L'authentification unique est disponible pour les plans Team, les plans Enterprise et les organisations Claude Console.
Ce guide couvre les étapes pour configurer SSO pour les plans Team et Enterprise, ainsi que pour les organisations Claude Console.
Étape 1 : Examiner les conditions préalables et les considérations importantes
Avant de procéder à la configuration de SSO, complétez les éléments suivants :
Examinez le guide des considérations : Lisez Important considerations before enabling single sign-on (SSO) and JIT/SCIM provisioning pour comprendre les organisations parentes, déterminer votre chemin de configuration et compléter les étapes préalables telles que la fusion d'organisations.
Confirmez que vous avez le rôle requis :
Pour les plans Team ou Enterprise : Vous devez être un Propriétaire ou un Propriétaire Principal
Pour Claude Console : Vous devez être un Administrateur
Confirmez que vous avez accès aux éléments suivants :
Paramètres DNS pour le domaine d'adresse e-mail de votre entreprise
Le fournisseur d'identité SSO (IdP) de votre entreprise utilisé pour se connecter à des applications tierces (par exemple, Okta, Google Workspace, etc.)
Veuillez contacter l'administrateur informatique de votre organisation si vous n'avez pas les autorisations pour gérer les paramètres Claude ou DNS de votre entreprise.
Remarque : WorkOS est le fournisseur d'Anthropic pour la vérification de domaine et la configuration de SSO. Plus de détails peuvent être trouvés dans Anthropic's Subprocessor List. Vous serez guidé à travers un flux de configuration WorkOS lors de la configuration de SSO et des fonctionnalités de provisionnement—trouvez votre fournisseur d'identité dans leur Integration documentation.
Étape 2 : Vérifier votre ou vos domaines
La vérification de domaine prouve que vous êtes propriétaire du domaine de votre entreprise. Une fois vérifié, vous pouvez configurer SSO pour les comptes avec le domaine de votre entreprise.
Vous pouvez vérifier plusieurs domaines pour une seule organisation, mais tous les domaines doivent être gérés via un seul IdP. Nous ne supportons pas la vérification de domaines provenant d'IdP distincts au sein de la même organisation.
Remarque : La vérification de votre domaine seule n'affectera pas la capacité des utilisateurs existants à accéder à nos produits. L'accès des utilisateurs finaux n'est affecté qu'une fois que SSO est configuré et explicitement appliqué.
Accédez à vos paramètres Organisation et accès dans Claude (claude.ai/admin-settings/organization) ou vos paramètres Identité et accès dans Console (platform.claude.com/settings/identity) – notez que cette page n'apparaîtra dans Console que si vous avez travaillé avec Sales pour activer SSO ou complété une proposition de fusion.
Dans la section Domaines, cliquez sur « Ajouter ou modifier les domaines ».
Entrez le ou les domaines que vous souhaitez vérifier dans la fenêtre modale Mettre à jour les domaines de messagerie de l'organisation et cliquez sur le bouton « + » :
Cliquez sur « Enregistrer » lorsque vous avez terminé l'ajout de domaines.
Le ou les domaines que vous avez ajoutés apparaîtront maintenant dans la section Domaines ; cliquez sur « Vérifier » à droite du ou des domaines pour commencer le processus de vérification.
Entrez votre domaine dans la zone de texte et cliquez sur « Continuer » :
L'écran de configuration affiche un enregistrement TXT. Copiez la valeur complète en utilisant le bouton de copie—elle commence par
anthropic-domain-verification-et est plus longue que ce qui est visible dans la zone. Dans votre fournisseur DNS, ajoutez un enregistrement TXT avec Hôte/Nom défini sur@(la racine de votre domaine) et Valeur définie sur la chaîne copiée. Ajoutez-le aux côtés de tout enregistrement TXT existant ; ne les remplacez pas. La valeur est sensible à la casse, alors collez-la exactement.Important : Enregistrez la valeur TXT avant de quitter l'écran de configuration. Une fois que le domaine s'affiche comme En attente, la console d'administration n'affiche plus la valeur. Si vous la perdez, vous devrez supprimer et rajouter le domaine, ce qui génère une nouvelle valeur.
Attendez 10 minutes pour que votre modification DNS se propage.
Remarque : Les modifications DNS peuvent prendre 24 à 48 heures pour se propager mondialement.
Lorsque vous voyez le badge vert « Vérifié », vous pouvez fermer la page d'instructions.
Si votre domaine s'affiche comme « En attente », utilisez le bouton « Actualiser ».
Si votre domaine reste En attente
Cliquer sur « Actualiser » revérifie votre DNS ; il n'affichera pas Vérifié jusqu'à ce que l'enregistrement TXT publié corresponde exactement à la valeur attendue. S'il reste En attente après la propagation du DNS, vérifiez les éléments suivants :
L'enregistrement existe à la racine. Recherchez les enregistrements TXT de votre domaine avec un outil tel que DNSChecker et confirmez qu'un enregistrement commençant par
anthropic-domain-verification-apparaît pouryourdomain.com(paswww.yourdomain.comou un autre sous-domaine). S'il n'apparaît pas, l'enregistrement peut avoir été ajouté au mauvais hôte ou ne s'est pas encore propagé.La valeur correspond exactement. La vérification est sensible à la casse et nécessite la chaîne complète incluant le préfixe
anthropic-domain-verification-…=. Une seule différence de caractère le maintiendra En attente.Vous n'avez pas supprimé et rajouté le domaine. Chaque rajout génère une nouvelle valeur de vérification. Si vous avez rajouté le domaine après la publication de l'enregistrement TXT, la valeur publiée ne correspond plus—vous devrez mettre à jour l'enregistrement DNS avec la nouvelle valeur.
