O logon único está disponível para planos Team, planos Enterprise e organizações Claude Console.
Este guia aborda as etapas para configurar SSO para planos Team e Enterprise e organizações Claude Console.
Etapa 1: Revisar pré-requisitos e considerações importantes
Antes de prosseguir com a configuração de SSO, conclua o seguinte:
Revise o guia de considerações: Leia Considerações Importantes Antes de Ativar Logon Único (SSO) e Provisionamento JIT/SCIM para entender organizações pai, determinar seu caminho de configuração e concluir quaisquer etapas de pré-requisito, como mesclar organizações.
Confirme que você tem a função necessária:
Para planos Team ou Enterprise: Você deve ser um Proprietário ou Proprietário Principal
Para Claude Console: Você deve ser um Administrador
Confirme que você tem acesso ao seguinte:
Configurações de DNS para o domínio de endereço de email da sua empresa
Provedor de Identidade (IdP) de SSO da sua empresa usado para fazer login em aplicativos de terceiros (por exemplo, Okta, Google Workspace, etc.)
Entre em contato com o Administrador de TI da sua organização se você não tiver permissões para gerenciar Claude ou configurações de DNS da empresa.
Observação: WorkOS é o provedor da Anthropic para verificação de domínio e configuração de SSO. Mais detalhes podem ser encontrados na Lista de Subprocessadores da Anthropic. Você será levado por um fluxo de configuração do WorkOS ao configurar SSO e recursos de provisionamento – encontre seu Provedor de Identidade na documentação de Integrações deles.
Etapa 2: Verificar seu(s) domínio(s)
A verificação de domínio prova que você é proprietário do domínio da sua empresa. Uma vez verificado, você pode configurar SSO para contas com o domínio da sua empresa.
Você pode verificar vários domínios para uma única organização, mas todos os domínios devem ser gerenciados através de um único IdP. Não oferecemos suporte para verificar domínios de IdPs separados dentro da mesma organização.
Observação: Verificar seu domínio por si só não afetará a capacidade dos usuários existentes de acessar nossos produtos. O acesso dos usuários finais é afetado apenas após a configuração de SSO e sua aplicação explícita.
Navegue até suas configurações de "Identidade e acesso" em Claude (claude.ai/admin-settings/identity) ou Console (platform.claude.com/settings/identity) – observe que esta página só aparecerá em Console se você trabalhou com Vendas para ativar SSO ou concluiu uma proposta de mesclagem.
Na seção Configuração Global de SSO, clique em "Adicionar domínio."
Siga as instruções para adicionar seu registro TXT.
Se estiver usando um subdomínio (por exemplo, subdomain.yourcompany.com), defina seu registro TXT nesse subdomínio (por exemplo, _acme-challenge.subdomain.yourco.mpany.com).
Aguarde 10 minutos para que sua alteração de DNS se propague. Observação: As alterações de DNS podem levar 24-48 horas para se propagar globalmente.
Quando você vir o crachá verde "Verificado", você pode fechar a página de instruções.
Se seu domínio aparecer como "Pendente," use o botão "Atualizar."
Observação: Após a verificação do seu domínio, você verá uma alternância Desabilitar criação de nova organização na seção "Configuração Global de SSO" da página Identidade e acesso. Ative isso se quiser impedir que usuários criem novas organizações Claude ou Console—incluindo contas pessoais—usando seus domínios verificados.
Etapa 3: Configurar SSO com seu Provedor de Identidade
Navegue até suas configurações de Identidade e acesso em Claude (claude.ai/admin-settings/identity) ou Console (platform.claude.com/settings/identity)
Na seção Configuração Global de SSO, clique em "Configurar SSO" (ou "Gerenciar SSO").
Siga o guia de configuração fornecido para seu Provedor de Identidade (veja abaixo para guias adicionais).
Ao final dessas etapas, você será solicitado a Testar Logon Único para confirmar que não há erros e a configuração é bem-sucedida.
