メインコンテンツにスキップ

シングルサインオン(SSO)の設定

今日アップデートされました

シングルサインオンはTeamプラン、Enterpriseプラン、およびConsoleオーガニゼーションで利用可能です。

このガイドでは、TeamプランおよびEnterpriseプラン、ならびにClaude Consoleオーガニゼーション向けのSSO設定手順について説明します。

ステップ1:前提条件と重要な考慮事項を確認する

SSO設定を進める前に、以下を完了してください:

考慮事項ガイドを確認する: シングルサインオン(SSO)およびJIT/SCIMプロビジョニングを有効にする前の重要な考慮事項を読んで、親オーガニゼーションを理解し、セットアップパスを決定し、オーガニゼーションのマージなどの前提条件ステップを完了してください。

必要なロールを持っていることを確認する:

  • TeamプランまたはEnterpriseプランの場合:OwnerまたはPrimary Ownerである必要があります

  • Claude Consoleの場合:Adminである必要があります

以下へのアクセス権を持っていることを確認する:

  • 貴社のメールアドレスドメインのDNS設定

  • サードパーティアプリケーションにログインするために使用される貴社のSSO Identity Provider(IdP)(例:Okta、Google Workspaceなど)

Claudeまたは貴社のDNS設定を管理する権限がない場合は、組織のIT管理者にお問い合わせください。

注: WorkOSはAnthropicのドメイン検証およびSSO設定プロバイダーです。詳細はAnthropicのサブプロセッサーリストで確認できます。SSOおよびプロビジョニング機能を設定する際にWorkOSセットアップフローが表示されます。Identity Providerは統合ドキュメントで確認してください。

ステップ2:ドメインを検証する

ドメイン検証は、貴社のドメインを所有していることを証明します。検証後、貴社のドメインを使用するアカウント向けのSSOを設定できます。

1つのオーガニゼーション向けに複数のドメインを検証できますが、すべてのドメインは1つのIdPを通じて管理される必要があります。同じオーガニゼーション内で複数のIdPからのドメイン検証はサポートされていません。

注: ドメインを検証するだけでは、既存ユーザーの製品へのアクセス能力には影響しません。エンドユーザーのアクセスは、SSOが設定され明示的に強制された場合にのみ影響を受けます。

  1. Claude(claude.ai/admin-settings/identity)またはConsole(platform.claude.com/settings/identity)の「Identity and access」設定に移動します。このページはConsoleでは、営業チームと協力してSSOを有効にしたか、マージ提案を完了した場合にのみ表示されます。

  2. Domainsセクションで「Add or edit domains」をクリックします。

  3. Update organization email domains modalで検証するドメインを入力し、「+」ボタンをクリックします:

  4. ドメイン追加が完了したら「Save」をクリックします。

  5. 追加したドメインがDomainsセクションに表示されます。ドメインの右側の「Verify」をクリックして検証プロセスを開始します。

  6. テキストボックスにドメインを入力し、「Continue」をクリックします:

  7. これによってTXTレコードが生成されます。指示に従って、このTXTレコードをドメインプロバイダーに追加します。

    • サブドメイン(例:subdomain.yourcompany.com)を使用している場合は、そのサブドメイン上にTXTレコードを設定します(例:_acme-challenge.subdomain.yourcompany.com)。

  8. DNS変更が反映されるまで10分待ちます。

    • 注:DNS変更がグローバルに反映されるには24~48時間かかる場合があります。

  9. 緑色の「Verified」バッジが表示されたら、指示ページを閉じることができます。

  10. ドメインが「Pending」と表示されている場合は、「Refresh」ボタンを使用します。

注: ドメインが検証されると、Identity and accessオーガニゼーション設定ページのSecurityの下にRestrict organization creationトグルが表示されます。検証済みドメインを使用して、個人アカウントを含むClaudeまたはConsoleオーガニゼーションの新規作成をユーザーが行うことを防ぎたい場合は、これを有効にします。

ステップ3:Identity Providerを使用してSSOを設定する

  1. Claude(claude.ai/admin-settings/identity)またはConsole(platform.claude.com/settings/identity)のIdentity and access設定に移動します

