Claude for Government nécessite l'authentification unique (SSO) pour l'authentification des utilisateurs. Contrairement au plan commercial Claude Enterprise, la connexion par email (lien magique) n'est disponible que pour le Propriétaire Principal lors de la configuration du compte. Tous les autres utilisateurs doivent s'authentifier via le fournisseur d'identité (IdP) de votre organisation.
Une fois que l'authentification unique est configurée, le Propriétaire Principal peut désactiver complètement la connexion par lien magique afin que toute l'authentification passe par votre IdP.
Pour la configuration de l'authentification unique sur Claude Enterprise, consultez Configurer l'authentification unique (SSO).
Différences de l'authentification unique pour Claude for Government
Fonctionnalité | Claude for Government | Claude Enterprise |
Connexion par email (lien magique) | Propriétaire Principal uniquement, lors de la configuration initiale | Disponible pour tous les utilisateurs |
Exigence d'authentification unique | Obligatoire pour tous les utilisateurs autres que le Propriétaire Principal | Facultatif |
Étapes de configuration de l'authentification unique
Conditions préalables
Avant de commencer, confirmez que vous disposez de :
Accès Propriétaire Principal — L'adresse email enregistrée en tant que Propriétaire Principal lors de l'achat de la licence.
Accès DNS — Capacité à créer des enregistrements TXT pour le ou les domaines de connexion de votre organisation.
Accès administrateur IdP — Permission de créer une application SAML dans votre fournisseur d'identité (par exemple, Entra ID, Okta).
Étape 1 : Se connecter en tant que Propriétaire Principal
Accédez à claude.fedstart.com
Entrez l'adresse email enregistrée en tant que Propriétaire Principal.
Complétez la connexion par email en utilisant le lien magique envoyé à la boîte de réception du Propriétaire Principal.
Après la connexion, le Propriétaire Principal sera redirigé vers la page des paramètres d'identité à claude.fedstart.com/admin-settings/identity
Conseil : Il est souvent judicieux de désigner quelqu'un de votre équipe informatique en tant que Propriétaire Principal, car il aura besoin d'un accès DNS et IdP pour les étapes restantes.
Étape 2 : Vérifier votre domaine
Avant de configurer votre fournisseur d'identité (IdP), vous devez vérifier la propriété de votre domaine de connexion.
Sur la page des paramètres d'identité, localisez votre domaine et sélectionnez l'onglet « Afficher les instructions ». Vous pourrez y voir l'enregistrement de défi DNS requis qui doit être défini.
Créez l'enregistrement TXT affiché dans les paramètres DNS de votre domaine.
Attendez la propagation DNS. Une fois que la plateforme détecte l'enregistrement, le statut du domaine sera mis à jour à « Vérifié ».
Important : Chaque domaine ne peut avoir qu'un seul fournisseur d'identité. Si plusieurs organisations partagent un seul domaine de connexion, les administrateurs informatiques des deux organisations pourront modifier les paramètres de connexion. Contactez Anthropic Support pour obtenir de l'aide avec les configurations multi-organisations. Pour plus de détails sur les configurations multi-organisations, consultez notre guide de provisionnement SCIM.
Étape 3 : Configurer votre fournisseur d'identité
Anthropic agit en tant que fournisseur de services (SP) dans le flux SSO SAML. Le fournisseur d'identité (IdP) de votre organisation (par exemple, Entra ou Okta) agit en tant que fournisseur d'identité.
Sur la page des paramètres d'identité, localisez la section Métadonnées SP. Elle contient les valeurs dont votre IdP a besoin :
ID d'entité (URI d'audience)
URL ACS (URL de réponse)
Dans votre IdP, créez une nouvelle application SAML en utilisant ces valeurs de métadonnées SP
Étape 4 : Configurer Anthropic avec les détails de votre IdP
Une fois que votre application SAML est configurée dans votre IdP, fournissez à Anthropic les détails dont il a besoin pour vérifier les assertions SAML. Sur la page des paramètres d'identité, entrez :
Certificat de signature — Le certificat X.509 de votre IdP.
ID d'entité IdP — L'identifiant d'entité de votre IdP.
URL SSO — Le point de terminaison de connexion SAML de votre IdP.
Informations sur les revendications — Mappages d'attributs pour le nom d'utilisateur et l'email.
Conseil : Utilisation d'un fichier XML de métadonnées : La plupart des IdP vous permettent de télécharger un fichier metadata.xml. Téléchargez-le sur la page des paramètres d'identité pour remplir automatiquement le certificat de signature, l'ID d'entité IdP et l'URL SSO. Certains IdP (comme Entra ID) incluent également les informations de revendications dans le fichier de métadonnées ; si présentes, le système suggérera automatiquement les mappages de champs.
Dépannage des mappages d'attributs
Le mappage d'attributs est l'endroit où la plupart des problèmes de configuration se produisent. Si la connexion échoue après la configuration :
Installez une extension de débogage SAML telle que SAML-tracer.
Tentez une connexion SSO et inspectez la réponse SAML.
Confirmez que la revendication d'email retourne une adresse sous votre domaine vérifié. Les revendications d'email pour les domaines non vérifiés seront rejetées.
Étape 5 : Tester et finaliser
Déconnectez-vous de Claude for Government.
Reconnectez-vous en utilisant votre configuration SSO pour confirmer qu'elle fonctionne.
(Facultatif) Une fois que la connexion SSO est vérifiée, retournez à la page des paramètres d'identité et désactivez la connexion par lien magique.
Avertissement : Désactivez la connexion par lien magique uniquement après avoir confirmé que la connexion SSO fonctionne. Si l'authentification unique est mal configurée et que le lien magique est désactivé, le Propriétaire Principal ne pourra pas accéder à la console d'administration. Contactez le support Anthropic si vous êtes bloqué.
Une fois que l'authentification unique est configurée, tout utilisateur assigné à l'application SAML dans votre IdP peut se connecter et sera automatiquement provisionné d'un siège, à condition que votre organisation dispose de licences disponibles. Si aucun siège n'est disponible, les utilisateurs verront une erreur lors de la connexion. Contactez votre représentant de compte Anthropic pour ajouter des licences. Pour un provisionnement plus contrôlé, incluant l'attribution de rôles et le support multi-organisations, consultez le provisionnement SCIM.