Após a conclusão, navegue de volta para a página de configurações de Identidade e acesso para mais opções de configuração.
Importante: A aplicação de SSO pode resultar em usuários não conseguindo fazer login se não forem atribuídos corretamente ao aplicativo Anthropic no IdP. Se você tiver mais de uma organização Claude/Console conectada à sua "organização pai," você pode querer considerar criar um Grupo IdP único para cada - consulte Mapeamentos de Grupo Avançados.
Para instruções de configuração específicas do IdP, consulte:
Etapa 4: Escolher aplicar SSO
Agora você pode escolher ativar Aplicar SSO para Console e/ou Aplicar SSO para Claude, na página Identidade e acesso, sob a seção Configuração de SSO.
Quando SSO é aplicado, os usuários devem usar a opção "Continuar com SSO" para acessar Claude/Console. Quando SSO não é aplicado, eles terão a opção de escolher "Continuar com SSO" ou "Continuar com email."
Revise O que acontece com usuários existentes quando SSO é ativado antes de decidir.
Etapa 5: Escolher sua abordagem de provisionamento
Após SSO ser ativado, você precisa decidir como os usuários serão adicionados à sua organização. Isso é controlado pela configuração Modo de provisionamento na seção Configuração de SSO da Organização de suas configurações de Identidade e acesso.
Manual é o padrão. Os usuários são adicionados e removidos diretamente em suas configurações Claude ou Console. Consulte Gerenciando membros em planos Team e Enterprise.
Provisionamento JIT (Just-in-Time) pode ser ativado para provisionar usuários automaticamente quando eles fazem login pela primeira vez. Por padrão, usuários atribuídos ao seu aplicativo IdP Anthropic no primeiro login receberão a função de Usuário. Esta é a opção automatizada mais simples e não requer configuração adicional além de selecioná-la.
Mapeamentos de Grupo Avançados - quando configurar recursos de provisionamento adicionais
Para mais controle sobre provisionamento, consulte Configurando provisionamento JIT ou SCIM. Você vai querer revisar este guia se precisar:
Atribuir automaticamente funções ou níveis de assento com base na associação de grupo IdP.
Usar sincronização de diretório SCIM para provisionamento e desprovisionamento automáticos.
Gerenciar acesso em várias organizações (por exemplo, se você tiver uma organização Team/Enterprise e uma organização Console vinculadas à mesma organização pai e precisar controlar quais usuários são provisionados para cada).
Observação: Atualmente não oferecemos suporte para login iniciado por IdP para organizações Claude Console que compartilham configurações de SSO com uma organização de plano Team ou Enterprise. Os usuários serão redirecionados para claude.ai com login iniciado por IdP. Como solução alternativa, se possível em seu IdP, crie um marcador chamado "Claude Console" que vincula a platform.claude.com/login?sso=true para redirecionar usuários para Console para login iniciado por SP.
Atualizando seu certificado de SSO
Quando o certificado de assinatura X.509 do seu Provedor de Identidade expirar ou for rotacionado, você precisará atualizá-lo em Claude ou Console para manter a funcionalidade de SSO.
Navegue até suas configurações de Identidade e acesso:
Para planos Team e Enterprise: claude.ai/admin-settings/identity
Para Claude Console: platform.claude.com/settings/identity
Na seção Configuração Global de SSO, clique em "Gerenciar SSO."
Selecione "Configuração de Metadados."
Clique em "Editar."
Atualize suas informações de certificado e salve suas alterações.
Clique em "Testar login" na mesma página para confirmar que tudo está funcionando.
Desativando SSO
Você pode desativar Aplicar SSO em Claude.ai ou Aplicar SSO em Console a qualquer momento. Isso tornará SSO opcional para todos os usuários.
Para desconectar completamente SSO, clique em "Gerenciar SSO" e depois "Redefinir." Isso encerrará as sessões de todos os usuários e exigirá que eles façam login novamente através do link de login por email.