Vai al contenuto principale

Configurare l'accesso Single Sign-On (SSO)

L'accesso Single Sign-On è disponibile per i piani Team, i piani Enterprise e le organizzazioni Console.

Questa guida copre i passaggi per configurare SSO per i piani Team ed Enterprise e le organizzazioni Claude Console.

Passaggio 1: Esaminare i prerequisiti e le considerazioni importanti

Prima di procedere con la configurazione SSO, completare quanto segue:

Esaminare la guida alle considerazioni: Leggere Considerazioni importanti prima di abilitare l'accesso Single Sign-On (SSO) e il provisioning JIT/SCIM per comprendere le organizzazioni padre, determinare il percorso di configurazione e completare eventuali passaggi prerequisiti come l'unione di organizzazioni.

Confermare di avere il ruolo richiesto:

  • Per i piani Team o Enterprise: È necessario essere un Proprietario o Proprietario Principale

  • Per Claude Console: È necessario essere un Amministratore

Confermare di avere accesso a quanto segue:

  • Impostazioni DNS per il dominio dell'indirizzo email della tua azienda

  • Il provider di identità SSO (IdP) della tua azienda utilizzato per accedere ad applicazioni di terze parti (ad es. Okta, Google Workspace, ecc.)

Contattare l'amministratore IT della tua organizzazione se non hai i permessi per gestire le impostazioni DNS di Claude o dell'azienda.

Nota: WorkOS è il provider di Anthropic per la verifica del dominio e la configurazione SSO. Ulteriori dettagli sono disponibili nell'Elenco dei Subprocessor di Anthropic. Verrai guidato attraverso un flusso di configurazione WorkOS durante la configurazione di SSO e delle funzioni di provisioning—trova il tuo Provider di Identità nella loro Documentazione di Integrazione.

Passaggio 2: Verificare il tuo dominio (i tuoi domini)

La verifica del dominio prova che possiedi il dominio della tua azienda. Una volta verificato, puoi configurare SSO per gli account con il dominio della tua azienda.

Puoi verificare più domini per una singola organizzazione, ma tutti i domini devono essere gestiti attraverso un singolo IdP. Non supportiamo la verifica di domini da IdP separati all'interno della stessa organizzazione.

Nota: La verifica del tuo dominio da sola non avrà alcun impatto sulla capacità degli utenti esistenti di accedere ai nostri prodotti. L'accesso degli utenti finali è interessato solo una volta che SSO è configurato e esplicitamente applicato.

  1. Accedi alle impostazioni Organizzazione e accesso in Claude (claude.ai/admin-settings/organization) o alle impostazioni Identità e accesso in Console (platform.claude.com/settings/identity) – nota che questa pagina apparirà in Console solo se hai lavorato con il team di vendita per abilitare SSO o hai completato una proposta di unione.

  2. Nella sezione Domini, fai clic su "Aggiungi o modifica domini".

  3. Inserisci il dominio (i domini) che desideri verificare nella finestra modale Aggiorna domini email organizzazione e fai clic sul pulsante "+":

  4. Fai clic su "Salva" quando hai finito di aggiungere i domini.

  5. Il dominio (i domini) che hai aggiunto apparirà ora nella sezione Domini; fai clic su "Verifica" a destra del dominio (dei domini) per iniziare il processo di verifica.

  6. Inserisci il tuo dominio nella casella di testo e fai clic su "Continua":

  7. La schermata di configurazione visualizza un record TXT. Copia il valore completo utilizzando il pulsante di copia—inizia con anthropic-domain-verification- ed è più lungo di quello visibile nella casella. Nel tuo provider DNS, aggiungi un record TXT con Host/Nome impostato su @ (la radice del tuo dominio) e Valore impostato sulla stringa copiata. Aggiungilo insieme a qualsiasi record TXT esistente; non sostituirli. Il valore è sensibile alle maiuscole, quindi incollalo esattamente.

