メインコンテンツにスキップ

シングルサインオン(SSO)のセットアップ

一週間前以上前にアップデートされました

シングルサインオンはTeamプラン、Enterpriseプラン、およびConsoleオーガニゼーションで利用可能です。

このガイドでは、TeamプランおよびEnterpriseプラン、ならびにClaude Consoleオーガニゼーション向けのSSO設定手順について説明します。

ステップ1:前提条件と重要な考慮事項を確認する

SSO設定を進める前に、以下を完了してください:

考慮事項ガイドを確認する:シングルサインオン(SSO)およびJIT/SCIMプロビジョニング有効化前の重要な考慮事項を読んで、親オーガニゼーションを理解し、セットアップパスを決定し、オーガニゼーションのマージなどの前提条件ステップを完了してください。

必要なロールを持っていることを確認する:

  • TeamプランまたはEnterpriseプランの場合:OwnerまたはPrimary Ownerである必要があります

  • Claude Consoleの場合:Adminである必要があります

以下へのアクセス権を持っていることを確認する:

  • 貴社のメールアドレスドメインのDNS設定

  • 貴社が使用するSSO Identity Provider(IdP)(サードパーティアプリケーションへのログインに使用、例:Okta、Google Workspaceなど)

Claudeまたは貴社のDNS設定を管理する権限がない場合は、貴社のIT管理者にお問い合わせください。

注:WorkOSはAnthropicのドメイン検証およびSSO設定プロバイダーです。詳細はAnthropicのサブプロセッサーリストをご覧ください。SSO およびプロビジョニング機能を設定する際、WorkOSセットアップフローが表示されます。Identity Providerは統合ドキュメントで確認できます。

ステップ2:ドメインを検証する

ドメイン検証により、貴社のドメインの所有権を証明します。検証後、貴社のドメインを使用するアカウント向けにSSOを設定できます。

1つのオーガニゼーション向けに複数のドメインを検証できますが、すべてのドメインは単一のIdPを通じて管理される必要があります。同じオーガニゼーション内で複数のIdPからのドメイン検証はサポートされていません。

注:ドメインを検証するだけでは、既存ユーザーの製品へのアクセス能力に影響を与えません。エンドユーザーのアクセスは、SSOが設定され明示的に強制された場合にのみ影響を受けます。

  1. Claude(claude.ai/admin-settings/identity)またはConsole(platform.claude.com/settings/identity)の「Identity and access」設定に移動します。このページはConsoleではSSOを有効にするためにSalesと協力した場合、またはマージ提案を完了した場合にのみ表示されます。

  2. Global SSO Configurationセクションで「Add domain」をクリックします。

  3. TXTレコードを追加する手順に従います。

    • サブドメイン(例:subdomain.yourcompany.com)を使用している場合は、そのサブドメイン上にTXTレコードを設定します(例:_acme-challenge.subdomain.yourcompany.com)。

  4. DNS変更が反映されるまで10分待ちます。注:DNS変更がグローバルに反映されるには24~48時間かかる場合があります。

  5. 緑色の「Verified」バッジが表示されたら、手順ページを閉じることができます。

  6. ドメインが「Pending」と表示されている場合は、「Refresh」ボタンを使用します。

注:ドメインが検証されると、Identity and accessページの「Global SSO Configuration」セクションに新しいオーガニゼーション作成を無効にするトグルが表示されます。検証済みドメインを使用して、ユーザーが新しいClaudeまたはConsoleオーガニゼーション(個人アカウントを含む)を作成することを防ぎたい場合は、これを有効にしてください。

ステップ3:Identity Providerを使用してSSOを設定する

  1. Claude(claude.ai/admin-settings/identity)またはConsole(platform.claude.com/settings/identity)のIdentity and access設定に移動します

  2. Global SSO Configurationセクションで「Setup SSO」(または「Manage SSO」)をクリックします。

  3. Identity Provider向けに提供されるセットアップガイドに従います(追加ガイドについては以下を参照)。

  4. これらのステップの最後に、シングルサインオンをテストするよう求められ、エラーがなく設定が成功していることを確認します。

  5. 完了後、Identity and accessの設定ページに戻り、さらに設定オプションを確認します。

重要:SSO強制により、ユーザーがIdPのAnthropicアプリに正しく割り当てられていない場合、ログインできなくなる可能性があります。「親オーガニゼーション」に接続された複数のClaude/Consoleオーガニゼーションがある場合は、各オーガニゼーション向けに一意のIdPグループを作成することを検討してください。詳細は高度なグループマッピングをご覧ください。

