Prima di configurare SSO per la tua organizzazione Claude o Claude Console, consulta questa guida per comprendere i concetti chiave, pianificare il tuo approccio e completare eventuali passaggi preliminari.
Comprensione delle organizzazioni padre
La funzione di single sign-on utilizza il concetto di "organizzazione padre"—un'entità che memorizza le impostazioni SSO che possono essere condivise tra più organizzazioni Claude o Console. Il tipo di piano determina se hai un'organizzazione padre per impostazione predefinita:
Tipo di piano | Organizzazione padre |
Piano Enterprise | Creata automaticamente quando l'organizzazione viene configurata |
Piano Team | Creata quando SSO viene abilitato per la prima volta |
Claude Console | Non creata automaticamente; richiede un'azione (vedi sotto) |
Cose importanti da sapere
La verifica del dominio è obbligatoria prima di poter configurare SSO. I domini vengono verificati a livello di organizzazione padre—una volta verificati, altre organizzazioni padre non possono richiedere lo stesso dominio.
Più organizzazioni possono essere collegate alla stessa organizzazione padre per condividere la verifica del dominio e la configurazione SSO. Questo è utile se hai sia organizzazioni Claude (piani Team/Enterprise) che Console.
Ogni organizzazione padre può essere collegata a un solo Identity Provider. Ciò significa che ogni organizzazione collegata a una singola organizzazione padre deve essere gestita attraverso lo stesso IdP.
Le mappature di gruppo avanzate ti permettono di controllare quali utenti vengono forniti a quali organizzazioni sotto la tua organizzazione padre e con quali ruoli. Vedi Configura gruppi e assegna utenti nel tuo IdP per i dettagli.
Cosa significa per te
Dovrai verificare la dinamica dell'organizzazione padre a seconda del tuo piano:
Se hai un piano Team o Enterprise: Puoi procedere direttamente alla guida Configurazione del single sign-on (SSO). La tua organizzazione padre è già in atto (o verrà creata quando abiliti SSO per i piani Team).
Se hai un'organizzazione Claude Console e un piano Team o Enterprise esistente: La tua organizzazione Console potrebbe essere già collegata alla tua organizzazione padre Team o Enterprise. Verifica se puoi accedere a platform.claude.com/settings/identity – se sì, questo indica che l'organizzazione è collegata all'organizzazione padre e SSO è già configurato. Se no, un proprietario del tuo piano Team o Enterprise può avviare un'unione per collegare la tua organizzazione Console (vedi Unione di organizzazioni di seguito) alla loro organizzazione padre e alla configurazione SSO esistente.
Se hai un'organizzazione Claude Console senza un piano Team o Enterprise: Contatta il nostro team di vendita per richiedere un'organizzazione padre per il tuo account Console. Una volta che creiamo la tua organizzazione padre, vedrai la pagina delle impostazioni di identità in Claude Console e potrai procedere con la configurazione SSO.
Unione di organizzazioni
Le organizzazioni Team o Enterprise possono invitare altre organizzazioni a unirsi a un'organizzazione padre esistente e condividere la configurazione SSO.
Importante: L'opzione Unisci organizzazioni è disponibile solo su Claude (claude.ai). Le organizzazioni Console non possono avviare un'unione—devono essere invitate da un'organizzazione Team o Enterprise.
Requisiti per l'unione
L'organizzazione Team o Enterprise che avvia la proposta deve avere domini verificati nella sua organizzazione padre.
Tutti i membri dell'organizzazione invitata devono avere indirizzi email che corrispondono a quei domini verificati.
Un amministratore (Console) o proprietario (Claude) dell'organizzazione invitata deve approvare l'unione.
Per avviare una proposta di unione
Fai clic su "Invita" sotto Unisci organizzazioni.
Seleziona l'organizzazione che desideri invitare e fai clic su "Avanti".
Rivedi il numero di membri e fai clic su "Invita".
La proposta di unione verrà inviata agli amministratori/proprietari dell'organizzazione invitata, con l'oggetto dell'email "Aggiornamento organizzazione padre: nuova organizzazione membro proposta", e deve essere approvata entro 14 giorni.
Nota: Se la persona che avvia l'unione è anche un amministratore/proprietario nell'organizzazione invitata, è richiesta una sola approvazione.
Una volta che un'organizzazione Console viene unita, avrà accesso alla pagina Identità e accesso, nelle impostazioni dell'organizzazione, per configurare le impostazioni SSO e provisioning.