    1. Importante: Salva il valore TXT prima di lasciare la schermata di configurazione. Una volta che il dominio viene visualizzato come In sospeso, la console di amministrazione non visualizza più il valore. Se lo perdi, dovrai rimuovere e aggiungere di nuovo il dominio, il che genera un nuovo valore.

  8. Attendi 10 minuti affinché la tua modifica DNS si propaghi.

    • Nota: Le modifiche DNS possono richiedere 24-48 ore per propagarsi globalmente.

  9. Quando vedi il badge verde "Verificato", puoi chiudere la pagina delle istruzioni.

  10. Se il tuo dominio viene visualizzato come "In sospeso", utilizza il pulsante "Aggiorna".

Se il tuo dominio rimane In sospeso

Facendo clic su "Aggiorna" si ricontrolla il tuo DNS; non verrà visualizzato come Verificato fino a quando il record TXT pubblicato non corrisponde esattamente al valore previsto. Se rimane In sospeso dopo che il DNS si è propagato, controlla quanto segue:

  • Il record esiste alla radice. Cerca i record TXT del tuo dominio con uno strumento come DNSChecker e conferma che un record che inizia con anthropic-domain-verification- appaia per tuodominio.com (non www.tuodominio.com o un altro sottodominio). Se non appare, il record potrebbe essere stato aggiunto all'host sbagliato o non si è ancora propagato.

  • Il valore corrisponde esattamente. Il controllo è sensibile alle maiuscole e richiede la stringa completa incluso il prefisso anthropic-domain-verification-…=. Una singola differenza di carattere lo manterrà In sospeso.

  • Non hai rimosso e aggiunto di nuovo il dominio. Ogni nuovo aggiunta genera un nuovo valore di verifica. Se hai aggiunto di nuovo il dominio dopo aver pubblicato il record TXT, il valore pubblicato non corrisponde più—dovrai aggiornare il record DNS con il nuovo valore.

Se il record è corretto e propagato ma lo stato mostra ancora In sospeso, contatta il Supporto.

Nota: Una volta verificato il tuo dominio, vedrai un interruttore Limita creazione organizzazione sotto Sicurezza nella pagina delle impostazioni dell'organizzazione Organizzazione e accesso. Abilitalo se desideri impedire agli utenti di creare nuove organizzazioni Claude o Console—inclusi account personali—utilizzando i tuoi domini verificati.

Passaggio 3: Configurare SSO con il tuo Provider di Identità

  1. Accedi alle impostazioni Organizzazione e accesso in Claude (claude.ai/admin-settings/organization) o alle impostazioni Identità e accesso in Console (platform.claude.com/settings/identity).

  2. Nella sezione Autenticazione, fai clic su "Configura SSO" (o "Gestisci SSO").

  3. Segui la guida di configurazione fornita per il tuo Provider di Identità (vedi di seguito per guide aggiuntive).

  4. Al termine di questi passaggi, ti verrà chiesto di testare l'accesso Single Sign-On per confermare che non ci sono errori e la configurazione è riuscita.

  5. Una volta completato, torna alla pagina delle impostazioni Organizzazione e accesso per ulteriori opzioni di configurazione.

Importante: L'applicazione di SSO potrebbe impedire agli utenti di accedere se non sono correttamente assegnati all'app Anthropic nell'IdP. Se hai più di un'organizzazione Claude/Console collegata alla tua "organizzazione padre", vorrai considerare la creazione di un Gruppo IdP univoco per ciascuna. Per ulteriori informazioni, vedi abilita mappature di gruppo.

Per le istruzioni di configurazione specifiche dell'IdP, vedi:

Passaggio 4: Scegliere di richiedere SSO

Puoi ora scegliere di attivare Richiedi SSO per Console e/o Richiedi SSO per Claude sulla pagina Organizzazione e accesso, nella sezione Autenticazione:

Quando SSO è richiesto, gli utenti devono utilizzare l'opzione "Continua con SSO" per accedere ai loro account Claude/Console. Quando SSO non è richiesto, avranno la possibilità di scegliere "Continua con SSO" o "Continua con email".

