Prima di configurare SSO per la tua organizzazione Claude o Claude Console, consulta questa guida per comprendere i concetti chiave, pianificare il tuo approccio e completare eventuali passaggi prerequisiti.
Comprensione delle organizzazioni padre
La nostra funzione di single sign-on utilizza il concetto di "organizzazione padre". Si tratta di un'entità che memorizza le impostazioni SSO che possono essere condivise tra più organizzazioni Claude o Console. Il tipo di piano determina se hai o meno un'organizzazione padre per impostazione predefinita:
Tipo di piano | Organizzazione padre |
Piano Enterprise | Creata automaticamente quando l'organizzazione viene configurata |
Piano Team | Creata quando SSO viene abilitato per la prima volta |
Claude Console | Non creata automaticamente; richiede un'azione (vedi sotto) |
Cose importanti da sapere
La verifica del dominio è obbligatoria prima di poter configurare SSO. I domini vengono verificati a livello di organizzazione padre: una volta verificati, altre organizzazioni padre non possono richiedere lo stesso dominio.
Più organizzazioni possono essere collegate alla stessa organizzazione padre per condividere la verifica del dominio e la configurazione SSO. Questo è utile se hai sia organizzazioni Claude (piani Team/Enterprise) che Console.
Ogni organizzazione padre può essere collegata a un solo Identity Provider. Ciò significa che ogni organizzazione collegata a una singola organizzazione padre deve essere gestita attraverso lo stesso IdP.
L'abilitazione dei mapping dei gruppi ti consente di controllare quali utenti vengono sottoposti a provisioning in quali organizzazioni sotto la tua organizzazione padre e con quali ruoli. Consulta Configura gruppi e assegna utenti nel tuo IdP per i dettagli.
Le organizzazioni padre gestiscono solo l'identità e l'accesso, in particolare la verifica del dominio, la configurazione SSO e il provisioning degli utenti. La fatturazione, le fatture e il monitoraggio dell'utilizzo vengono gestiti a livello di organizzazione individuale e non sono influenzati dalle relazioni dell'organizzazione padre.
Cosa significa per te
Dovrai verificare la dinamica dell'organizzazione padre in base al tuo piano:
Se hai un piano Team o Enterprise: Puoi procedere direttamente alla guida Configurazione del single sign-on (SSO). La tua organizzazione padre è già in atto (o verrà creata quando abiliti SSO per i piani Team).
Se hai un'organizzazione Claude Console e un piano Team o Enterprise esistente: La tua organizzazione Console potrebbe essere già collegata alla tua organizzazione padre Team o Enterprise. Verifica se puoi accedere a platform.claude.com/settings/identity. Se sì, ciò indica che l'organizzazione è collegata all'organizzazione padre e SSO è già configurato. Se no, un Proprietario del tuo piano Team o Enterprise può avviare un'unione per collegare la tua organizzazione Console (vedi Unisci organizzazioni di seguito) alla loro organizzazione padre e alla configurazione SSO esistente.
Se hai un'organizzazione Claude Console senza un piano Team o Enterprise: Contatta il nostro team di vendita per richiedere un'organizzazione padre per il tuo account Console. Una volta che creiamo la tua organizzazione padre, vedrai la pagina delle impostazioni di identità in Claude Console e potrai procedere con la configurazione SSO.
Unisci organizzazioni
Le organizzazioni Team o Enterprise possono invitare altre organizzazioni a unirsi a un'organizzazione padre esistente e condividere la configurazione SSO.
Importante: L'opzione Unisci organizzazioni è disponibile solo su Claude (claude.ai). Le organizzazioni Console non possono avviare un'unione: devono essere invitate da un'organizzazione Team o Enterprise.
Requisiti per l'unione
L'organizzazione Team o Enterprise che avvia la proposta deve avere domini verificati nella sua organizzazione padre.
Tutti i membri dell'organizzazione invitata devono avere indirizzi email che corrispondono a quei domini verificati.
Un Admin (Console) o Proprietario (Claude) dell'organizzazione invitata deve approvare l'unione.
Per avviare una proposta di unione
Fai clic su "Invita" sotto Unisci organizzazioni.
Seleziona l'organizzazione che desideri invitare e fai clic su "Avanti".
Rivedi il numero di membri e fai clic su "Invita".
La proposta di unione verrà inviata agli Admin/Proprietari dell'organizzazione invitata, con l'oggetto dell'email "Aggiornamento organizzazione padre: nuova organizzazione membro proposta", e deve essere approvata entro 14 giorni.
Nota: Se la persona che avvia l'unione è anche un Admin/Proprietario nell'organizzazione invitata, è richiesta una sola approvazione.
