Passer au contenu principal

Configuration de l'authentification unique (SSO)

Mis à jour il y a plus de 3 semaines

L'authentification unique est disponible pour les plans Team, les plans Enterprise et les organisations Claude Console.

Ce guide couvre les étapes de configuration de l'authentification unique pour les plans Team et Enterprise, ainsi que pour les organisations Claude Console.

Étape 1 : Examiner les conditions préalables et les considérations importantes

Avant de procéder à la configuration de l'authentification unique, complétez les éléments suivants :

Examinez le guide des considérations : Lisez Important Considerations Before Enabling Single Sign-On (SSO) and JIT/SCIM Provisioning pour comprendre les organisations parentes, déterminer votre chemin de configuration et compléter les étapes préalables telles que la fusion d'organisations.

Confirmez que vous avez le rôle requis :

  • Pour les plans Team ou Enterprise : Vous devez être un Propriétaire ou Propriétaire Principal

  • Pour Claude Console : Vous devez être un Administrateur

Confirmez que vous avez accès aux éléments suivants :

  • Paramètres DNS pour le domaine d'adresse e-mail de votre entreprise

  • Le fournisseur d'identité (IdP) SSO de votre entreprise utilisé pour se connecter à des applications tierces (par exemple, Okta, Google Workspace, etc.)

Veuillez contacter l'administrateur informatique de votre organisation si vous n'avez pas les autorisations pour gérer Claude ou les paramètres DNS de votre entreprise.

Remarque : WorkOS est le fournisseur d'Anthropic pour la vérification de domaine et la configuration de l'authentification unique. Plus de détails peuvent être trouvés dans la liste des sous-traitants d'Anthropic. Vous serez guidé à travers un flux de configuration WorkOS lors de la configuration de l'authentification unique et des fonctionnalités de provisionnement – trouvez votre fournisseur d'identité dans leur documentation d'intégration.

Étape 2 : Vérifier votre ou vos domaines

La vérification de domaine prouve que vous êtes propriétaire du domaine de votre entreprise. Une fois vérifié, vous pouvez configurer l'authentification unique pour les comptes avec le domaine de votre entreprise.

Remarque : La vérification de votre domaine seule n'affectera pas la capacité des utilisateurs existants à accéder à nos produits. L'accès des utilisateurs finaux n'est affecté qu'une fois que l'authentification unique est configurée et explicitement appliquée.

  1. Accédez à vos paramètres « Identité et accès » dans Claude (claude.ai/admin-settings/identity) ou Console (platform.claude.com/settings/identity) – notez que cette page n'apparaîtra sur Console que si vous avez travaillé avec l'équipe commerciale pour activer l'authentification unique ou si vous avez complété une proposition de fusion.

  2. Dans la section Configuration SSO mondiale, cliquez sur « Ajouter un domaine ».

  3. Suivez les instructions pour ajouter votre enregistrement TXT.

    • Si vous utilisez un sous-domaine (par exemple, subdomain.yourcompany.com), définissez votre enregistrement TXT sur ce sous-domaine (par exemple, _acme-challenge.subdomain.yourcompany.com).

  4. Attendez 10 minutes pour que votre modification DNS se propage. Remarque : Les modifications DNS peuvent prendre 24 à 48 heures pour se propager globalement.

  5. Lorsque vous voyez le badge vert « Vérifié », vous pouvez fermer la page d'instructions.

  6. Si votre domaine s'affiche comme « En attente », utilisez le bouton « Actualiser ».

Remarque : Une fois votre domaine vérifié, vous verrez un bouton bascule Désactiver la création de nouvelles organisations dans la section « Configuration SSO mondiale » de la page Identité et accès. Activez-le si vous souhaitez empêcher les utilisateurs de créer de nouvelles organisations Claude ou Console – y compris des comptes personnels – en utilisant vos domaines vérifiés.

Étape 3 : Configurer l'authentification unique avec votre fournisseur d'identité

  1. Accédez à vos paramètres Identité et accès dans Claude (claude.ai/admin-settings/identity) ou Console (platform.claude.com/settings/identity)

  2. Dans la section Configuration SSO mondiale, cliquez sur « Configurer l'authentification unique » (ou « Gérer l'authentification unique »).

  3. Suivez le guide de configuration fourni pour votre fournisseur d'identité (voir ci-dessous pour des guides supplémentaires).

  4. À la fin de ces étapes, vous serez invité à tester l'authentification unique pour confirmer qu'il n'y a pas d'erreurs et que la configuration est réussie.

  5. Une fois terminé, revenez à la page des paramètres Identité et accès pour d'autres options de configuration.

Important : L'application de l'authentification unique peut empêcher les utilisateurs de se connecter s'ils ne sont pas correctement assignés à l'application Anthropic dans l'IdP. Si vous avez plus d'une organisation Claude/Console connectée à votre « organisation parente », vous voudrez envisager de créer un groupe IdP unique pour chacune – veuillez consulter Mappages de groupes avancés.

