メインコンテンツにスキップ

シングルサインオン(SSO)の設定

シングルサインオンはTeamプラン、Enterpriseプラン、およびConsoleオーガニゼーションで利用できます。

このガイドでは、TeamプランおよびEnterpriseプラン、ならびにClaude Consoleオーガニゼーション向けのSSO設定手順について説明します。

ステップ1:前提条件と重要な考慮事項を確認する

SSO設定を進める前に、以下を完了してください:

考慮事項ガイドを確認してください: シングルサインオン(SSO)およびJIT/SCIMプロビジョニング有効化前の重要な考慮事項を読んで、親オーガニゼーションを理解し、セットアップパスを決定し、オーガニゼーションのマージなどの前提条件ステップを完了してください。

必要なロールを持っていることを確認してください:

  • TeamプランまたはEnterpriseプランの場合:OwnerまたはPrimary Ownerである必要があります

  • Claude Consoleの場合:Adminである必要があります

以下へのアクセス権を持っていることを確認してください:

  • 貴社のメールアドレスドメインのDNS設定

  • サードパーティアプリケーションにログインするために使用される貴社のSSO Identity Provider(IdP)(例:Okta、Google Workspaceなど)

Claudeまたは貴社のDNS設定を管理する権限がない場合は、組織のIT管理者にお問い合わせください。

注: WorkOSはAnthropicのドメイン検証およびSSO設定プロバイダーです。詳細はAnthropicのサブプロセッサーリストで確認できます。SSOおよびプロビジョニング機能を設定する際、WorkOSセットアップフローが表示されます。Identity Providerは統合ドキュメントで確認してください。


ステップ2:ドメインを検証する

ドメイン検証により、貴社のドメインの所有権が証明されます。検証後、貴社のドメインを持つアカウント向けにSSOを設定できます。

1つのオーガニゼーション向けに複数のドメインを検証できますが、すべてのドメインは1つのIdPで管理する必要があります。同じオーガニゼーション内で異なるIdPからのドメイン検証はサポートされていません。

注: ドメインを検証するだけでは、既存ユーザーの当社製品へのアクセス能力には影響しません。エンドユーザーのアクセスは、SSOが設定され明示的に適用された場合にのみ影響を受けます。

  1. Claude内のオーガニゼーションとアクセス設定(claude.ai/admin-settings/organization)またはConsole内のアイデンティティとアクセス設定(platform.claude.com/settings/identity)に移動してください。このページはConsoleでSSO有効化についてセールスと協力した場合、またはマージ提案を完了した場合にのみ表示されます。

  2. ドメインセクションで「ドメインを追加または編集」をクリックしてください。

  3. オーガニゼーションのメールドメインを更新モーダルで検証するドメインを入力し、「+」ボタンをクリックしてください:

  4. ドメイン追加が完了したら「保存」をクリックしてください。

  5. 追加したドメインがドメインセクションに表示されます。ドメインの右側の「検証」をクリックして検証プロセスを開始してください。

  6. テキストボックスにドメインを入力し、「続行」をクリックしてください:

  7. セットアップ画面にTXTレコードが表示されます。コピーボタンを使用して完全な値をコピーしてください。値はanthropic-domain-verification-で始まり、ボックスに表示されているものより長くなります。DNSプロバイダーで、ホスト/名前@(ドメインのルート)に設定し、をコピーした文字列に設定したTXTレコードを追加してください。既存のTXTレコードの横に追加し、置き換えないでください。値は大文字と小文字を区別するため、正確に貼り付けてください。

    1. 重要: セットアップ画面を離れる前にTXT値を保存してください。ドメインが「保留中」と表示されると、管理コンソールは値を再度表示しません。値を失った場合は、ドメインを削除して再度追加する必要があり、新しい値が生成されます。

  8. DNS変更が反映されるまで10分待ってください。

    • 注: DNS変更がグローバルに反映されるまで24~48時間かかる場合があります。

  9. 緑色の「検証済み」バッジが表示されたら、指示ページを閉じることができます。

  10. ドメインが「保留中」と表示される場合は、「更新」ボタンを使用してください。

ドメインが保留中のままの場合

「更新」をクリックするとDNSが再確認されます。公開されたTXTレコードが予想される値と完全に一致するまで「検証済み」は表示されません。DNS伝播後も保留中のままの場合は、以下を確認してください:

  • レコードがルートに存在します。 DNSCheckerなどのツールを使用してドメインのTXTレコードを検索し、yourdomain.comwww.yourdomain.comや別のサブドメインではなく)に対してanthropic-domain-verification-で始まるレコードが表示されることを確認してください。表示されない場合、レコードが間違ったホストに追加されたか、まだ伝播していない可能性があります。

  • 値が完全に一致します。 チェックは大文字と小文字を区別し、anthropic-domain-verification-…=プレフィックスを含む完全な文字列が必要です。1文字の違いでも保留中のままになります。

  • ドメインを削除して再度追加していません。 再度追加するたびに新しい検証値が生成されます。TXTレコードを公開した後にドメインを再度追加した場合、公開された値は一致しなくなります。新しい値でDNSレコードを更新する必要があります。