Comprensione della configurazione SSO globale rispetto a quella dell'organizzazione
Quando accedi alla pagina Identità e accesso, potresti vedere due sezioni di configurazione:
Impostazioni di accesso globale: Le impostazioni in questa sezione si applicano a tutte le organizzazioni Claude e Console che hanno aderito all'organizzazione padre. Qui è dove configuri la verifica del dominio, la connessione SSO primaria e le politiche che si applicano a più organizzazioni Claude o Console unite.
Accesso dell'organizzazione: Le impostazioni in questa sezione si applicano solo all'organizzazione specifica che stai visualizzando. Questo ti permette di abilitare funzionalità specifiche dell'organizzazione come le mappature di gruppo.
Limitazione della creazione di nuove organizzazioni
Una volta che i domini della tua organizzazione sono verificati, i proprietari vedranno un interruttore Limita creazione organizzazione sotto Sicurezza nella pagina delle impostazioni dell'organizzazione Identità e accesso. Attivalo per impedire agli utenti di creare nuove organizzazioni Claude o Console—inclusi account personali—utilizzando uno qualsiasi dei tuoi domini verificati.
Opzioni di provisioning
Una volta configurato SSO, puoi scegliere come gli utenti vengono forniti alla tua organizzazione.
Metodo di provisioning | Piano Team | Piano Enterprise | Organizzazione Console |
Manuale | ✓ | ✓ | ✓ |
JIT | ✓ | ✓ | ✓ |
SCIM | ✗ | ✓ | ✓* |
*Nota: Solo le organizzazioni con piano Enterprise possono abilitare il provisioning SCIM; se un'organizzazione Console viene unita all'organizzazione padre di un piano Team, non avrà accesso al provisioning SCIM.
Per informazioni dettagliate su come funziona ogni metodo di provisioning, vedi Configurazione del provisioning JIT o SCIM.
Cosa accade agli utenti esistenti quando SSO viene abilitato
Dopo aver abilitato SSO per la tua organizzazione, ci sono due scenari distinti da considerare per gli utenti che hanno account individuali associati al tuo dominio aziendale verificato:
Utenti con account free/Pro/Team/Max esistenti che SONO aggiunti alla tua applicazione SSO
Questi utenti manterranno l'accesso ai loro account free/Pro/Team/Max esistenti. Avranno la possibilità di alternare tra l'account del piano Team o Enterprise e i loro account precedenti facendo clic sull'icona del profilo con le loro iniziali nell'angolo in basso a sinistra.
Utenti con account free/Pro/Team/Max esistenti che NON sono aggiunti alla tua applicazione SSO
Se "Richiedi SSO per Claude" NON è abilitato: Questi utenti possono comunque accedere ai loro account esistenti utilizzando l'opzione "Continua con email".
Se "Richiedi SSO per Claude" È abilitato: Questi utenti non potranno accedere ai loro account free/Pro/Team/Max esistenti. Tieni presente che questi account non vengono eliminati, ma saranno inaccessibili poiché gli utenti non possono accedere tramite SSO.
Come visualizzare gli account Claude / Console esistenti associati al tuo dominio verificato
Per visualizzare o scaricare informazioni sui tuoi domini verificati e il loro utilizzo tra le organizzazioni Claude:
Vai alla sezione Identità e accesso in Claude (claude.ai/admin-settings/identity) o Console (platform.claude.com/settings/identity).
Fai clic su "Appartenenze al dominio" nella sezione Domini.
Rivedi le informazioni o scarica i dettagli in formato CSV o JSON.
Passaggi consigliati prima di implementare SSO
Comunica chiaramente con il tuo team
Notifica a tutti i dipendenti la prossima migrazione a SSO.
Fornisci una cronologia chiara di quando il cambiamento avrà luogo.
Consiglia ai dipendenti che non verranno aggiunti all'applicazione SSO di salvare o esportare la loro cronologia di conversazione se SSO verrà applicato.
Pianifica una transizione fluida
Pianifica l'implementazione di SSO in un momento che minimizzi le interruzioni.
Assicurati che il tuo team IT sia preparato a supportare i dipendenti durante la transizione.
Disponi di un processo chiaro per concedere l'accesso agli utenti autorizzati.
Se possibile, implementa sia le funzionalità SSO che di provisioning contemporaneamente.
Dedicare tempo a testare, comunicare e pianificare prima di abilitare l'acquisizione del dominio e SSO aiuterà a garantire una transizione di successo e un'esperienza positiva per la tua organizzazione.
Passaggi successivi
Una volta che hai rivisto queste considerazioni e completato eventuali passaggi preliminari necessari (come l'unione di organizzazioni), procedi a Configurazione del single sign-on (SSO) per le istruzioni di implementazione dettagliate.