メインコンテンツにスキップ

シングルサインオン(SSO)の設定

シングルサインオンはTeamプラン、Enterpriseプラン、およびConsoleオーガニゼーションで利用できます。

このガイドでは、TeamプランおよびEnterpriseプラン、ならびにClaude Consoleオーガニゼーション向けのSSO設定手順について説明します。

ステップ1:前提条件と重要な考慮事項を確認する

SSO設定を進める前に、以下を完了してください:

考慮事項ガイドを確認してください:シングルサインオン(SSO)およびJIT/SCIMプロビジョニング有効化前の重要な考慮事項を読んで、親オーガニゼーションを理解し、セットアップパスを決定し、オーガニゼーションのマージなどの前提条件ステップを完了してください。

必要なロールを持っていることを確認してください:

  • TeamプランまたはEnterpriseプラン:OwnerまたはPrimary Ownerである必要があります

  • Claude Console:Adminである必要があります

以下へのアクセス権を持っていることを確認してください:

  • 貴社のメールアドレスドメインのDNS設定

  • サードパーティアプリケーションにログインするために使用される貴社のSSO Identity Provider(IdP)(例:Okta、Google Workspace など)

Claudeまたは貴社のDNS設定を管理する権限がない場合は、組織のIT管理者にお問い合わせください。

注:WorkOSはAnthropicのドメイン検証およびSSO設定プロバイダーです。詳細はAnthropicのサブプロセッサーリストをご覧ください。SSOおよびプロビジョニング機能を設定する際、WorkOSセットアップフローが表示されます。Identity Providerは統合ドキュメントで確認してください。

ステップ2:ドメインを検証する

ドメイン検証により、貴社のドメインの所有権が証明されます。検証後、貴社のドメインを持つアカウント向けにSSOを設定できます。

1つのオーガニゼーション向けに複数のドメインを検証できますが、すべてのドメインは単一のIdPを通じて管理する必要があります。同じオーガニゼーション内で異なるIdPからのドメイン検証はサポートされていません。

注:ドメインを検証するだけでは、既存ユーザーの製品へのアクセス能力には影響しません。エンドユーザーのアクセスは、SSOが設定され明示的に適用された場合にのみ影響を受けます。

  1. Claude内のオーガニゼーションとアクセス設定(claude.ai/admin-settings/organization)またはConsole内のID とアクセス設定(platform.claude.com/settings/identity)に移動してください。このページはConsoleでは、SSOを有効にするためにSalesと協力した場合、またはマージ提案を完了した場合にのみ表示されます。

  2. ドメインセクションで、「ドメインを追加または編集」をクリックしてください。

  3. オーガニゼーションのメールドメインを更新モーダルで検証したいドメインを入力し、「+」ボタンをクリックしてください:

  4. ドメインの追加が完了したら、「保存」をクリックしてください。

  5. 追加したドメインがドメインセクションに表示されます。ドメインの右側の「検証」をクリックして検証プロセスを開始してください。

  6. テキストボックスにドメインを入力し、「続行」をクリックしてください:

  7. これによりTXTレコードが生成されます。指示に従って、このTXTレコードをドメインプロバイダーに追加してください。

    • サブドメイン(例:subdomain.yourcompany.com)を使用している場合は、そのサブドメイン上にTXTレコードを設定してください(例:_acme-challenge.subdomain.yourcompany.com)。

  8. DNS変更が反映されるまで10分待ってください。

    • 注:DNS変更がグローバルに反映されるまで24~48時間かかる場合があります。

  9. 緑色の「検証済み」バッジが表示されたら、指示ページを閉じることができます。

  10. ドメインが「保留中」と表示されている場合は、「更新」ボタンを使用してください。

注:ドメインが検証されると、オーガニゼーションとアクセスのオーガニゼーション設定ページのセキュリティの下にオーガニゼーション作成を制限トグルが表示されます。検証済みドメインを使用して、ユーザーが新しいClaudeまたはConsoleオーガニゼーション(個人アカウントを含む)を作成することを防ぎたい場合は、これを有効にしてください。

ステップ3:Identity ProviderでSSOを設定する

  1. Claude内のオーガニゼーションとアクセス設定(claude.ai/admin-settings/organization)またはConsole内のID とアクセス設定(platform.claude.com/settings/identity)に移動してください。

