Passer au contenu principal

Configurer l'authentification unique (SSO)

L'authentification unique est disponible pour les plans Team, les plans Enterprise et les organisations Claude Console.

Ce guide couvre les étapes pour configurer SSO pour les plans Team et Enterprise, ainsi que pour les organisations Claude Console.

Étape 1 : Examiner les conditions préalables et les considérations importantes

Avant de procéder à la configuration de SSO, complétez les éléments suivants :

Examinez le guide des considérations : Lisez Considérations importantes avant d'activer l'authentification unique (SSO) et l'approvisionnement JIT/SCIM pour comprendre les organisations parentes, déterminer votre chemin de configuration et effectuer les étapes préalables telles que la fusion d'organisations.

Confirmez que vous avez le rôle requis :

  • Pour les plans Team ou Enterprise : Vous devez être Propriétaire ou Propriétaire principal

  • Pour Claude Console : Vous devez être Administrateur

Confirmez que vous avez accès aux éléments suivants :

  • Paramètres DNS pour le domaine d'adresse e-mail de votre entreprise

  • Le fournisseur d'identité SSO (IdP) de votre entreprise utilisé pour se connecter à des applications tierces (par exemple, Okta, Google Workspace, etc.)

Veuillez contacter l'administrateur informatique de votre organisation si vous n'avez pas les autorisations pour gérer les paramètres Claude ou DNS de votre entreprise.

Remarque : WorkOS est le fournisseur d'Anthropic pour la vérification de domaine et la configuration de SSO. Plus de détails peuvent être trouvés dans la liste des sous-traitants d'Anthropic. Vous serez guidé à travers un flux de configuration WorkOS lors de la configuration de SSO et des fonctionnalités d'approvisionnement – trouvez votre fournisseur d'identité dans leur documentation d'intégration.

Étape 2 : Vérifier votre ou vos domaines

La vérification de domaine prouve que vous êtes propriétaire du domaine de votre entreprise. Une fois vérifié, vous pouvez configurer SSO pour les comptes avec le domaine de votre entreprise.

Vous pouvez vérifier plusieurs domaines pour une seule organisation, mais tous les domaines doivent être gérés via un seul IdP. Nous ne supportons pas la vérification de domaines provenant d'IdP distincts au sein de la même organisation.

Remarque : La vérification de votre domaine seule n'affectera pas la capacité des utilisateurs existants à accéder à nos produits. L'accès des utilisateurs finaux n'est affecté qu'une fois que SSO est configuré et explicitement appliqué.

  1. Accédez à vos paramètres Organisation et accès dans Claude (claude.ai/admin-settings/organization) ou vos paramètres Identité et accès dans Console (platform.claude.com/settings/identity) – notez que cette page n'apparaîtra sur Console que si vous avez travaillé avec l'équipe commerciale pour activer SSO ou complété une proposition de fusion.

  2. Dans la section Domaines, cliquez sur « Ajouter ou modifier les domaines ».

  3. Entrez le ou les domaines que vous souhaitez vérifier dans la fenêtre modale Mettre à jour les domaines de messagerie de l'organisation et cliquez sur le bouton « + » :

  4. Cliquez sur « Enregistrer » lorsque vous avez terminé d'ajouter des domaines.

  5. Le ou les domaines que vous avez ajoutés apparaîtront maintenant dans la section Domaines ; cliquez sur « Vérifier » à droite du ou des domaines pour commencer le processus de vérification.

  6. Entrez votre domaine dans la zone de texte et cliquez sur « Continuer » :

  7. Cela générera un enregistrement TXT. Suivez les instructions pour ajouter cet enregistrement TXT à votre fournisseur de domaine.

    • Si vous utilisez un sous-domaine (par exemple, subdomain.yourcompany.com), définissez votre enregistrement TXT sur ce sous-domaine (par exemple, _acme-challenge.subdomain.yourco. mpany.com).

  8. Attendez 10 minutes pour que votre modification DNS se propage.

    • Remarque : Les modifications DNS peuvent prendre 24 à 48 heures pour se propager globalement.

  9. Lorsque vous voyez le badge vert « Vérifié », vous pouvez fermer la page d'instructions.

  10. Si votre domaine s'affiche comme « En attente », utilisez le bouton « Actualiser ».

Remarque : Une fois votre domaine vérifié, vous verrez un bouton bascule Restreindre la création d'organisation sous Sécurité sur la page des paramètres d'organisation Organisation et accès. Activez-le si vous souhaitez empêcher les utilisateurs de créer de nouvelles organisations Claude ou Console – y compris les comptes personnels – en utilisant vos domaines vérifiés.

Étape 3 : Configurer SSO avec votre fournisseur d'identité

  1. Accédez à vos paramètres Organisation et accès dans Claude (claude.ai/admin-settings/organization) ou vos paramètres Identité et accès dans Console (platform.claude.com/settings/identity).

  2. Dans la section Authentification, cliquez sur « Configurer SSO » (ou « Gérer SSO »).

  3. Suivez le guide de configuration fourni pour votre fournisseur d'identité (voir ci-dessous pour des guides supplémentaires).