Si l'enregistrement est correct et propagé mais le statut affiche toujours En attente, contactez le Support.
Remarque : Une fois votre domaine vérifié, vous verrez un bouton bascule Restreindre la création d'organisation sous Sécurité sur la page des paramètres d'organisation Organisation et accès. Activez-le si vous souhaitez empêcher les utilisateurs de créer de nouvelles organisations Claude ou Console—y compris les comptes personnels—en utilisant vos domaines vérifiés.
Étape 3 : Configurer SSO avec votre fournisseur d'identité
Accédez à vos paramètres Organisation et accès dans Claude (claude.ai/admin-settings/organization) ou vos paramètres Identité et accès dans Console (platform.claude.com/settings/identity).
Dans la section Authentification, cliquez sur « Configurer SSO » (ou « Gérer SSO »).
Suivez le guide de configuration fourni pour votre fournisseur d'identité (voir ci-dessous pour des guides supplémentaires).
À la fin de ces étapes, vous serez invité à Tester l'authentification unique pour confirmer qu'il n'y a pas d'erreurs et que la configuration est réussie.
Une fois terminé, revenez à la page des paramètres Organisation et accès pour d'autres options de configuration.
Important : L'application de SSO pourrait empêcher les utilisateurs de se connecter s'ils ne sont pas correctement assignés à l'application Anthropic dans l'IdP. Si vous avez plus d'une organisation Claude/Console connectée à votre « organisation parente », vous voudrez envisager de créer un groupe IdP unique pour chacune. Pour plus d'informations, consultez enable group mappings.
Pour les instructions de configuration spécifiques à l'IdP, consultez :
Étape 4 : Choisir d'exiger SSO
Vous pouvez maintenant choisir d'activer Exiger SSO pour Console et/ou Exiger SSO pour Claude, sur la page Organisation et accès, sous la section Authentification :
Lorsque SSO est requis, les utilisateurs doivent utiliser l'option « Continuer avec SSO » pour se connecter à leurs comptes Claude/Console. Lorsque SSO n'est pas requis, ils auront la possibilité de choisir « Continuer avec SSO » ou « Continuer avec e-mail ».
Avant de décider, consultez What happens to existing users when SSO is enabled.
Étape 5 : Choisir votre approche de provisionnement
Une fois SSO activé, vous devez décider comment les utilisateurs seront ajoutés à votre organisation en choisissant une option dans la section Provisionnement des utilisateurs de vos paramètres Organisation et accès.
Invitation uniquement est la valeur par défaut. Les utilisateurs sont ajoutés et supprimés directement dans vos paramètres Claude ou Console. Veuillez consulter Manage members on Team and Enterprise plans.
Provisionnement juste-à-temps (JIT) peut être activé pour provisionner automatiquement les utilisateurs lors de leur première connexion. Par défaut, les utilisateurs assignés à votre application IdP Anthropic lors de leur première connexion recevront le rôle Utilisateur. C'est l'option automatisée la plus simple et ne nécessite aucune configuration supplémentaire au-delà de la sélection du « Provisionnement juste-à-temps (JIT) » comme mode de provisionnement.
Activer les mappages de groupes - quand configurer des fonctionnalités de provisionnement supplémentaires
Pour plus de contrôle sur le provisionnement, consultez Set up JIT or SCIM provisioning. Vous voudrez consulter ce guide si vous avez besoin de :
Assigner automatiquement les rôles ou les niveaux de siège en fonction de l'appartenance au groupe IdP.
Utiliser la synchronisation d'annuaire SCIM pour le provisionnement et le déprovisionement automatiques.
Gérer l'accès à plusieurs organisations (par exemple, si vous avez à la fois une organisation Team/Enterprise et une organisation Console liées au même parent et avez besoin de contrôler quels utilisateurs sont provisionnés à chacune).
Remarque : Nous ne supportons actuellement pas la connexion initiée par l'IdP pour les organisations Claude Console qui partagent les paramètres SSO avec une organisation de plan Team ou Enterprise. Les utilisateurs seront redirigés vers claude.ai avec la connexion initiée par l'IdP. Comme solution de contournement, si possible dans votre IdP, créez un signet appelé « Claude Console » qui renvoie à platform.claude.com/login?sso=true pour rediriger les utilisateurs vers Console pour la connexion initiée par SP.
Mise à jour de votre certificat SSO
Lorsque le certificat de signature X.509 de votre fournisseur d'identité expire ou est renouvelé, vous devez le mettre à jour dans Claude ou Console pour maintenir la fonctionnalité SSO.
Accédez à vos paramètres :
Pour les plans Team et Enterprise : claude.ai/admin-settings/organization
Pour Claude Console : platform.claude.com/settings/identity
Dans la section Authentification, cliquez sur « Gérer SSO ».
Trouvez la section Configuration des métadonnées et cliquez sur « Modifier ».
Mettez à jour vos informations de certificat et enregistrez vos modifications.
Cliquez sur « Tester la connexion » sur la même page pour confirmer que tout fonctionne.
Désactiver SSO
Vous pouvez désactiver Exiger SSO pour Claude ou Exiger SSO pour Console à tout moment. Cela rendra SSO optionnel pour tous les utilisateurs.
Pour déconnecter complètement SSO, cliquez sur « Gérer SSO » puis « Réinitialiser la connexion ». Cela terminera les sessions de tous les utilisateurs et les obligera à se reconnecter via le lien de connexion par e-mail.
