Avant de configurer l'authentification unique (SSO) pour votre organisation Claude ou Claude Console, consultez ce guide pour comprendre les concepts clés, planifier votre approche et effectuer les étapes préalables nécessaires.
Comprendre les organisations parentes
Notre fonction d'authentification unique utilise le concept d'« organisation parente »—une entité qui stocke les paramètres SSO pouvant être partagés entre plusieurs organisations Claude ou Console. Votre type de plan détermine si vous disposez ou non d'une organisation parente par défaut :
Type de plan | Organisation parente |
Plan Enterprise | Créée automatiquement lors de la configuration de l'organisation |
Plan Team | Créée lors de l'activation de l'authentification unique pour la première fois |
Claude Console | Non créée automatiquement ; nécessite une action (voir ci-dessous) |
Points clés à connaître
La vérification du domaine est requise avant de pouvoir configurer l'authentification unique. Les domaines sont vérifiés au niveau de l'organisation parente—une fois vérifiés, les autres organisations parentes ne peuvent pas revendiquer le même domaine.
Plusieurs organisations peuvent être liées à la même organisation parente pour partager la vérification du domaine et la configuration de l'authentification unique. Ceci est utile si vous disposez à la fois d'organisations Claude (plans Team/Enterprise) et Console.
Les mappages de groupes avancés vous permettent de contrôler quels utilisateurs sont provisionnés vers quelles organisations sous votre parent, et avec quels rôles. Consultez Configurer les groupes et assigner les utilisateurs dans votre IdP pour plus de détails.
Ce que cela signifie pour vous
Vous devrez vérifier la dynamique de l'organisation parente en fonction de votre plan :
Si vous disposez d'un plan Team ou Enterprise : Vous pouvez procéder directement au guide Configuration de l'authentification unique (SSO). Votre organisation parente est déjà en place (ou sera créée lors de l'activation de l'authentification unique pour les plans Team).
Si vous disposez d'une organisation Claude Console et d'un plan Team ou Enterprise existant : Votre organisation Console peut déjà être liée à votre organisation parente Team ou Enterprise. Vérifiez si vous pouvez accéder à platform.claude.com/settings/identity – si c'est le cas, cela indique que l'organisation est liée à l'organisation parente et que l'authentification unique est déjà configurée. Si ce n'est pas le cas, un propriétaire de votre plan Team ou Enterprise peut initier une fusion pour lier votre organisation Console (voir Fusion d'organisations ci-dessous) à leur organisation parente et à la configuration d'authentification unique existante.
Si vous disposez d'une organisation Claude Console sans plan Team ou Enterprise : Contactez notre équipe commerciale pour demander une organisation parente pour votre compte Console. Une fois votre organisation parente créée, vous verrez la page des paramètres d'identité dans Claude Console et pourrez procéder à la configuration de l'authentification unique.
Fusion d'organisations
Les organisations Team ou Enterprise peuvent inviter d'autres organisations à rejoindre une organisation parente existante et partager la configuration de l'authentification unique.
Important : L'option Fusionner les organisations n'est disponible que sur Claude (claude.ai). Les organisations Console ne peuvent pas initier une fusion—elles doivent être invitées par une organisation Team ou Enterprise.
Conditions requises pour la fusion
L'organisation Team ou Enterprise qui initie la proposition doit avoir des domaines vérifiés dans son organisation parente.
Tous les membres de l'organisation invitée doivent avoir des adresses e-mail correspondant à ces domaines vérifiés.
Un administrateur (Console) ou propriétaire (Claude) de l'organisation invitée doit approuver la fusion.
Pour initier une proposition de fusion
Cliquez sur « Inviter » sous Fusion d'organisations.
Sélectionnez l'organisation que vous souhaitez inviter et cliquez sur « Suivant ».
Vérifiez le nombre de membres et cliquez sur « Inviter ».
La proposition de fusion sera envoyée aux administrateurs/propriétaires de l'organisation invitée, avec le sujet de l'e-mail « Mise à jour de l'organisation parente : nouvelle organisation membre proposée », et doit être approuvée dans les 14 jours.
Remarque : Si la personne qui initie la fusion est également un administrateur/propriétaire dans l'organisation invitée, une seule approbation est requise.
Une fois qu'une organisation Console est fusionnée, elle aura accès à la page Identité et accès, dans les paramètres d'administration, pour configurer les paramètres d'authentification unique et de provisionnement et des fonctionnalités comme les mappages de groupes avancés.
Comprendre la configuration SSO globale par rapport à celle de l'organisation
Lorsque vous accédez à la page Identité et accès, vous pouvez voir deux sections de configuration :
Configuration SSO globale : Les paramètres de cette section s'appliquent à toutes les organisations Claude et Console qui ont rejoint l'organisation parente. C'est ici que vous configurez la vérification du domaine, la connexion SSO principale et les politiques qui s'appliquent à plusieurs organisations Claude ou Console jointes.
