquier registro TXT existente; no los reemplace. El valor distingue mayúsculas de minúsculas, así que péguelo exactamente.

    1. Importante: Guarde el valor TXT antes de salir de la pantalla de configuración. Una vez que el dominio se muestra como Pendiente, la consola de administración no muestra el valor nuevamente. Si lo pierde, deberá eliminar y volver a agregar el dominio, lo que genera un nuevo valor.

  8. Espere 10 minutos para que su cambio de DNS se propague.

    • Nota: Los cambios de DNS pueden tardar 24-48 horas en propagarse globalmente.

  9. Cuando vea la insignia verde "Verificado", puede cerrar la página de instrucciones.

  10. Si su dominio se muestra como "Pendiente", use el botón "Actualizar".

Si su dominio permanece Pendiente

Al hacer clic en "Actualizar" se vuelve a verificar su DNS; no mostrará Verificado hasta que el registro TXT publicado coincida exactamente con el valor esperado. Si permanece Pendiente después de que DNS se haya propagado, verifique lo siguiente:

  • El registro existe en la raíz. Busque los registros TXT de su dominio con una herramienta como DNSChecker y confirme que aparece un registro que comienza con anthropic-domain-verification- para yourdomain.com (no www.yourdomain.com u otro subdominio). Si no aparece, el registro puede haber sido agregado en el host incorrecto o aún no se ha propagado.

  • El valor coincide exactamente. La verificación distingue mayúsculas de minúsculas y requiere la cadena completa incluyendo el prefijo anthropic-domain-verification-…=. Una sola diferencia de carácter lo mantendrá Pendiente.

  • No ha eliminado ni vuelto a agregar el dominio. Cada re-adición genera un nuevo valor de verificación. Si volvió a agregar el dominio después de publicar el registro TXT, el valor publicado ya no coincide—deberá actualizar el registro de DNS con el nuevo valor.

Si el registro es correcto y se ha propagado pero el estado aún muestra Pendiente, póngase en contacto con Soporte.

Nota: Una vez que su dominio esté verificado, verá un botón de alternancia Restringir creación de organización bajo Seguridad en la página de configuración de organización de Organización y acceso. Habilítelo si desea evitar que los usuarios creen nuevas organizaciones de Claude o Console—incluyendo cuentas personales—usando sus dominios verificados.


Paso 3: Configurar SSO con su Proveedor de Identidad

  1. Navegue a su configuración de Organización y acceso en Claude (claude.ai/admin-settings/organization) o su configuración de Identidad y acceso en Console (platform.claude.com/settings/identity).

  2. En la sección Autenticación, haga clic en "Configurar SSO" (o "Administrar SSO").

  3. Siga la guía de configuración proporcionada para su Proveedor de Identidad (vea a continuación para guías adicionales).

  4. Al final de estos pasos, se le pedirá que Pruebe el Inicio de Sesión Único para confirmar que no hay errores y la configuración es exitosa.

  5. Una vez completado, navegue de vuelta a la página de configuración de Organización y acceso para más opciones de configuración.

Importante: La aplicación de SSO podría resultar en que los usuarios no puedan iniciar sesión si no están correctamente asignados a la aplicación Anthropic en el IdP. Si tiene más de una organización de Claude/Console conectada a su "organización principal", querrá considerar crear un Grupo de IdP único para cada una. Para más información, vea habilitar asignaciones de grupo.

Para instrucciones de configuración específicas del IdP, vea:


Paso 4: Elegir requerir SSO

Ahora puede elegir activar Requerir SSO para Console y/o Requerir SSO para Claude, en la página Organización y acceso, bajo la sección Autenticación:

Cuando SSO es requerido, los usuarios deben usar la opción "Continuar con SSO" para iniciar sesión en sus cuentas de Claude/Console. Cuando SSO no es requerido, tendrán la opción de elegir "Continuar con SSO" o "Continuar con correo electrónico".


Paso 5: Elegir su enfoque de aprovisionamiento

Una vez que SSO está habilitado, debe decidir cómo se agregarán los usuarios a su organización eligiendo una opción dentro de la sección Aprovisionamiento de usuarios de su configuración de Organización y acceso.

Solo por invitación es el predeterminado. Los usuarios se agregan y se eliminan directamente en su configuración de Claude o Console. Por favor vea Administrar miembros en planes Team y Enterprise.

Aprovisionamiento Just-in-Time (JIT) se puede habilitar para aprovisionar automáticamente a los usuarios cuando inicien sesión por primera vez. De forma predeterminada, los usuarios asignados a su aplicación IdP de Anthropic al primer inicio de sesión, recibirán el rol de Usuario. Esta es la opción automatizada más simple y no requiere configuración adicional más allá de seleccionar "Just-in-Time (JIT)" como su modo de aprovisionamiento.

Habilitar asignaciones de grupo - cuándo configurar características de aprovisionamiento adicionales

Para más control sobre el aprovisionamiento, vea Configurar aprovisionamiento JIT o SCIM. Querrá revisar esta guía si necesita:

  • Asignar automáticamente roles o niveles de asiento basados en la membresía del grupo IdP.

  • Usar sincronización de directorio SCIM para aprovisionamiento y desaprovisionamiento automático.

  • Administrar acceso en múltiples organizaciones (por ejemplo, si tiene tanto una organización Team/Enterprise como una organización Console vinculadas al mismo padre y necesita controlar qué usuarios se aprovisionan en cada una).

Nota: Actualmente no admitimos inicio de sesión iniciado por IdP para organizaciones de Claude Console que comparten configuración de SSO con una organización de plan Team o Enterprise. Los usuarios serán redirigidos a claude.ai con inicio de sesión iniciado por IdP. Como solución alternativa, si es posible en su IdP, cree un marcador llamado "Claude Console" que enlace a platform.claude.com/login?sso=true para redirigir a los usuarios a Console para inicio de sesión iniciado por SP.


Actualizar su certificado SSO

Cuando el certificado de firma X.509 de su Proveedor de Identidad expire o se rote, deberá actualizarlo en Claude o Console para mantener la funcionalidad de SSO.

  1. Navegue a su configuración:

  2. En la sección Autenticación, haga clic en "Administrar SSO".

  3. Encuentre la sección Configuración de Metadatos y haga clic en "Editar".

  4. Actualice su información de certificado y guarde sus cambios.

  5. Haga clic en "Probar inicio de sesión" en la misma página para confirmar que todo está funcionando.


Desactivar SSO

Puede desactivar Requerir SSO para Claude o Requerir SSO para Console en cualquier momento. Esto hará que SSO sea opcional para todos los usuarios.

Para desconectar completamente SSO, haga clic en "Administrar SSO" luego en "Restablecer conexión". Esto terminará todas las sesiones de los usuarios y les requerirá que inicien sesión nuevamente a través del enlace de inicio de sesión por correo electrónico.

¿Ha quedado contestada tu pregunta?