メインコンテンツにスキップ

シングルサインオン(SSO)の設定

3週間以上前に更新

シングルサインオンはTeamプラン、Enterpriseプラン、およびClaude Consoleの組織で利用できます。

このガイドでは、TeamプランおよびEnterpriseプラン、ならびにClaude Console組織のSSO設定手順について説明します。

ステップ1:前提条件と重要な考慮事項を確認する

SSO設定を進める前に、以下を完了してください:

考慮事項ガイドを確認する:シングルサインオン(SSO)およびJIT/SCIMプロビジョニングを有効にする前の重要な考慮事項を読んで、親組織を理解し、セットアップパスを決定し、組織のマージなどの前提条件ステップを完了してください。

必要なロールを持っていることを確認する:

  • TeamプランまたはEnterpriseプランの場合:OwnerまたはPrimary Ownerである必要があります

  • Claude Consoleの場合:Adminである必要があります

以下へのアクセス権があることを確認する:

  • 会社のメールアドレスドメインのDNS設定

  • 会社のSSO Identity Provider(IdP)(サードパーティアプリケーションにログインするために使用)(例:Okta、Google Workspaceなど)

Claudeまたは会社のDNS設定を管理する権限がない場合は、組織のIT管理者にお問い合わせください。

注:WorkOSはAnthropicのドメイン検証およびSSO設定プロバイダーです。詳細はAnthropicのサブプロセッサーリストで確認できます。SSOおよびプロビジョニング機能を設定する際にWorkOSセットアップフローが表示されます。Identity Providerは統合ドキュメントで確認してください。

ステップ2:ドメインを検証する

ドメイン検証は、会社のドメインを所有していることを証明します。検証後、会社のドメインを使用するアカウントのSSOを設定できます。

1つの組織に対して複数のドメインを検証できますが、すべてのドメインは単一のIdPを通じて管理する必要があります。同じ組織内で異なるIdPからのドメイン検証はサポートされていません。

注:ドメインを検証するだけでは、既存ユーザーの製品へのアクセス能力には影響しません。エンドユーザーのアクセスは、SSOが設定され、明示的に強制された場合にのみ影響を受けます。

  1. Claude(claude.ai/admin-settings/identity)またはConsole(platform.claude.com/settings/identity)の「Identity and access」設定に移動します。このページはConsoleでは、SSOを有効にするためにSalesと協力した場合、またはマージ提案を完了した場合にのみ表示されます。

  2. Domainsセクションで、「Add or edit domains」をクリックします。

  3. Update organization email domains modalで検証するドメインを入力し、「+」ボタンをクリックします:

  4. ドメイン追加が完了したら「Save」をクリックします。

  5. 追加したドメインがDomainsセクションに表示されます。ドメインの右側の「Verify」をクリックして検証プロセスを開始します。

  6. テキストボックスにドメインを入力し、「Continue」をクリックします:

  7. これによってTXTレコードが生成されます。指示に従って、このTXTレコードをドメインプロバイダーに追加します。

    • サブドメイン(例:subdomain.yourcompany.com)を使用している場合は、そのサブドメイン上にTXTレコードを設定します(例:_acme-challenge.subdomain.yourcompany.com)。

  8. DNS変更が反映されるまで10分待ちます。

    • 注:DNS変更がグローバルに反映されるには24~48時間かかる場合があります。

  9. 緑色の「Verified」バッジが表示されたら、指示ページを閉じることができます。

  10. ドメインが「Pending」と表示されている場合は、「Refresh」ボタンを使用します。

注:ドメインが検証されると、Identity and accessの組織設定ページのSecurityの下にRestrict organization creationトグルが表示されます。検証済みドメインを使用して、ユーザーが新しいClaudeまたはConsole組織(個人アカウントを含む)を作成することを防ぎたい場合は、これを有効にします。

ステップ3:Identity Providerを使用してSSOを設定する

  1. Claude(claude.ai/admin-settings/identity)またはConsole(platform.claude.com/settings/identity)のIdentity and access設定に移動します

