ClaudeまたはClaude Consoleの組織向けにSSOを設定する前に、このガイドを確認して、主要な概念を理解し、アプローチを計画し、前提条件のステップを完了してください。
親組織について
シングルサインオン機能は、「親組織」という概念を使用しています。これは、複数のClaudeまたはConsole組織全体で共有できるSSO設定を保存するエンティティです。プラン種別によって、デフォルトで親組織があるかどうかが決まります。
プラン種別 | 親組織 |
Enterpriseプラン | 組織の設定時に自動的に作成される |
Teamプラン | SSOが初めて有効になったときに作成される |
Claude Console | 自動的には作成されない。アクション(以下を参照)が必要 |
知っておくべき重要なこと
SSOを設定する前に、ドメイン検証が必須です。ドメインは親組織レベルで検証されます。ドメインが検証されると、他の親組織はそれを要求できません。
複数の組織を同じ親組織にリンクして、ドメイン検証とSSO設定を共有できます。Claude(Team/Enterpriseプラン)とConsole組織の両方がある場合に便利です。
各親組織は1つのIdentity Providerにのみリンクできます。つまり、単一の親組織にリンクされたすべての組織は、同じIdPを通じて管理される必要があります。
グループマッピングを有効にすると、親組織の下でどのユーザーがどの組織にプロビジョニングされるか、およびどのロールでプロビジョニングされるかを制御できます。詳細については、IdPでグループを設定してユーザーを割り当てるを参照してください。
親組織はアイデンティティとアクセスのみを管理します。具体的には、ドメイン検証、SSO設定、およびユーザープロビジョニングです。請求、請求書、および使用状況追跡は個別の組織レベルで処理され、親組織の関係の影響を受けません。
これがあなたにとって意味すること
プランに応じて、親組織のダイナミクスを確認する必要があります。
Team または Enterprise プランがある場合:シングルサインオン(SSO)の設定ガイドに直接進むことができます。親組織は既に配置されているか、Team プランの SSO を有効にするときに作成されます。
Claude Console 組織と既存の Team または Enterprise プランがある場合:Console 組織は既に Team または Enterprise 親組織にリンクされている可能性があります。platform.claude.com/settings/identityにアクセスできるかどうかを確認してください。アクセスできる場合、これは組織が親組織にリンクされており、SSO が既に設定されていることを示しています。アクセスできない場合、Team または Enterprise プランの所有者が Console 組織をマージして(組織のマージ以下を参照)、親組織と既存の SSO 設定にリンクすることを開始できます。
Team または Enterprise プランのない Claude Console 組織がある場合:営業チームにお問い合わせください。Console アカウント用の親組織をリクエストしてください。親組織を作成すると、Claude Console で Identity 設定ページが表示され、SSO セットアップを進めることができます。
組織のマージ
Team または Enterprise 組織は、他の組織を既存の親組織に参加するよう招待し、SSO 設定を共有できます。
重要:組織のマージオプションは Claude(claude.ai)でのみ利用可能です。Console 組織はマージを開始できません。Team または Enterprise 組織に招待される必要があります。
マージの要件
提案を開始する Team または Enterprise 組織は、親組織で検証されたドメインを持つ必要があります。
招待される組織のすべてのメンバーは、検証されたドメインと一致するメールアドレスを持つ必要があります。
招待される組織の管理者(Console)または所有者(Claude)がマージを承認する必要があります。
招待される組織は、既に別の親組織に属していることはできません。
注:招待したい組織が招待リストに表示されない場合、既に独自の親組織に属しており、検証されたドメインと個別の SSO/SCIM が設定されている可能性があります。サポートにお問い合わせください。現在の親組織から切り離してもらいます。切り離すと、その組織の既存のドメイン検証と SSO/SCIM 設定がクリアされるため、リクエストする前に管理者に確認してください。
マージ提案を開始するには
組織設定 > 組織とアクセスに移動します。
組織のマージの下の「招待」をクリックします。
招待したい組織を選択して、「次へ」をクリックします。
メンバー数を確認して、「招待」をクリックします。
マージ提案は招待される組織の管理者/所有者に送信され、メール件名は「親組織の更新:新しいメンバー組織が提案されました」となり、14日以内に承認される必要があります。
