Prima di configurare SSO per la tua organizzazione Claude o Claude Console, consulta questa guida per comprendere i concetti chiave, pianificare il tuo approccio e completare eventuali passaggi preliminari.
Comprensione delle organizzazioni padre
La funzione di single sign-on utilizza il concetto di "organizzazione padre". Si tratta di un'entità che memorizza le impostazioni SSO che possono essere condivise tra più organizzazioni Claude o Console. Il tipo di piano determina se disponi o meno di un'organizzazione padre per impostazione predefinita:
Tipo di piano | Organizzazione padre |
Piano Enterprise | Creata automaticamente quando l'organizzazione viene configurata |
Piano Team | Creata quando SSO viene abilitato per la prima volta |
Claude Console | Non creata automaticamente; richiede un'azione (vedi sotto) |
Aspetti importanti da conoscere
La verifica del dominio è obbligatoria prima di poter configurare SSO. I domini vengono verificati a livello di organizzazione padre: una volta verificati, altre organizzazioni padre non possono richiedere lo stesso dominio.
Più organizzazioni possono essere collegate alla stessa organizzazione padre per condividere la verifica del dominio e la configurazione SSO. Questo è utile se disponi sia di organizzazioni Claude (piani Team/Enterprise) che Console.
Ogni organizzazione padre può essere collegata a un solo Identity Provider. Ciò significa che ogni organizzazione collegata a una singola organizzazione padre deve essere gestita attraverso lo stesso IdP.
L'abilitazione dei mapping dei gruppi ti consente di controllare quali utenti vengono forniti a quali organizzazioni sotto la tua organizzazione padre e con quali ruoli. Consulta Configura gruppi e assegna utenti nel tuo IdP per i dettagli.
Le organizzazioni padre gestiscono solo l'identità e l'accesso, in particolare la verifica del dominio, la configurazione SSO e il provisioning degli utenti. La fatturazione, le fatture e il tracciamento dell'utilizzo vengono gestiti a livello di singola organizzazione e non sono influenzati dalle relazioni dell'organizzazione padre.
Cosa significa per te
Dovrai verificare la dinamica dell'organizzazione padre a seconda del tuo piano:
Se disponi di un piano Team o Enterprise: Puoi procedere direttamente alla guida Configurazione del single sign-on (SSO). La tua organizzazione padre è già in atto (o verrà creata quando abiliti SSO per i piani Team).
Se disponi di un'organizzazione Claude Console e di un piano Team o Enterprise esistente: La tua organizzazione Console potrebbe essere già collegata alla tua organizzazione padre Team o Enterprise. Verifica se puoi accedere a platform.claude.com/settings/identity. Se sì, ciò indica che l'organizzazione è collegata all'organizzazione padre e SSO è già configurato. Se no, un Proprietario del tuo piano Team o Enterprise può avviare un'unione per collegare la tua organizzazione Console (vedi Unisci organizzazioni di seguito) alla loro organizzazione padre e alla configurazione SSO esistente.
Se disponi di un'organizzazione Claude Console senza un piano Team o Enterprise: Contatta il nostro team di vendita per richiedere un'organizzazione padre per il tuo account Console. Una volta che creiamo la tua organizzazione padre, vedrai la pagina delle impostazioni di identità in Claude Console e potrai procedere con la configurazione SSO.
Unisci organizzazioni
Le organizzazioni Team o Enterprise possono invitare altre organizzazioni a unirsi a un'organizzazione padre esistente e condividere la configurazione SSO.
Importante: L'opzione Unisci organizzazioni è disponibile solo su Claude (claude.ai). Le organizzazioni Console non possono avviare un'unione: devono essere invitate da un'organizzazione Team o Enterprise.
Requisiti per l'unione
L'organizzazione Team o Enterprise che avvia la proposta deve avere domini verificati nella sua organizzazione padre.
Tutti i membri dell'organizzazione invitata devono avere indirizzi email che corrispondono a quei domini verificati.
Un Amministratore (Console) o Proprietario (Claude) dell'organizzazione invitata deve approvare l'unione.
Per avviare una proposta di unione
Fai clic su "Invita" sotto Unisci organizzazioni.
Seleziona l'organizzazione che desideri invitare e fai clic su "Avanti".
Rivedi il numero di membri e fai clic su "Invita".
La proposta di unione verrà inviata agli Amministratori/Proprietari dell'organizzazione invitata, con l'oggetto dell'email "Aggiornamento organizzazione padre: nuova organizzazione membro proposta" e deve essere approvata entro 14 giorni.
Nota: Se la persona che avvia l'unione è anche un Amministratore/Proprietario nell'organizzazione invitata, è richiesta una sola approvazione.
Per approvare una proposta di unione
Un Proprietario o Proprietario principale dell'organizzazione deve andare a claude.ai/settings/join-proposal per accettare l'unione.