  2. Global access settingsセクションで、「Setup SSO」(または「Manage」)をクリックします。

  3. Identity Providerに提供されるセットアップガイドに従います(追加ガイドについては以下を参照)。

  4. これらのステップの最後に、シングルサインオンをテストするよう求められ、エラーがなく設定が成功していることを確認します。

  5. 完了後、Identity and accessの設定ページに戻り、さらに設定オプションを確認します。

重要:SSOの強制により、ユーザーがIdPのAnthropicアプリに正しく割り当てられていない場合、ログインできなくなる可能性があります。複数のClaude/Console組織が「親組織」に接続されている場合は、それぞれに対して一意のIdPグループを作成することを検討してください。詳細については、グループマッピングを有効にするを参照してください。

IdP固有のセットアップ手順については、以下を参照してください:

ステップ4:SSOを要求するかどうかを選択する

Identity and accessページのGlobal access settingsセクションで、Require SSO for Consoleおよび/またはRequire SSO for Claudeをオンに切り替えることができます:

SSOが必須の場合、ユーザーはClaude/Consoleにアクセスするために「Continue with SSO」オプションを使用する必要があります。SSOが必須でない場合、「Continue with SSO」または「Continue with email」を選択するオプションがあります。

決定する前に、SSOが有効になったときに既存ユーザーに何が起こるかを確認してください。

ステップ5:プロビジョニングアプローチを選択する

SSOが有効になったら、ユーザーを組織に追加する方法を決定する必要があります。これはIdentity and accessの設定のGlobal access settingsセクションのProvisioning mode設定によって制御されます。

Invite onlyがデフォルトです。ユーザーはClaudeまたはConsoleの設定で直接追加および削除されます。TeamプランおよびEnterpriseプランでのメンバー管理を参照してください。

JIT(Just-in-Time)プロビジョニングを有効にして、ユーザーが初めてログインするときに自動的にプロビジョニングできます。デフォルトでは、AnthropicのIdPアプリに割り当てられたユーザーが初めてログインするときに、Userロールを受け取ります。これは最もシンプルな自動化オプションであり、プロビジョニングモードとして「Approve automatically(JIT)」を選択する以外に追加設定は必要ありません。

グループマッピングを有効にする - 追加のプロビジョニング機能を設定する場合

プロビジョニングをより細かく制御するには、JITまたはSCIMプロビジョニングの設定を参照してください。以下が必要な場合は、このガイドを確認してください:

  • IdPグループメンバーシップに基づいてロールまたはシートティアを自動的に割り当てる。

  • 自動プロビジョニングおよびデプロビジョニングのためにSCIMディレクトリ同期を使用する。

  • 複数の組織全体でアクセスを管理する(例:同じ親に接続されたTeam/Enterprise組織とConsole組織の両方がある場合、各組織にプロビジョニングされるユーザーを制御する必要がある)。

注:TeamまたはEnterpriseプラン組織とSSO設定を共有するClaude Console組織については、IdP開始ログインは現在サポートされていません。ユーザーはIdP開始ログインでclaude.aiにリダイレクトされます。回避策として、IdPで可能な場合は、platform.claude.com/login?sso=trueにリンクする「Claude Console」というブックマークを作成して、ユーザーをSP開始ログイン用のConsoleにリダイレクトします。

SSOサーティフィケートを更新する

Identity ProviderのX.509署名サーティフィケートが期限切れになるか、ローテーションされた場合、SSO機能を維持するためにClaudeまたはConsoleで更新する必要があります。

  1. Identity and accessの設定に移動します:

  2. Global access settingsセクションで、「Manage SSO」をクリックします。

  3. 「Metadata Config」を選択します。

  4. 「Edit」をクリックします。

  5. サーティフィケート情報を更新し、変更を保存します。

  6. 同じページで「Test sign-in」をクリックして、すべてが正常に機能していることを確認します。

SSOをオフにする

Require SSO for ClaudeまたはRequire SSO for Consoleをいつでもオフに切り替えることができます。これにより、すべてのユーザーに対してSSOがオプションになります。

SSOを完全に切断するには、「Manage SSO」をクリックしてから「Reset」をクリックします。これにより、すべてのユーザーのセッションが終了し、メールログインリンク経由で再度サインインする必要があります。

関連記事
シングルサインオン(SSO)およびJIT/SCIMプロビジョニングを有効にする前の重要な考慮事項
Claude Consoleでユーザーフィードバック設定を管理する
JITまたはSCIMプロビジョニングの設定
Console アカウントへのログイン
別のIdentity Provider (IdP) への切り替え
こちらの回答で解決しましたか?