  2. Global access settings / Organization accessセクションで「Setup SSO」(または「Manage」)をクリックします。

  3. Identity Provider向けに提供されるセットアップガイドに従います(追加ガイドについては以下を参照)。

  4. これらのステップの最後に、シングルサインオンをテストするよう求められ、エラーがなく設定が成功していることを確認します。

  5. 完了後、Identity and accessの設定ページに戻り、さらに設定オプションを確認します。

重要: SSO強制により、ユーザーがIdPのAnthropicアプリに正しく割り当てられていない場合、ログインできなくなる可能性があります。「親オーガニゼーション」に接続された複数のClaude/Consoleオーガニゼーションがある場合は、各オーガニゼーション向けに一意のIdPグループを作成することを検討してください。詳細については、グループマッピングを有効にするを参照してください。

IdP固有のセットアップ手順については、以下を参照してください:

ステップ4:SSOを要求するかどうかを選択する

Identity and accessページのGlobal access settings / Organization accessセクションで、Require SSO for Consoleおよび/またはRequire SSO for Claudeをオンに切り替えることができます:

SSOが必須の場合、ユーザーはClaude/Consoleにアクセスするために「Continue with SSO」オプションを使用する必要があります。SSOが必須でない場合、ユーザーは「Continue with SSO」または「Continue with email」を選択するオプションがあります。

決定する前に、SSOが有効になったときに既存ユーザーに何が起こるかを確認してください。

ステップ5:プロビジョニングアプローチを選択する

SSOが有効になったら、ユーザーをオーガニゼーションに追加する方法を決定する必要があります。これはIdentity and accessの設定のGlobal access settings / Organization accessセクションのProvisioning mode設定によって制御されます。

Manualがデフォルトです。ユーザーはClaudeまたはConsoleの設定で直接追加および削除されます。TeamプランおよびEnterpriseプランでのメンバー管理を参照してください。

JIT(Just-in-Time)プロビジョニングを有効にして、ユーザーが初回ログイン時に自動的にプロビジョニングされるようにできます。デフォルトでは、AnthropicIdPアプリに割り当てられたユーザーが初回ログインすると、Userロールを受け取ります。これは最もシンプルな自動化オプションであり、選択以外の追加設定は不要です。

グループマッピングを有効にする - 追加プロビジョニング機能を設定する場合

プロビジョニングをより細かく制御するには、JITまたはSCIMプロビジョニングの設定を参照してください。以下が必要な場合は、このガイドを確認してください:

  • IdPグループメンバーシップに基づいてロールまたはシートティアを自動的に割り当てる。

  • 自動プロビジョニングおよびデプロビジョニング向けにSCIMディレクトリ同期を使用する。

  • 複数のオーガニゼーション間でアクセスを管理する(例:同じ親に接続されたTeam/EnterpriseオーガニゼーションとConsoleオーガニゼーションの両方がある場合、各オーガニゼーションにプロビジョニングされるユーザーを制御する必要があります)。

注: 現在、TeamプランまたはEnterpriseプランオーガニゼーションとSSO設定を共有するClaude Consoleオーガニゼーション向けのIdP開始ログインはサポートされていません。ユーザーはIdP開始ログインでclaude.aiにリダイレクトされます。回避策として、IdPで可能な場合は、platform.claude.com/login?sso=trueにリンクする「Claude Console」というブックマークを作成して、ユーザーをConsoleにリダイレクトしてSP開始ログインを行うようにしてください。

SSOサーティフィケートを更新する

Identity ProviderのX.509署名サーティフィケートが期限切れになるか、ローテーションされた場合、SSO機能を維持するためにClaudeまたはConsoleで更新する必要があります。

  1. Identity and accessの設定に移動します:

  2. Global access settings / Organization accessセクションで「Manage SSO」をクリックします。

  3. 「Metadata Config」を選択します。

  4. 「Edit」をクリックします。

  5. サーティフィケート情報を更新し、変更を保存します。

  6. 同じページで「Test sign-in」をクリックして、すべてが正常に機能していることを確認します。

SSOをオフにする

Require SSO for ClaudeまたはRequire SSO for Consoleをいつでもオフに切り替えることができます。これにより、すべてのユーザーに対してSSOがオプションになります。

SSOを完全に切断するには、「Manage SSO」をクリックしてから「Reset」をクリックします。これにより、すべてのユーザーのセッションが終了し、メールログインリンク経由で再度サインインする必要があります。

関連記事
シングルサインオン(SSO)およびJIT/SCIMプロビジョニングを有効にする前の重要な考慮事項
JITまたはSCIMプロビジョニングの設定
テナント制限によるネットワークレベルのアクセス制御の実施
Consoleアカウントへのログイン
別のIdentity Provider (IdP) への切り替え
こちらの回答で解決しましたか?