Configuration SSO de l'organisation : Les paramètres de cette section s'appliquent uniquement à l'organisation spécifique que vous consultez actuellement. Cela vous permet d'activer des fonctionnalités spécifiques à l'organisation comme les mappages de groupes avancés.
Prévention de la création de nouvelles organisations
Une fois que les domaines de votre organisation sont vérifiés, les propriétaires verront un bouton bascule Désactiver la création de nouvelles organisations sur la page des paramètres d'administration Identité et accès. Activez-le pour empêcher les utilisateurs de créer de nouvelles organisations Claude ou Console—y compris des comptes personnels—en utilisant l'un de vos domaines vérifiés.
Options de provisionnement
Une fois l'authentification unique configurée, vous pouvez choisir comment les utilisateurs sont provisionnés à votre organisation.
Méthode de provisionnement | Plan Team | Plan Enterprise | Organisation Console |
Manuel | ✓ | ✓ | ✓ |
JIT | ✓ | ✓ | ✓ |
SCIM | ✗ | ✓ | ✓* |
*Remarque : Seules les organisations du plan Enterprise peuvent activer le provisionnement SCIM ; si une organisation Console est fusionnée avec l'organisation parente d'un plan Team, elle n'aura pas accès au provisionnement SCIM.
Pour des informations détaillées sur le fonctionnement de chaque méthode de provisionnement, consultez Configuration du provisionnement JIT ou SCIM.
Ce qui se passe pour les utilisateurs existants lorsque l'authentification unique est activée
Après l'activation de l'authentification unique pour votre organisation, il y a deux scénarios distincts à considérer pour les utilisateurs qui ont des comptes individuels associés à votre domaine d'entreprise vérifié :
Utilisateurs avec des comptes Free/Pro/Team/Max existants qui SONT ajoutés à votre application SSO
Ces utilisateurs conserveront l'accès à leurs comptes Free/Pro/Team/Max existants. Ils auront la possibilité de basculer entre le compte du plan Team ou Enterprise et leurs comptes précédents en cliquant sur l'icône de profil avec leurs initiales dans le coin inférieur gauche.
Utilisateurs avec des comptes Free/Pro/Team/Max existants qui NE SONT PAS ajoutés à votre application SSO
Si « Appliquer l'authentification unique pour Claude.ai » N'EST PAS activée : Ces utilisateurs peuvent toujours accéder à leurs comptes existants en utilisant l'option « Continuer avec l'e-mail ».
Si « Appliquer l'authentification unique pour Claude.ai » EST activée : Ces utilisateurs ne pourront pas accéder à leurs comptes Free/Pro/Team/Max existants. Veuillez noter que ces comptes ne sont pas supprimés, mais seront inaccessibles car les utilisateurs ne peuvent pas se connecter via l'authentification unique.
Comment afficher les comptes Claude / Console existants associés à votre domaine vérifié
Pour afficher ou télécharger des informations sur vos domaines vérifiés et leur utilisation dans les organisations Claude :
Accédez à la section « Configuration SSO globale » dans Claude (claude.ai/admin-settings/identity) ou Console (platform.claude.com/settings/identity).
Cliquez sur « Afficher les appartenances au domaine » dans la section Gestion des domaines.
Vérifiez les informations ou téléchargez les détails au format CSV ou JSON.
Étapes recommandées avant la mise en œuvre de l'authentification unique
Communiquer clairement avec votre équipe
Notifiez tous les employés de la migration imminente vers l'authentification unique.
Fournissez un calendrier clair pour le moment où le changement aura lieu.
Conseillez aux employés qui ne seront pas ajoutés à l'application d'authentification unique de sauvegarder ou d'exporter leur historique de conversation si l'authentification unique sera appliquée.
Planifier une transition en douceur
Planifiez la mise en œuvre de l'authentification unique à un moment qui minimise les perturbations.
Assurez-vous que votre équipe informatique est prête à soutenir les employés lors de la transition.
Mettez en place un processus clair pour accorder l'accès aux utilisateurs autorisés.
Si possible, mettez en œuvre à la fois l'authentification unique et les fonctionnalités de provisionnement en même temps.
Prendre le temps de tester, communiquer et planifier avant d'activer la capture de domaine et l'authentification unique aidera à assurer une transition réussie et une expérience positive pour votre organisation.
Étapes suivantes
Une fois que vous avez examiné ces considérations et complété les étapes préalables nécessaires (comme la fusion d'organisations), procédez à Configuration de l'authentification unique (SSO) pour des instructions de mise en œuvre détaillées.