  4. À la fin de ces étapes, vous serez invité à tester l'authentification unique pour confirmer qu'il n'y a pas d'erreurs et que la configuration est réussie.

  5. Une fois terminé, revenez à la page des paramètres Organisation et accès pour d'autres options de configuration.

Important : L'application de SSO peut empêcher les utilisateurs de se connecter s'ils ne sont pas correctement assignés à l'application Anthropic dans l'IdP. Si vous avez plus d'une organisation Claude/Console connectée à votre « organisation parente », vous voudrez envisager de créer un groupe IdP unique pour chacune. Pour plus d'informations, consultez activer les mappages de groupes.

Pour les instructions de configuration spécifiques à l'IdP, consultez :

Étape 4 : Choisir d'exiger SSO

Vous pouvez maintenant choisir d'activer Exiger SSO pour Console et/ou Exiger SSO pour Claude sur la page Organisation et accès, sous la section Authentification :

Lorsque SSO est requis, les utilisateurs doivent utiliser l'option « Continuer avec SSO » pour se connecter à leurs comptes Claude/Console. Lorsque SSO n'est pas requis, ils auront la possibilité de choisir « Continuer avec SSO » ou « Continuer avec e-mail ».

Avant de décider, consultez Ce qui se passe pour les utilisateurs existants lorsque SSO est activé.

Étape 5 : Choisir votre approche d'approvisionnement

Une fois SSO activé, vous devez décider comment les utilisateurs seront ajoutés à votre organisation en choisissant une option dans la section Approvisionnement des utilisateurs de vos paramètres Organisation et accès.

Invitation uniquement est l'option par défaut. Les utilisateurs sont ajoutés et supprimés directement dans vos paramètres Claude ou Console. Veuillez consulter Gérer les membres sur les plans Team et Enterprise.

Approvisionnement juste-à-temps (JIT) peut être activé pour approvisionner automatiquement les utilisateurs lors de leur première connexion. Par défaut, les utilisateurs assignés à votre application IdP Anthropic lors de leur première connexion recevront le rôle Utilisateur. C'est l'option automatisée la plus simple et ne nécessite aucune configuration supplémentaire au-delà de la sélection du « Approvisionnement juste-à-temps (JIT) » comme mode d'approvisionnement.

Activer les mappages de groupes - quand configurer des fonctionnalités d'approvisionnement supplémentaires

Pour plus de contrôle sur l'approvisionnement, consultez Configurer l'approvisionnement JIT ou SCIM. Vous voudrez consulter ce guide si vous avez besoin de :

  • Assigner automatiquement les rôles ou les niveaux de siège en fonction de l'appartenance au groupe IdP.

  • Utiliser la synchronisation d'annuaire SCIM pour l'approvisionnement et le déprovisionnement automatiques.

  • Gérer l'accès à plusieurs organisations (par exemple, si vous avez à la fois une organisation Team/Enterprise et une organisation Console liées à la même organisation parente et que vous devez contrôler quels utilisateurs sont approvisionnés à chacune).

Remarque : Nous ne supportons actuellement pas la connexion initiée par l'IdP pour les organisations Claude Console qui partagent les paramètres SSO avec une organisation de plan Team ou Enterprise. Les utilisateurs seront redirigés vers claude.ai avec la connexion initiée par l'IdP. Comme solution de contournement, si possible dans votre IdP, créez un signet appelé « Claude Console » qui renvoie à platform.claude.com/login?sso=true pour rediriger les utilisateurs vers Console pour la connexion initiée par le fournisseur de services.

Mise à jour de votre certificat SSO

Lorsque le certificat de signature X.509 de votre fournisseur d'identité expire ou est renouvelé, vous devez le mettre à jour dans Claude ou Console pour maintenir la fonctionnalité SSO.

  1. Accédez à vos paramètres :

  2. Dans la section Authentification, cliquez sur « Gérer SSO ».

  3. Trouvez la section Configuration des métadonnées et cliquez sur « Modifier ».

  4. Mettez à jour vos informations de certificat et enregistrez vos modifications.

  5. Cliquez sur « Tester la connexion » sur la même page pour confirmer que tout fonctionne.

Désactiver SSO

Vous pouvez désactiver Exiger SSO pour Claude ou Exiger SSO pour Console à tout moment. Cela rendra SSO optionnel pour tous les utilisateurs.

Pour déconnecter complètement SSO, cliquez sur « Gérer SSO » puis sur « Réinitialiser la connexion ». Cela terminera les sessions de tous les utilisateurs et les obligera à se reconnecter via le lien de connexion par e-mail.

Articles connexes
Considérations importantes avant d'activer l'authentification unique (SSO) et l'approvisionnement JIT/SCIM
Configurer l'approvisionnement JIT ou SCIM
Connexion SSO
Configurer SCIM dans Claude for Government
Réclamer et migrer des comptes sur votre domaine
Avez-vous trouvé la réponse à votre question ?