Una volta che un'organizzazione Console viene unita, avrà accesso alla pagina Identità e accesso, nelle impostazioni dell'organizzazione, per configurare le impostazioni SSO e provisioning.
Impostazioni di accesso globale
Troverai le impostazioni che puoi utilizzare per configurare SSO nella sezione Impostazioni di accesso globale. Qui è dove configuri la connessione SSO primaria e i criteri che si applicano a più organizzazioni Claude o Console unite. Mentre alcune impostazioni in questa sezione si applicano a tutte le organizzazioni Claude e Console che si sono unite all'organizzazione padre, quelle con un'etichetta "Solo questa organizzazione" si applicano solo all'organizzazione specifica che stai visualizzando. Ciò ti consente di abilitare funzioni specifiche dell'organizzazione come i mapping dei gruppi.
Limita la creazione di nuove organizzazioni
Una volta verificati i domini della tua organizzazione, i proprietari vedranno un interruttore Limita creazione organizzazione sotto Sicurezza nella pagina delle impostazioni dell'organizzazione Identità e accesso. Attivalo per impedire agli utenti di creare nuove organizzazioni Claude o Console, inclusi account personali, utilizzando uno qualsiasi dei tuoi domini verificati.
Opzioni di provisioning
Una volta configurato SSO, puoi scegliere come vengono forniti gli utenti alla tua organizzazione.
Metodo di provisioning | Piano Team | Piano Enterprise | Organizzazione Console |
Solo invito | ✓ | ✓ | ✓ |
JIT | ✓ | ✓ | ✓ |
SCIM | ✗ | ✓ | ✓* |
*Nota: Solo le organizzazioni con piano Enterprise possono abilitare il provisioning SCIM; se un'organizzazione Console viene unita all'organizzazione padre di un piano Team, non avrà accesso al provisioning SCIM.
Per informazioni dettagliate su come funziona ogni metodo di provisioning, consulta Configura il provisioning JIT o SCIM.
Cosa accade agli utenti esistenti quando SSO viene abilitato
Dopo aver abilitato SSO per la tua organizzazione, ci sono due scenari distinti da considerare per gli utenti che hanno account individuali associati al tuo dominio aziendale verificato:
Utenti con account gratuiti/Pro/Team/Max esistenti che VENGONO aggiunti alla tua applicazione SSO
Questi utenti manterranno l'accesso ai loro account gratuiti/Pro/Team/Max esistenti. Avranno la possibilità di alternare tra l'account del piano Team o Enterprise e i loro account precedenti facendo clic sull'icona del profilo con le loro iniziali nell'angolo in basso a sinistra.
Utenti con account gratuiti/Pro/Team/Max esistenti che NON vengono aggiunti alla tua applicazione SSO
Se "Richiedi SSO per Claude" NON è abilitato: Questi utenti possono comunque accedere ai loro account esistenti utilizzando l'opzione "Continua con email".
Se "Richiedi SSO per Claude" È abilitato: Questi utenti non potranno accedere ai loro account gratuiti/Pro/Team/Max esistenti. Tieni presente che questi account non vengono eliminati, ma saranno inaccessibili poiché gli utenti non possono accedere tramite SSO.
Come visualizzare gli account Claude / Console esistenti associati al tuo dominio verificato
Per visualizzare o scaricare informazioni sui tuoi domini verificati e il loro utilizzo tra le organizzazioni Claude:
Vai alla sezione Identità e accesso in Claude (claude.ai/admin-settings/identity) o Console (platform.claude.com/settings/identity).
Fai clic su "Appartenenze al dominio" nella sezione Domini.
Rivedi le informazioni o scarica i dettagli in formato CSV o JSON.
Passaggi consigliati prima di implementare SSO
Comunica chiaramente con il tuo team
Notifica a tutti i dipendenti la prossima migrazione a SSO.
Fornisci una chiara timeline per quando il cambiamento avrà luogo.
Consiglia ai dipendenti che non verranno aggiunti all'applicazione SSO di salvare o esportare la loro cronologia di conversazione se SSO verrà applicato.
Pianifica una transizione fluida
Pianifica l'implementazione di SSO in un momento che minimizzi le interruzioni.
Assicurati che il tuo team IT sia preparato a supportare i dipendenti durante la transizione.
Disponi di un processo chiaro per concedere l'accesso agli utenti autorizzati.
Se possibile, implementa sia le funzioni SSO che di provisioning contemporaneamente.
Dedicare tempo a testare, comunicare e pianificare prima di abilitare l'acquisizione del dominio e SSO aiuterà a garantire una transizione di successo e un'esperienza positiva per la tua organizzazione.
Passaggi successivi
Una volta che hai rivisto queste considerazioni e completato eventuali passaggi preliminari necessari (come l'unione di organizzazioni), procedi a Configura il single sign-on (SSO) per le istruzioni di implementazione dettagliate.