注:マージを開始する人が招待される組織の管理者/所有者でもある場合、1つの承認のみが必要です。
マージ提案を承認するには
組織の所有者またはプライマリ所有者は、claude.ai/settings/join-proposalに移動してマージを受け入れる必要があります。
Console 組織がマージされると、組織設定のアイデンティティとアクセスページにアクセスして、SSO とプロビジョニング設定を設定できます。
認証
認証セクションで SSO を設定するために使用できる設定が見つかります。ここで、プライマリ SSO 接続と複数の参加した Claude または Console 組織に適用されるポリシーを設定します。
新しい組織の作成を制限する
組織のドメインが検証されると、所有者は組織とアクセスページのセキュリティの下に組織の作成を制限トグルが表示されます。これをオンにして、ユーザーが検証されたドメインのいずれかを使用して、個人アカウントを含む新しい Claude または Console 組織を作成することを防ぎます。
プロビジョニングオプション
SSO が設定されたら、ユーザーを組織にプロビジョニングする方法を選択できます。
プロビジョニング方法 | Team プラン | Enterprise プラン | Console 組織 |
招待のみ | ✓ | ✓ | ✓ |
JIT | ✓ | ✓ | ✓ |
SCIM | ✗ | ✓ | ✓* |
*注:Enterprise プラン組織のみが SCIM プロビジョニングを有効にできます。Console 組織が Team プランの親組織とマージされた場合、SCIM プロビジョニングにアクセスできません。
各プロビジョニング方法の詳細については、JIT または SCIM プロビジョニングの設定を参照してください。
SSO が有効になったときに既存ユーザーに何が起こるか
組織の SSO を有効にした後、検証された会社ドメインに関連付けられた個別アカウントを持つユーザーについて、2 つの異なるシナリオを検討する必要があります。
SSO アプリケーションに追加される既存の Free/Pro/Team/Max アカウントを持つユーザー
これらのユーザーは既存の Free/Pro/Team/Max アカウントへのアクセスを保持します。左下隅のイニシャル付きプロフィールアイコンをクリックして、Team または Enterprise プランアカウントと以前のアカウントを切り替えることができます。
SSO アプリケーションに追加されない既存の Free/Pro/Team/Max アカウントを持つユーザー
「Claude に SSO を要求」が有効になっていない場合:これらのユーザーは「メールで続行」オプションを使用して既存のアカウントにアクセスできます。
「Claude に SSO を要求」が有効になっている場合:これらのユーザーは既存の Free/Pro/Team/Max アカウントにアクセスできなくなります。これらのアカウントは削除されませんが、ユーザーが SSO 経由でログインできないため、アクセスできなくなることに注意してください。
検証されたドメインに関連付けられた既存の Claude / Console アカウントを表示する方法
検証されたドメインとそれらの Claude 組織全体での使用に関する情報を表示またはダウンロードするには:
Claude の組織とアクセスセクション(claude.ai/admin-settings/organization)または Console のアイデンティティとアクセスセクション(platform.claude.com/settings/identity)に移動します。
ドメインセクションで「ドメインメンバーシップ」をクリックします。
情報を確認するか、CSV または JSON 形式で詳細をダウンロードします。
SSO を実装する前の推奨ステップ
チームと明確にコミュニケーションを取る
SSO への今後の移行についてすべての従業員に通知します。
変更が発生する時期の明確なタイムラインを提供します。
SSO アプリケーションに追加されない従業員に、SSO が強制される場合は会話履歴を保存またはエクスポートするようアドバイスします。
スムーズな移行を計画する
中断を最小限に抑える時間に SSO 実装をスケジュールします。
IT チームが移行で従業員をサポートする準備ができていることを確認します。
認可されたユーザーにアクセスを付与するための明確なプロセスを用意します。
可能であれば、SSO とプロビジョニング機能を同時に実装します。
ドメイン検証と SSO を有効にする前にテスト、コミュニケーション、計画に時間をかけることで、スムーズな移行と組織にとって肯定的な経験を確保できます。
次のステップ
これらの検討事項を確認し、必要な前提条件のステップ(組織のマージなど)を完了したら、詳細な実装手順についてはシングルサインオン(SSO)の設定に進んでください。