Pour les instructions de configuration spécifiques à l'IdP, consultez :

Étape 4 : Choisir d'appliquer l'authentification unique

Vous pouvez maintenant choisir d'activer Appliquer l'authentification unique pour Console et/ou Appliquer l'authentification unique pour Claude, sur la page Identité et accès, sous la section Configuration SSO.

Lorsque l'authentification unique est appliquée, les utilisateurs doivent utiliser l'option « Continuer avec l'authentification unique » pour accéder à Claude/Console. Lorsque l'authentification unique n'est pas appliquée, ils auront la possibilité de choisir « Continuer avec l'authentification unique » ou « Continuer avec l'e-mail ».

Veuillez consulter Ce qui se passe pour les utilisateurs existants lorsque l'authentification unique est activée avant de décider.

Étape 5 : Choisir votre approche de provisionnement

Une fois l'authentification unique activée, vous devez décider comment les utilisateurs seront ajoutés à votre organisation. Ceci est contrôlé par le paramètre Mode de provisionnement dans la section Configuration SSO de l'organisation de vos paramètres Identité et accès.

Manuel est la valeur par défaut. Les utilisateurs sont ajoutés et supprimés directement dans vos paramètres Claude ou Console. Veuillez consulter Gestion des membres sur les plans Team et Enterprise.

Le provisionnement JIT (Just-in-Time) peut être activé pour provisionner automatiquement les utilisateurs lors de leur première connexion. Par défaut, les utilisateurs assignés à votre application IdP Anthropic lors de leur première connexion recevront le rôle Utilisateur. C'est l'option automatisée la plus simple et ne nécessite aucune configuration supplémentaire au-delà de sa sélection.

Mappages de groupes avancés - quand configurer des fonctionnalités de provisionnement supplémentaires

Pour plus de contrôle sur le provisionnement, consultez Configuration du provisionnement JIT ou SCIM. Vous voudrez consulter ce guide si vous avez besoin de :

  • Assigner automatiquement des rôles ou des niveaux de siège en fonction de l'appartenance au groupe IdP.

  • Utiliser la synchronisation d'annuaire SCIM pour le provisionnement et le déprovisionement automatiques.

  • Gérer l'accès à plusieurs organisations (par exemple, si vous avez à la fois une organisation Team/Enterprise et une organisation Console liées à la même organisation parente et que vous devez contrôler quels utilisateurs sont provisionnés à chacune).

Remarque : Nous ne supportons actuellement pas la connexion initiée par l'IdP pour les organisations Claude Console qui partagent les paramètres d'authentification unique avec une organisation de plan Team ou Enterprise. Les utilisateurs seront redirigés vers claude.ai avec la connexion initiée par l'IdP. Comme solution de contournement, si possible dans votre IdP, créez un signet appelé « Claude Console » qui renvoie à platform.claude.com/login?sso=true pour rediriger les utilisateurs vers Console pour la connexion initiée par le fournisseur de services.

Mise à jour de votre certificat SSO

Lorsque le certificat de signature X.509 de votre fournisseur d'identité expire ou est renouvelé, vous devez le mettre à jour dans Claude ou Console pour maintenir la fonctionnalité de l'authentification unique.

  1. Accédez à vos paramètres Identité et accès :

    • Pour les plans Team et Enterprise : claude.ai/admin-settings/identity

    • Pour Claude Console : platform.claude.com/settings/identity

  2. Dans la section Configuration SSO mondiale, cliquez sur « Gérer l'authentification unique ».

  3. Sélectionnez « Configuration des métadonnées ».

  4. Cliquez sur « Modifier ».

  5. Mettez à jour vos informations de certificat et enregistrez vos modifications.

  6. Cliquez sur « Tester la connexion » sur la même page pour confirmer que tout fonctionne.

Désactivation de l'authentification unique

Vous pouvez désactiver Appliquer l'authentification unique sur Claude.ai ou Appliquer l'authentification unique sur Console à tout moment. Cela rendra l'authentification unique facultative pour tous les utilisateurs.

Pour déconnecter complètement l'authentification unique, cliquez sur « Gérer l'authentification unique » puis sur « Réinitialiser ». Cela mettra fin à toutes les sessions des utilisateurs et les obligera à se reconnecter via le lien de connexion par e-mail.

Articles connexes
Qu'est-ce que le plan Team ?
Qu'est-ce que le plan Enterprise ?
Considérations importantes avant d'activer l'authentification unique (SSO) et l'approvisionnement JIT/SCIM
Configuration de la mise en service JIT ou SCIM
Trouver et rejoindre une organisation Team ou Enterprise
Avez-vous trouvé la réponse à votre question ?