  2. 認証セクションで、「SSOを設定」(または「SSOを管理」)をクリックしてください。

  3. Identity Provider向けに提供されるセットアップガイドに従ってください(追加ガイドについては以下を参照)。

  4. これらのステップの最後に、シングルサインオンをテストするよう求められ、エラーがなく設定が成功していることを確認できます。

  5. 完了後、オーガニゼーションとアクセス設定ページに戻り、さらに設定オプションを確認してください。

重要:SSO適用により、ユーザーがIdP内のAnthropicアプリに正しく割り当てられていない場合、ログインできなくなる可能性があります。複数のClaude/Consoleオーガニゼーションが「親オーガニゼーション」に接続されている場合は、各オーガニゼーション向けに一意のIdPグループを作成することを検討してください。詳細については、グループマッピングを有効にするを参照してください。

IdP固有のセットアップ手順については、以下を参照してください:

ステップ4:SSOを必須にするかどうかを選択する

オーガニゼーションとアクセスページの認証セクションで、Consoleに対してSSOを必須にするおよび/またはClaudeに対してSSOを必須にするをオンに切り替えることができます:

SSOが必須の場合、ユーザーはClaude/Consoleアカウントにログインするために「SSOで続行」オプションを使用する必要があります。SSOが必須でない場合、ユーザーは「SSOで続行」または「メールで続行」を選択できます。

決定する前に、SSOが有効化されたときに既存ユーザーに何が起こるかを確認してください。

ステップ5:プロビジョニングアプローチを選択する

SSOが有効化されたら、オーガニゼーションとアクセス設定のユーザープロビジョニングセクション内のオプションを選択して、ユーザーをオーガニゼーションに追加する方法を決定する必要があります。

招待のみがデフォルトです。ユーザーはClaudeまたはConsole設定で直接追加および削除されます。TeamプランおよびEnterpriseプランでメンバーを管理するを参照してください。

ジャストインタイム(JIT)プロビジョニングを有効にして、ユーザーが初回ログイン時に自動的にプロビジョニングされるようにできます。デフォルトでは、Anthropic IdPアプリに割り当てられたユーザーが初回ログインすると、ユーザーロールを受け取ります。これは最もシンプルな自動化オプションであり、プロビジョニングモードとして「ジャストインタイム(JIT)」を選択する以外に追加設定は必要ありません。

グループマッピングを有効にする - 追加プロビジョニング機能を設定する場合

プロビジョニングをより細かく制御するには、JITまたはSCIMプロビジョニングを設定するを参照してください。以下が必要な場合は、このガイドを確認してください:

  • IdPグループメンバーシップに基づいてロールまたはシートティアを自動的に割り当てる。

  • 自動プロビジョニングおよびデプロビジョニング向けにSCIMディレクトリ同期を使用する。

  • 複数のオーガニゼーション間でアクセスを管理する(例:同じ親に接続されたTeam/EnterpriseオーガニゼーションとConsoleオーガニゼーションの両方がある場合、各オーガニゼーションにプロビジョニングされるユーザーを制御する必要がある場合)。

注:TeamまたはEnterpriseプランオーガニゼーションとSSO設定を共有するClaude Consoleオーガニゼーション向けのIdP開始ログインは現在サポートされていません。ユーザーはIdP開始ログインでclaude.aiにリダイレクトされます。回避策として、IdPで可能な場合は、platform.claude.com/login?sso=trueにリンクする「Claude Console」というブックマークを作成して、ユーザーをConsoleにリダイレクトしてSP開始ログインを行ってください。

SSOサーティフィケートを更新する

Identity ProviderのX.509署名サーティフィケートの有効期限が切れるか、ローテーションされた場合、ClaudeまたはConsoleで更新してSSO機能を維持する必要があります。

  1. 設定に移動してください:

  2. 認証セクションで、「SSOを管理」をクリックしてください。

  3. メタデータ設定セクションを見つけ、「編集」をクリックしてください。

  4. サーティフィケート情報を更新し、変更を保存してください。

  5. 同じページで「テストサインイン」をクリックして、すべてが正常に機能していることを確認してください。

SSOをオフにする

Claudeに対してSSOを必須にするまたはConsoleに対してSSOを必須にするをいつでもオフに切り替えることができます。これにより、すべてのユーザーに対してSSOがオプションになります。

SSOを完全に切断するには、「SSOを管理」をクリックしてから「接続をリセット」をクリックしてください。これにより、すべてのユーザーのセッションが終了し、メールログインリンク経由で再度サインインする必要があります。

関連記事
シングルサインオン(SSO)およびJIT/SCIMプロビジョニングを有効にする前の重要な考慮事項
JITまたはSCIMプロビジョニングの設定
別のIdentity Provider (IdP) への切り替え
SSO/SCIM Email Mismatch — Ping Identity
SSO ログイン
こちらの回答で解決しましたか?