Per approvare una proposta di unione
Un Proprietario dell'organizzazione o Proprietario principale deve andare a claude.ai/settings/join-proposal per accettare l'unione.
Una volta che un'organizzazione Console viene unita, avrà accesso alla pagina Identità e accesso, nelle Impostazioni organizzazione, per configurare le impostazioni SSO e provisioning.
Autenticazione
Troverai le impostazioni che puoi utilizzare per configurare SSO nella sezione Autenticazione. Qui è dove configuri la connessione SSO primaria e le politiche che si applicano a più organizzazioni Claude o Console unite.
Limita la creazione di nuove organizzazioni
Una volta verificati i domini della tua organizzazione, i proprietari vedranno un interruttore Limita creazione organizzazione sotto Sicurezza nella pagina Organizzazione e accesso. Attivalo per impedire agli utenti di creare nuove organizzazioni Claude o Console, inclusi account personali, utilizzando uno qualsiasi dei tuoi domini verificati.
Opzioni di provisioning
Una volta configurato SSO, puoi scegliere come gli utenti vengono sottoposti a provisioning nella tua organizzazione.
Metodo di provisioning | Piano Team | Piano Enterprise | Organizzazione Console |
Solo invito | ✓ | ✓ | ✓ |
JIT | ✓ | ✓ | ✓ |
SCIM | ✗ | ✓ | ✓* |
*Nota: Solo le organizzazioni del piano Enterprise possono abilitare il provisioning SCIM; se un'organizzazione Console viene unita all'organizzazione padre di un piano Team, non avrà accesso al provisioning SCIM.
Per informazioni dettagliate su come funziona ogni metodo di provisioning, consulta Configura il provisioning JIT o SCIM.
Cosa accade agli utenti esistenti quando SSO è abilitato
Dopo aver abilitato SSO per la tua organizzazione, ci sono due scenari distinti da considerare per gli utenti che hanno account individuali associati al tuo dominio aziendale verificato:
Utenti con account Free/Pro/Team/Max esistenti che SONO aggiunti alla tua applicazione SSO
Questi utenti manterranno l'accesso ai loro account Free/Pro/Team/Max esistenti. Avranno la possibilità di alternare tra l'account del piano Team o Enterprise e i loro account precedenti facendo clic sull'icona del profilo con le loro iniziali nell'angolo in basso a sinistra.
Utenti con account Free/Pro/Team/Max esistenti che NON sono aggiunti alla tua applicazione SSO
Se "Richiedi SSO per Claude" NON è abilitato: Questi utenti possono comunque accedere ai loro account esistenti utilizzando l'opzione "Continua con email".
Se "Richiedi SSO per Claude" È abilitato: Questi utenti non potranno accedere ai loro account Free/Pro/Team/Max esistenti. Tieni presente che questi account non vengono eliminati, ma saranno inaccessibili poiché gli utenti non possono accedere tramite SSO.
Come visualizzare gli account Claude / Console esistenti associati al tuo dominio verificato
Per visualizzare o scaricare informazioni sui tuoi domini verificati e il loro utilizzo tra le organizzazioni Claude:
Vai alla sezione Organizzazione e accesso in Claude (claude.ai/admin-settings/organization) o alla sezione Identità e accesso in Console (platform.claude.com/settings/identity).
Fai clic su "Appartenenze al dominio" nella sezione Domini.
Rivedi le informazioni o scarica i dettagli in formato CSV o JSON.
Passaggi consigliati prima di implementare SSO
Comunica chiaramente con il tuo team
Notifica a tutti i dipendenti la prossima migrazione a SSO.
Fornisci una chiara cronologia per quando il cambiamento avrà luogo.
Consiglia ai dipendenti che non verranno aggiunti all'applicazione SSO di salvare o esportare la loro cronologia delle conversazioni se SSO sarà obbligatorio.
Pianifica una transizione fluida
Pianifica l'implementazione di SSO in un momento che minimizzi le interruzioni.
Assicurati che il tuo team IT sia preparato a supportare i dipendenti durante la transizione.
Disponi di un processo chiaro per concedere l'accesso agli utenti autorizzati.
Se possibile, implementa sia le funzioni SSO che di provisioning contemporaneamente.
Prendersi il tempo per testare, comunicare e pianificare prima di abilitare l'acquisizione del dominio e SSO aiuterà a garantire una transizione di successo e un'esperienza positiva per la tua organizzazione.
Passaggi successivi
Una volta che hai rivisto queste considerazioni e completato eventuali passaggi prerequisiti necessari (come l'unione di organizzazioni), procedi a Configura il single sign-on (SSO) per istruzioni di implementazione dettagliate.