Prima di decidere, esamina Cosa succede agli utenti esistenti quando SSO è abilitato.

Passaggio 5: Scegli il tuo approccio di provisioning

Una volta abilitato SSO, devi decidere come gli utenti verranno aggiunti alla tua organizzazione scegliendo un'opzione nella sezione Provisioning utenti delle impostazioni Organizzazione e accesso.

Solo su invito è l'impostazione predefinita. Gli utenti vengono aggiunti e rimossi direttamente nelle impostazioni di Claude o Console. Vedi Gestisci i membri nei piani Team ed Enterprise.

Provisioning Just-in-Time (JIT) può essere abilitato per eseguire automaticamente il provisioning degli utenti al loro primo accesso. Per impostazione predefinita, gli utenti assegnati alla tua app IdP Anthropic al primo accesso riceveranno il ruolo Utente. Questa è l'opzione automatizzata più semplice e non richiede alcuna configurazione aggiuntiva oltre a selezionare "Just-in-Time (JIT)" come modalità di provisioning.

Abilita mappature di gruppo - quando configurare funzioni di provisioning aggiuntive

Per un maggiore controllo sul provisioning, vedi Configura il provisioning JIT o SCIM. Vorrai esaminare questa guida se hai bisogno di:

  • Assegnare automaticamente ruoli o livelli di posti in base all'appartenenza al gruppo IdP.

  • Utilizzare la sincronizzazione della directory SCIM per il provisioning e il deprovisioning automatici.

  • Gestire l'accesso tra più organizzazioni (ad es., se hai sia un'organizzazione Team/Enterprise che un'organizzazione Console collegate allo stesso padre e hai bisogno di controllare quali utenti vengono sottoposti a provisioning in ciascuna).

Nota: Attualmente non supportiamo l'accesso avviato da IdP per le organizzazioni Claude Console che condividono le impostazioni SSO con un'organizzazione del piano Team o Enterprise. Gli utenti verranno reindirizzati a claude.ai con accesso avviato da IdP. Come soluzione alternativa, se possibile nel tuo IdP, crea un segnalibro chiamato "Claude Console" che si collega a platform.claude.com/login?sso=true per reindirizzare gli utenti a Console per l'accesso avviato da SP.

Aggiornamento del tuo certificato SSO

Quando il certificato di firma X.509 del tuo Provider di Identità scade o viene ruotato, dovrai aggiornarlo in Claude o Console per mantenere la funzionalità SSO.

  1. Accedi alle tue impostazioni:

  2. Nella sezione Autenticazione, fai clic su "Gestisci SSO".

  3. Trova la sezione Configurazione metadati e fai clic su "Modifica".

  4. Aggiorna le informazioni del tuo certificato e salva le tue modifiche.

  5. Fai clic su "Prova accesso" sulla stessa pagina per confermare che tutto funziona.

Disattivazione di SSO

Puoi disattivare Richiedi SSO per Claude o Richiedi SSO per Console in qualsiasi momento. Questo renderà SSO facoltativo per tutti gli utenti.

Per disconnettere completamente SSO, fai clic su "Gestisci SSO" quindi su "Ripristina connessione". Questo terminerà le sessioni di tutti gli utenti e richiederà loro di accedere di nuovo tramite il collegamento di accesso tramite email.

Articoli correlati
Considerazioni importanti prima di abilitare il single sign-on (SSO) e il provisioning JIT/SCIM
Configurare il provisioning JIT o SCIM
Mancata corrispondenza SSO/SCIM Email — Google Workspace
SSO/SCIM Email Mismatch — Ping Identity
Accesso SSO
Hai ricevuto la risposta alla tua domanda?