レコードが正しく伝播されているのにステータスが保留中のままの場合は、サポートにお問い合わせください。

注: ドメインが検証されると、オーガニゼーションとアクセスオーガニゼーション設定ページのセキュリティ下にオーガニゼーション作成を制限トグルが表示されます。検証済みドメインを使用してユーザーが新しいClaudeまたはConsoleオーガニゼーション(個人アカウントを含む)を作成するのを防ぎたい場合は、これを有効にしてください。


ステップ3:Identity ProviderでSSOを設定する

  1. Claude内のオーガニゼーションとアクセス設定(claude.ai/admin-settings/organization)またはConsole内のアイデンティティとアクセス設定(platform.claude.com/settings/identity)に移動してください。

  2. 認証セクションで「SSOを設定」(または「SSOを管理」)をクリックしてください。

  3. Identity Provider向けに提供されるセットアップガイドに従ってください(追加ガイドについては以下を参照)。

  4. これらのステップの最後に、シングルサインオンをテストするよう求められ、エラーがなく設定が成功していることを確認できます。

  5. 完了後、オーガニゼーションとアクセス設定ページに戻り、さらに設定オプションを確認してください。

重要: SSO適用により、ユーザーがIdP内のAnthropicアプリに正しく割り当てられていない場合、ログインできなくなる可能性があります。複数のClaude/Consoleオーガニゼーションが「親オーガニゼーション」に接続されている場合は、各オーガニゼーション向けに一意のIdPグループを作成することを検討してください。詳細については、グループマッピングを有効にするを参照してください。

IdP固有のセットアップ手順については、以下を参照してください:


ステップ4:SSOを必須にするかどうかを選択する

オーガニゼーションとアクセスページの認証セクション下で、ConsoleにSSOを必須にするおよび/またはClaudeにSSOを必須にするをトグルオンにすることを選択できます:

SSOが必須の場合、ユーザーはClaude/Consoleアカウントにログインするために「SSOで続行」オプションを使用する必要があります。SSOが必須でない場合、「SSOで続行」または「メールで続行」を選択するオプションがあります。

決定する前に、SSOが有効化されたときに既存ユーザーに何が起こるかを確認してください。


ステップ5:プロビジョニングアプローチを選択する

SSOが有効化されたら、オーガニゼーションとアクセス設定のユーザープロビジョニングセクション内でオプションを選択して、ユーザーをオーガニゼーションに追加する方法を決定する必要があります。

招待のみがデフォルトです。ユーザーはClaudeまたはConsole設定で直接追加および削除されます。TeamプランおよびEnterpriseプランでメンバーを管理するを参照してください。

ジャストインタイム(JIT)プロビジョニングを有効にして、ユーザーが初回ログイン時に自動的にプロビジョニングされるようにできます。デフォルトでは、AnthropicIdPアプリに割り当てられたユーザーが初回ログインすると、ユーザーロールを受け取ります。これは最もシンプルな自動オプションで、「ジャストインタイム(JIT)」をプロビジョニングモードとして選択する以外に追加設定は不要です。

グループマッピングを有効にする - 追加プロビジョニング機能を設定する場合

プロビジョニングをより細かく制御するには、JITまたはSCIMプロビジョニングを設定するを参照してください。以下が必要な場合は、このガイドを確認してください:

  • IdPグループメンバーシップに基づいてロールまたはシートティアを自動的に割り当てる。

  • 自動プロビジョニングおよびデプロビジョニング向けにSCIMディレクトリ同期を使用する。

  • 複数のオーガニゼーション間でアクセスを管理する(例:同じ親に接続されたTeam/EnterpriseオーガニゼーションとConsoleオーガニゼーションの両方がある場合、各オーガニゼーションにプロビジョニングされるユーザーを制御する必要があります)。

注: 現在、TeamまたはEnterpriseプランオーガニゼーションとSSO設定を共有するClaude ConsoleオーガニゼーションのIdP開始ログインはサポートされていません。ユーザーはIdP開始ログインでclaude.aiにリダイレクトされます。回避策として、IdPで可能な場合は、platform.claude.com/login?sso=trueにリンクする「Claude Console」というブックマークを作成して、ユーザーをConsoleにリダイレクトしてSP開始ログインを行ってください。


SSOサーティフィケートを更新する

Identity ProviderのX.509署名サーティフィケートが期限切れになるか回転した場合、ClaudeまたはConsoleで更新してSSO機能を維持する必要があります。

  1. 設定に移動してください:

  2. 認証セクションで「SSOを管理」をクリックしてください。

  3. メタデータ設定セクションを見つけ、「編集」をクリックしてください。

  4. サーティフィケート情報を更新し、変更を保存してください。

  5. 同じページで「テストサインイン」をクリックして、すべてが機能していることを確認してください。


SSOをオフにする

ClaudeにSSOを必須にするまたはConsoleにSSOを必須にするをいつでもオフにできます。これにより、すべてのユーザーにとってSSOはオプションになります。

SSOを完全に切断するには、「SSOを管理」をクリックしてから「接続をリセット」をクリックしてください。これにより、すべてのユーザーのセッションが終了し、メールログインリンク経由で再度サインインする必要があります。

こちらの回答で解決しましたか?