IdP固有のセットアップ手順については、以下を参照してください:

ステップ4:SSOを強制するかどうかを選択する

Identity and accessページのSSO Configurationセクションで、Enforce SSO for Consoleおよび/またはEnforce SSO for Claudeをトグルオンすることを選択できます。

SSOが強制されると、ユーザーはClaude/Consoleにアクセスするために「Continue with SSO」オプションを使用する必要があります。SSOが強制されていない場合、「Continue with SSO」または「Continue with email」を選択するオプションがあります。

決定する前に、SSOが有効化されたときに既存ユーザーに何が起こるかを確認してください。

ステップ5:プロビジョニングアプローチを選択する

SSOが有効化されたら、ユーザーがオーガニゼーションに追加される方法を決定する必要があります。これはIdentity and accessの設定のOrganization SSO ConfigurationセクションのProvisioning mode設定で制御されます。

Manualがデフォルトです。ユーザーはClaudeまたはConsoleの設定で直接追加および削除されます。TeamプランおよびEnterpriseプランでのメンバー管理を参照してください。

JIT(Just-in-Time)プロビジョニングを有効にして、ユーザーが初回ログイン時に自動的にプロビジョニングされるようにできます。デフォルトでは、AnthropicのIdPアプリに割り当てられたユーザーが初回ログインする際、Userロールを受け取ります。これは最もシンプルな自動化オプションで、選択以外の追加設定は不要です。

高度なグループマッピング - 追加プロビジョニング機能を設定する場合

プロビジョニングをより細かく制御するには、JITまたはSCIMプロビジョニングの設定を参照してください。以下が必要な場合は、このガイドを確認してください:

  • IdPグループメンバーシップに基づいてロールまたはシートティアを自動的に割り当てる。

  • 自動プロビジョニングおよびデプロビジョニング向けにSCIMディレクトリ同期を使用する。

  • 複数のオーガニゼーション間でアクセスを管理する(例:同じ親に接続されたTeam/EnterpriseオーガニゼーションとConsoleオーガニゼーションの両方がある場合、各オーガニゼーションにプロビジョニングされるユーザーを制御する必要がある)。

注:Team/EnterpriseプランオーガニゼーションとSSO設定を共有するClaude Consoleオーガニゼーション向けのIdP開始ログインは現在サポートされていません。IdP開始ログインでは、ユーザーはclaude.aiにリダイレクトされます。回避策として、可能であればIdPで「Claude Console」というブックマークを作成し、platform.claude.com/login?sso=trueにリンクして、ユーザーをConsoleにリダイレクトしてSP開始ログインを行うようにしてください。

SSOサーティフィケートの更新

Identity ProviderのX.509署名サーティフィケートが期限切れになるか、ローテーションされた場合、SSOの機能を維持するためにClaudeまたはConsoleで更新する必要があります。

  1. Identity and accessの設定に移動します:

    • TeamプランおよびEnterpriseプランの場合:claude.ai/admin-settings/identity

    • Claude Consoleの場合:platform.claude.com/settings/identity

  2. Global SSO Configurationセクションで「Manage SSO」をクリックします。

  3. 「Metadata Config」を選択します。

  4. 「Edit」をクリックします。

  5. サーティフィケート情報を更新し、変更を保存します。

  6. 同じページで「Test sign-in」をクリックして、すべてが正常に機能していることを確認します。

SSOをオフにする

Enforce SSO on Claude.aiまたはEnforce SSO on Consoleをいつでもオフにできます。これにより、すべてのユーザーに対してSSOがオプションになります。

SSOを完全に切断するには、「Manage SSO」をクリックしてから「Reset」をクリックします。これにより、すべてのユーザーのセッションが終了し、メールログインリンク経由で再度サインインする必要があります。

関連記事
シングルサインオン(SSO)およびJIT/SCIMプロビジョニングを有効にする前の重要な考慮事項
JITまたはSCIMプロビジョニングの設定
テナント制限によるネットワークレベルのアクセス制御の実施
Consoleアカウントへのログイン
別のIdentity Provider (IdP) への切り替え
こちらの回答で解決しましたか?